PROTECCIÓN DE DATOS
Infracción grave del CAP del Eixample por difundir el e-mail de centenares de pacientes
Resolución de la Autoridad Catalana de Protección de Datos que el ICS ha recurrido ante el juez || Envió correos electrónicos a 800 personas sin copia oculta, por lo que todas las direcciones eran visibles
La Autoridad Catalana de Protección de Datos (Apdcat) ha resuelto que el CAP Eixample cometió una “infracción grave” al difundir por error el pasado 24 de octubre las direcciones electrónicas de unos 800 usuarios de este ambulatorio al no utilizar la opción de copia oculta a la hora de enviar un comunicado informativo vía e-mail.
El ente público no recomienda al Institut Català de la Salut (ICS), organismo público del cual depende el CAP, aplicar medidas correctoras para subsanar los efectos de la infracción porque fue “un hecho puntual” y no responde a un procedimiento habitual de los profesionales del centro sanitario.
Si la infracción la hubiera cometido un centro privado, la multa sería de entre 40.000 y 300.000 €
De hecho, el ICS acredita en sus alegaciones, según figura en la resolución fechada en abril, que las comunicaciones electrónicas se hacen habitualmente con la opción de copia oculta, que impide que el resto de destinatarios del e-mail puedan ver los correos de los otros, y atribuyó lo sucedido un “fallo humano”.
Asimismo, al ser el infractor un centro de salud público, la ley orgánica de protección de datos de carácter personal impide que pueda aplicarse una multa económica, que sí procedería en el caso de que la infracción la hubiera cometido un centro privado −de entre 40.000 y 300.000 euros- puntualizó este martes el jefe de Inspección del organismo catalán, Carles San José.
El ICS ha recurrido ante el juzgado contencioso administrativo la resolución, aunque el pronunciamiento de la Apdcat es firme y prevé difundir en breve la resolución en su página web. Como publicó este diario, la infracción se produjo cuando el ambulatorio envió un correo en el que detallaba los pasos a seguir para acceder al servicio en línea de “La Meva Salut”. Cabe destacar que estos hechos no han supuesto, en ningún caso, la difusión de datos sanitarios personales.
La Autoritat Catalana de Protecció de Dades resolvió en 2016 que el Arnau de Vilanova cometió una “infracción muy grave” de la ley de protección de datos al haber eliminado parte de una historia clínica de una paciente antes de tiempo.
En concreto, parte del documento que recoge los controles sobre un parto. Tras detectar la incidencia, el hospital cambió el protocolo de registro de datos para evitar más errores en un futuro. Si la infracción la hubiera cometido un hospital privado, la sanción hubiera sido de entre 300.000 y 600.000 euros.
Las claves
- Organismo de la Generalitat. La Autoridad Catalana de Protección de Datos depende de la Generalitat y garantiza el derecho a la protección de datos personales y de acceso a la información. También asesora sobre las obligaciones que prevé la legislación vigente en este ámbito y controla que las entidades la cumplan.
- Infracción grave. La Autoritat Catalana de Protecció de Dades resuelve que el CAP Eixample cometió una “infracción grave” al difundir por error el e-mail de centenares de usuarios del ambulatorio en un e-mail masivo. Al ser un centro público, no puede aplicarle una sanción económica.
- Multa. En cambio, si la misma infracción la hubiera cometido un centro privado, sería sancionado con multas de entre 40.000 y 300.000 euros. Así lo contempla la ley orgánica vigente.
- Alegaciones. En la resolución de la Apdcat, el ICS alega que fue un error puntual y que las comunicaciones electrónicas se hacen habitualmente con la opción de copia oculta, sin que se vean los destinatarios. Por ello, la autoridad no le pide medidas correctoras.