Un tercio de hospitales incumple la ley de protección de datos

Uno de cada tres hospitales incumple la legislación en materia de protección de datos y son los centros públicos los que presentan las más importantes deficiencias en la implantación de medidas para que los datos personales e información sanitaria de los pacientes sean adecuadamente custodiados.

Esta es una de las principales conclusiones del 'Informe de cumplimiento de la Ley Orgánica de Protección de Datos en hospitales', realizado por la Agencia Española de Protección de Datos (AEPD), cuyos resultados han sido presentados por su director, Artami Rallo.

Para su realización, la Agencia requirió información a 605 hospitales, salvo los públicos y privados de Cataluña y los públicos de Madrid y País Vasco, por estar sometidos al control de sus respectivas agencias autonómicas de protección de Datos. De ellos, contestaron 562 (294 privados y 268 públicos). A los 43 centros que no atendieron el requerimiento de la Agencia se les va a abrir expediente sancionador por incurrir en una infracción considerada grave, cuya sanción económica oscila entre los 60.000 y los 300.000 euros.

De los que si contestaron, a 360 se les han remitido recomendaciones y a otros 202 (uno de cada tres) se les va a requerir la adopción de medidas correctoras para adecuarse a la legislación. Para ello, dispondrán de un plazo de seis meses, antes de que se plantee la apertura de expedientes sancionadores, cuya cuantía se sitúa entre 300.000 y 600.000 euros.

Expedientes sancionadores

Los principales incumplimientos se dan en la implantación de medidas de seguridad y custodia de la información, la inclusión de cláusulas informativas en la recogida de datos y la realización de auditorías de seguridad.

Artami Rallo ha explicado que los expedientes sancionadores tienen distinto efecto cuando se trata de instituciones públicas o privadas, de tal forma que en el segundo caso la sanción económica es automática. En el caso de organismos públicos, la AEPD declara la infracción y se pone en conocimiento del Defensor del Pueblo.

El informe pone de relieve que los centros sanitarios de Murcia y La Rioja son los que cuentan con mayores niveles de cumplimiento de la legislación en materia de protección de datos, mientras que los ubicados en las comunidades de Cantabria, Canarias, Valencia y Aragón presentan más incumplimientos.

Difusión de datos

Rallo ha puesto de relieve que la iniciativa de evaluar los hospitales surgió de la constatación de "alarmantes casos" y procedimientos tramitados por la Agencia vinculados principalmente a la vulneración de los deberes de seguridad y secreto por parte de centros sanitarios. Entre ellos, se encuentran la difusión de datos de pacientes a través de redes de intercambio de archivos P2P, como e-Mule, o aparición de documentación clínica abandona en contenedores en la vía pública. Así, en 2009 se registraron un total de 123 denuncias y actuaciones previas de investigación en el sector sanitario y en lo que va de año se han registrado cerca de 100 reclamaciones.

Rallo ha señalado que los resultados no sorprenden y conectan "perfectamente" con las preocupaciones que suscitaron la realización del informe, que no distingue entre centros que han implantado la historia clínica digital y los que no. No obstante, ha considerado que esta nueva técnica debería contribuir a mejorar el cumplimiento de la legislación de protección de datos.

El estudio constata que el 30% de los centros públicos carece de medidas para evitar la pérdida o acceso indebido a la documentación clínica durante su transporte y en el 35% el archivo de las historias clínicas carece de mecanismos que impidan su apertura. Cerca del 40% de los hospitales públicos y del 15% de los privados incumplen la obligación de tener un registro de acceso a la información sanitaria.

Sólo el 55% de los públicos incluye las cláusulas informativas en los formularios de recogidas de datos, frente al 94,5% de los privados. Además, el 66% de los centros públicos no realizan auditoría de seguridad bianual. El informe constata un elevado nivel de cumplimiento en el conjunto de los centros auditados en la obligación de inscribir sus ficheros en la Agencia.