Un fallo «grave» de seguridad desprotegió los historiales de los pacientes del Clínico

Interior del Hospital Clínico./
Interior del Hospital Clínico.

La Agencia Española de Protección de Datos desvela ahora que el agujero informático existió entre octubre de 2011 y diciembre de 2014

CARLOS MORÁN

La obligada privacidad de los historiales de los pacientes del Hospital Universitario San Cecilio de Granada, conocido popularmente como 'el Clínico', estuvo comprometida entre octubre de 2011 y diciembre de 2014, según han desvelado ahora en una resolución la Agencia Española de Protección de Datos. Durante esos casi tres años existió un agujero de seguridad en el sistema informático que impedía controlar, por ejemplo, si los expedientes clínicos de los enfermos eran consultados por personas que carecían de permiso para ello.

En realidad, el informe de la citada autoridad estatal, que califica como una infracción «grave» lo ocurrido, extiende el problema a todo el Servicio Andaluz de Salud (SAS). «En conclusión, en el presente caso ha quedado acreditado que entre octubre de 2011 y diciembre de 2014, el SAS no tenía implementadas las medidas de seguridad adecuadas para auditar y verificar todos los accesos que se producían a la historia clínica de cualquier paciente», refiere el documento hecho público por la Agencia Española de Protección de Datos.

La buena noticia, y así lo reconoce dicha institución, es que el SAS ya ha subsanado el problema. «En el supuesto presente, de la contestación del Servicio Andaluz de Salud, se desprende que en la actualidad sí tiene implementado el control de auditorías de acceso a las historias clínicas, por lo que no es necesario hacer requerimiento de nuevas medidas para adoptar».

La agencia pidió explicaciones a la administración sanitaria andaluza a instancias de una paciente del Clínico de Granada que aseguraba tener sospechas fundadas de que se estaban cediendo «a terceros» sus datos médicos. En este sentido, exigió al SAS que le informará «sobre cómo y quién» había manejado esa información «de carácter reservado». Salud envío a la mujer un listado de las 'visitas' que había tenido su historial, pero ella constató que en esa la relación no aparecían once «accesos» que, efectivamente, se habían producido.

Así las cosas, denunció ante Protección de Datos al Clínico «como responsable directo de la custodia de mi historial, por incumplimiento de mi derecho a la intimidad y la confidencialidad de mis datos (...), se ha estado utilizando un programa de soporte de la historia clínica electrónica (Diraya) que no ha registrado todos los accesos a mis datos...».

Corría ya el mes de diciembre de 2016, y la agencia comunicó al SAS que iba a iniciar un procedimiento para aclarar el entuerto. El desenlace llegó a mediados del pasado mes de marzo: Salud había incurrido en una «infracción grave» de la Ley Orgánica de Protección de Datos. En concreto, había vulnerado el artículo nueve de dicha norma que, en su apartado primero, dispone lo siguiente: «El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado...».

Derecho fundamental

Pues eso fue precisamente lo que no hizo Salud, según indica Protección de Datos. «(...) Por parte de la consejería denunciada se carecía de un efectivo control de los accesos a la información recogida en el fichero de historias clínicas de sus pacientes, para el cumplimiento del principio de seguridad de los datos (...) Un sistema que permita, no sólo los registros de todos los accesos que se realicen a cada una de las historias clínicas de sus pacientes, sino también que permita, por medio de la revisión periódica de esa información, la detección de problemas tales como los accesos injustificados (...) Unas medidas que garanticen el derecho fundamental a la protección de datos personales», detalla la resolución de la autoridad estatal.

El SAS puede recurrir la decisión de la agencia ante la propia entidad o, en su caso, dirigirse a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.