La Autoridad nacional portuguesa competente en materia de protección de datos ha impuesto en fechas recientes una multa de 400.000 euros a un hospital por permitir el acceso indebido por parte de profesionales sanitarios a historias clínicas de pacientes sin su consentimiento expreso. Se trata de la primera sanción administrativa tras la entrada en vigor del RGPD el pasado 25 de mayo de 2018. La implementación de este Instrumento normativo supone la apuesta del legislador europeo por un estándar de protección reforzado, lo que explica lo elevado del gravamen pecuniario.
En apretada síntesis, los hechos del caso son los siguientes. Tras una inspección, el Hospital Barreiro-Montijo recibió una notificación de la Comisión Nacional de Protección de Datos en Portugal (CNPD), por la que la Autoridad administrativa le imponía una sanción pecuniaria por un importe de 400.000 euros.
La deliberación, firmada el 11 de octubre, señala que al menos nueve profesionales con funciones en el área de los servicios sociales disponían de accesos (que deberían ser exclusivos de los médicos).
En concreto, la CNPD identificó tres infracciones: i) violación del principio de integridad y confidencialidad, ii) violación del principio de minimización de datos, que debería impedir el acceso indiscriminado a datos clínicos de los pacientes, así como iii) incapacidad del responsable del tratamiento de datos para garantizar la confidencialidad y la integridad de los datos.
El desglose de la multa impuesta por la Autoridad administrativa portuguesa es el que se expone a continuación. Las dos primeras infracciones fueron sancionadas con una multa de 150.000 euros cada una, mientras que la tercera representó un incremento de 100.000 euros.
En este sentido, la CNPD también justificó la aplicación de las multas en el hecho de que se registraron 985 médicos con cuentas activas que daban acceso a los archivos clínicos, aunque los cuadros del Centro hospitalario sólo cuentan con 296 médicos.
La deliberación revela además que, en una cuenta de prueba, los expertos de la CNPD lograron acceder a datos clínicos de un paciente, que se encontraban en los archivos digitales de otro hospital, situado en la localidad de Carnaxide.
A estos datos se añadieron algunas lagunas detectadas en el transcurso de la inspección por parte de la Autoridad sancionadora. Así, de un lado, el Hospital no disponía de reglas internas para la creación de cuentas (que se establecieron después del envío de emails por los diferentes directores de los servicios) o para los diferentes niveles de acceso a la información clínica. De otro, el método de autenticación no tenía en cuenta los datos identificativos que vinculan a los diferentes profesionales al Centro hospitalario.
La Administración del Hospital ha cuestionado la competencia de la CNPD para la imposición de la multa. Volveremos sobre esta cuestión más adelante.
El Reglamento define como datos personales relacionados con la salud aquéllos "relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud" (artículo 4.15), de lo que se colige que se incluyen como datos de salud la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona.
Por lo tanto, dada la trascendencia que pueden tener, el RGPD otorga a este tipo de datos una mayor protección, lo que determina que se deban cumplir una serie de condiciones adicionales para su tratamiento (entre otras, una actitud de vigilancia proactiva).
Muy probablemente, el Centro hospitalario recurrirá la multa, pero creemos que el hipotético recurso tiene pocos visos de prosperar, habida cuenta de que la actual CNPD es la máxima Autoridad portuguesa en materia de vigilancia y control de protección de datos y goza de potestad sancionadora tras la aprobación de la Ley 67/98, de 26 de octubre, que transpuso la Directiva 95/46/CE y que supuso la ampliación del elenco primigenio de sus atribuciones.
Pero, sobre todo, consideramos que el recurso no prosperará no debido a una cuestión jurídico-procesal, sino de naturaleza sustantiva.
En efecto, la implementación del Reglamento europeo no sólo introduce un estándar elevado de protección, sino que compele a los sujetos obligados a adelantar las barreras de custodia. Es decir, estamos ante una responsabilidad proactiva.
Por lo tanto, la cuestión nuclear es de naturaleza sustantiva. En concreto, pivota sobre dos cuestiones. La primera, es que el Hospital no recabó el consentimiento de los pacientes que, a tenor del precepto 9 del Reglamento, debe ser expreso.
En este sentido, fuera del consentimiento la legislación únicamente permite tratar los datos enmarcados en esta categoría especial cuando concurra alguna de las siguientes circunstancias i) cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física en caso de que el interesado no esté capacitado para dar su consentimiento, ii) cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social en virtud de un contrato con un profesional sanitario, y iii) cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
Ninguna de las excepciones señaladas opera en el caso que nos ocupa.
La segunda, es que era responsabilidad de la Administración del Centro hospitalario tomar las medidas adecuadas para garantizar la seguridad de la custodia de los datos de los pacientes. Sobre esta última, la CNPD concluye que el Hospital actuó deliberadamente al conocer las medidas técnicas y organizativas necesarias y no aplicarlas.
En su apartado segundo b), el artículo 83.2 del Reglamento estipula que: "Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: b) la intencionalidad o negligencia en la infracción".
Desde luego, a tenor de la motivación de la infracción y de la cuantía de la sanción, consideramos que la misma es ajustada a derecho (téngase en cuenta las durísimas condiciones generales para la imposición de multas que introduce el Reglamento -artículo 83 y ss.-), por lo que, aunque la sanción administrativa no puede proyectarse "extraprocesalmente" (no puede olvidarse que es una sanción administrativa), creemos sin ningún género de dudas que cumple una función ejemplarizante y que será disuasoria de incumplimientos potenciales.
Cuestión distinta es que la ejecución del RGPD reviste una gran complejidad para el conjunto de operadores jurídicos y augura un "choque de trenes" entre estándares de protección (a finales de marzo de 2017 el legislador estadounidense ´tumbó` la Ley sobre Privacidad, lo que implica de facto entreabrir la posibilidad a los prestadores de servicios de Internet a que comercialicen con datos personales), que cristalizará en fricciones con aspectos relacionados con la propiedad intelectual, los contenidos suministrados por proveedores de servicios audiovisuales, la utilización de datos abiertos por parte de administraciones y gobiernos o el alcance del tratamiento cualitativo de datos privados).
Por lo tanto, la ´pugna` está servida y las espadas están en alto por la imposición de uno u otro. Es difícil a fecha de hoy predecir cuál de los dos se impondrá, pero a fecha de hoy creemos que EE.UU. ganará la batalla final, pues el sentido común hace pensar que no se pueden poner "puertas al campo" durante mucho tiempo.
