Detectan una fuga de datos de pacientes en grupos de Whatsapp del Virgen de las Nieves
Un médico alertó de que los propios profesionales difundían información sensible de los usuarios a través de la aplicación
La Junta de Andalucía detecta a raíz de la denuncia de un médico una vulneración de datos de pacientes del Hospital Universitario Virgen de las ... Nieves a través de grupos de Whatsapp de los propios sanitarios. Los facultativos difundieron información personal y relativa a los historiales clínicos de los usuarios por medio de la aplicación. Además, en estos grupos había administrativos y personas ajenas al Servicio Andaluz de Salud, ya que continuaban en él extrabajadores que no tenían por qué tener acceso a la documentación.
La Consejería de Salud acordó la apertura de información reservada y, de acuerdo con un escrito al que ha tenido acceso a IDEAL, «ha quedado acreditado que se han intercambiado datos de pacientes sin realizar análisis de riesgo ni evaluar el impacto en la protección de datos». El documento reconoce una «vulneración» en información que es sensible «en la medida que la aplicación Whatsapp destinada a uso particular se están tratando datos relativos a la salud de los pacientes del hospital». «Se realizó un tratamiento que implicaba el uso de categorías especiales de datos sin haber establecido medidas que garantizaran la confidencialidad de información sometida a secreto profesional, lo que implica un alto riesgo para los derechos y las libertades de las personas», insiste el informe.
En cuanto al uso de la aplicación de mensajería Whatsapp, de acuerdo con la consejería, «no puede garantizar la seguridad de la información que el usuario transmite». El SAS considera probado que en el servicio de Urología se crearon distintos grupos sociales empleando móviles particulares en el que figuraban y se difundían nombres, apellidos, números de identificación y datos de salud de pacientes.
El SAS propuso prohibir el uso del servicio de mensajería y dar parte a Protección de Datos para evaluar la brecha
El escrito detecta tres grupos de la unidad de Urología, uno de ellos y el más activo con 36 miembros, mientras que otro se empleaba para la comunicación entre tutores y residentes MIR. El SAS considera que se han infringido preceptos del Reglamento General de Protección de Datos (RGPD). El instructor de la información reservada apuntó que la naturaleza de los hechos «hace exigible la evaluación sobre la protección de datos». Propuso prohibir el uso de la herramienta Whatsapp en el entorno clínico y poner en conocimiento del Delegado de Protección de Datos del servicio los hechos para que informe de las medidas y actuaciones a realizar.
El SAS tuvo conocimiento de lo ocurrido a raíz del informe de un médico del hospital, que expuso los hechos en una comisión en mayo de 2024 para alertar de la existencia de una brecha de seguridad. El facultativo, tras finalizar su exposición en el tribunal de selección de la jefatura del servicio de urología, hizo entrega de varias copias de un acta notarial a los miembros del tribunal en el que alertaba de la brecha digital e instaba a mejorarla. La dirección del hospital, que decidió abrir el procedimiento de información reservada e inicio en julio de forma paralela un expediente disciplinario al médico que había alertado de la problemática.
Denuncia a Protección de Datos
Sin embargo, el expediente disciplinario se archivó en febrero de este año y se cerró sin consecuencias para el urólogo. El SAS dio por finalizada las actuaciones y resolvió que «concurría un interés legítimo para mejorar los niveles de calidad y seguridad de la asistencia sanitaria». La resolución del expediente afirma que el fin del sanitario era implementar una nueva aplicación, como Circuit, para respetar los derechos de los pacientes.
El facultativo ha presentado una denuncia sobre la brecha de seguridad ante la Delegación de Protección de Datos del SAS, al considerar que tras detectar el problema hace diez meses la gerencia del Hospital Universitario Virgen de las Nieves no ha reaccionado como establece el protocolo. El instructor de la información reservada estimó necesario prohibir el uso de Whatsapp y evaluar a través del servicio de protección de datos el riesgo que había supuesto la difusión de información, pero, según la denuncia, en ningún momento se ha tenido en conocimiento de la intervención de Protección de Datos de la Junta.
Además, el facultativo advierte que el uso de Whatsapp es generalizado. «Es una actividad generalizada en el hospital, circunstancia que no asegura el correcto tratamiento de los historiales clínicos de pacientes y se lleva a cabo con la permisividad de la gerencia», critica en la denuncia. «Un número indeterminado de historiales clínicos de pacientes circulan por entornos no seguros con conocimiento de la dirección», reitera.
Este medio se ha puesto en contacto con la Consejería de Salud de la Junta y el Hospital Universitario Virgen de las Nieves para conocer su versión de los hechos sin haber obtenido respuesta al cierre de esta edición.
La brecha de seguridad se debe informar en un plazo máximo de 72 horas
Según el Reglamento General de Protección de Datos, en caso de violación de la seguridad de los datos personales, se debe notificar a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de la brecha de seguridad. El proceso interno que se debe seguir en estos casos es la notificación inmediata al servicio de Protección de Datos, evaluar la brecha por parte del delegado y el responsable de seguridad del hospital, registrar la incidencia, notificar a la Agencia Española de Protección de Datos e implementar medidas correctoras. En el caso de que la filtración sea grave, se debe informar a los afectados.
¿Tienes una suscripción? Inicia sesión
