18 oct. 2011

Sentencia contra SNS-Osasunbidea en materia LOPD





SNS-O debe pagar 125.000 €

Tal y como publicó el Diario de Noticias de Navarra el pasado 12 de octubre, "La historia clínica de una mujer, ya fallecida, fue vista por 419 sanitarios en 2.825 ocasiones", por lo que la jueza entiende que las medidas de seguridad y el protocolo de Salud no son suficientes para garantizar la protección de datos.

En el fondo lo veía venir, ya que Osasunbidea arrastraba desde hace años claras deficiencias en la adaptación y cumplimiento de la LOPD y que decir del RD 1720/2007 que la desarrolla. La duda que me queda es si en la actualidad, tal y como comenté en un post anterior (Osasunbidea deberá auditar la seguridad en materia de protección de datos), se encuentra a día de hoy correctamente adecuada a la citada normativa sobre Protección de Datos de Carácter Personal o si por el contrario continua padeciendo dicha insuficiencia (ya que la sentencia es sobre un asunto de 2007).

En mi opinión este tipo de sentencias deja clara una cuestión y no es otra que la importancia de la formación, el problema no es que determinadas personas entren por puro "cotilleo" a un historial, sino que el propio centro no haya advertido claramente de su prohibición y de las consecuencias que puede acarrear el incumplimiento sobre dicha prohibición. Por no mencionar el hecho de la falta de procedimientos en cuanto a las medidas de seguridad se refiere, ya que deberían disponer de medios en el sistema de información de Osasunbidea para evitar los accesos no autorizados, así como de medios para poder registrar e identificar todos los accesos no autorizados de forma inequívoca, para poder proceder si fuese el caso, a la apertura de investigaciones y expedientes disciplinarios, en aquellos supuestos de accesos no autorizados que no dispusiesen de alguna disculpa coherente y justificada por la cual se hubiese producido el citado acceso no autorizado.

Por último destacar claramente una cuestión a todos los empleados del sector público y en especial al sanitario (en vistas a que estos últimos tratan y gestionan datos de mayor sensibilidad). Los datos personales son de las personas físicas, es decir, de los ciudadanos, no de los hospitales o centros sanitarios y mucho menos de sus empleados. Por ello los datos personales deben ser tratados y/o gestionados exclusivamente por personal autorizado para las actividades que tengan asignadas en sus funciones y para las finalidades descritas en las mismas.


En conclusión, a mi modo de ver es vital la formación y concienciación de los empleados ya que es fundamental de cara a evitar este tipo de noticias tan penosas y vergonzosas, consiguiendo de este modo entre otras cosas un servicio de mayor calidad y confianza para los ciudadanos.


No hay comentarios: