El pasado mes de octubre, la Autoridad de Protección de Datos Portuguesa (“Comissão Nacional de Protecção de Dados” o “CNPD”) impuso su primera multa por infracción del RGPD. La empresa multada se trata del Centro Hospitalar do Barreiro Montijo, y la multa asciende a 400.000 euros.

La investigación al hospital comenzó como consecuencia de una denuncia del Sindicato dos Médicos da Zona Sul en abril.

El problema: el sistema de autentificación para acceder a la base de datos del historial médico de los pacientes era deficiente, por lo que cualquier empleado del hospital (aun sin ser médico) podía acceder a esta información, sin contar con el consentimiento de los pacientes.

Prueba de ello es que, si bien el hospital contaba con 296 médicos, había 985 cuentas de “médicos” que tenían acceso a la base de datos.

Tras su investigación, la CNPD detectó tres infracciones del RGPD:

 
Primera Infracción: Artículo 5.1.c):

“Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.

La CNPD explicó que el hecho de que cualquier médico, sin importar la especialidad o la antigüedad, pudiera acceder a los datos de los pacientes del hospital, sin ningún límite de acceso temporal, suponía una infracción del principio de minimización de datos.

La multa por esta infracción fue de 150.000 euros.
 
Segunda Infracción: Artículo 5.1.f):

“Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

El hecho de que cualquier empleado del hospital pudiera acceder de forma indiscriminada a los datos médicos de los pacientes, evidenció la falta de medidas de seguridad del hospital para garantizar el principio de integridad y confidencialidad.

La multa por esta infracción fue de 150.000 euros.
 
Tercera Infracción: Artículos 32.1.b) y d):

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

…

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

…

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”

La multa por esta infracción fue de 100.000 euros.
 
Conclusión:

Hace unos días se cumplieron seis meses desde la entrada en vigor del RGPD. En el tiempo transcurrido, hemos visto ya algunas multas por infracciones del RGPD. En el presente post tenemos a un hospital en Portugal. En un post anterior ya vimos una casa de apuestas en Austria. La Information Commissioner’s Office del Reino Unido emitió el 24 de octubre su primer aviso por posible infracción del RGPD contra la empresa Aggregate IQ Data Services.

En España, según la Memoria 2017 de la Agencia Española de Protección de Datos, durante el 2017 se tramitaron más de 10.500 denuncias y reclamaciones por posibles infracciones de la antigua normativa de protección de datos.

Con la entrada en vigor del RGPD y el incremento de las obligaciones de los responsables del tratamiento de datos, parece lógico suponer que el número de denuncias y reclamaciones presentadas ante la AEPD durante el 2018 aumentará con respecto al año anterior.

Con esta tendencia creciente, resulta cada vez más imprescindible que las empresas tomen medidas para mitigar su exposición al riesgo de infracción del RGPD.

Una de estas medidas podría ser la formación digital de los empleados en los principios y conceptos básicos del RGPD, con el fin de entenderlos y así evitar o detectar posibles infracciones del RGPD dentro de la empresa. Por ejemplo: que todos los empleados entiendan lo que supone una quiebra de seguridad de datos personales, y cómo deben de actuar ante dicha situación.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.