La Agencia Española de Protección de Datos ha emitido una reciente resolución en la que sanciona con 200.000 euros de multa a un grupo hospitalario por la aplicación deficiente de medidas de seguridad en el sistema de software utilizado para la gestión de los centros. En concreto, el sistema informático dispone de bases de datos que abarcan datos de pacientes, historias clínicas, información de laboratorios y citaciones en los centros para consultas.
Una resumen de las principales deficiencias detectadas por la AEPD en la implementación del software utilizado por la entidad, es el siguiente:
- La aplicación utiliza un sistema de cifrado por defecto en el servidor del sistema, que se consideraba insuficiente para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos, especialmente considerando la gran escala y la naturaleza sensible de la información médica tratada en el sistema.
- El cifrado implementado inicialmente por la organización solo dificultaba el acceso en caso de pérdida física del sistema, pero no impedía el acceso a los datos en caso de acceso indebido al sistema. Cuestión que la propia organización reconoce en sus alegaciones que era una situación que tenía que mejorar.
- La organización no valoró adecuadamente si el sistema de cifrado era suficiente.
- La organización no realizó auditorías en los últimos tres años para garantizar la eficacia de las medidas de seguridad implementadas.
- Se detectaron deficiencias en la trazabilidad específica de las historias clínicas.
- La aplicación no permitía registrar a qué historia clínica concreta había accedido cada usuario, a menos que se hubieran modificado los registros.
- Tampoco contaba con un sistema de bloqueo y supresión de datos lo cual implicaba una deficiencia en el principio de conservación de datos.
- Se detectaron perfiles de usuario mal implantados, lo que generaba riesgos de acceso no autorizado a la información al no existir trazabilidad.
En resumen, la sanción a la organización se basa en la falta de diligencia en la implementación y control de las medidas de seguridad para la protección de datos personales en su sistema de información, teniendo en cuenta que, además, estaba obligada a cumplir con las medidas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS).
La conclusión de esta resolución, una vez más y puesta en relación con el artículo 32 del RGPD que exige la implementación de medidas de seguridad en los tratamientos de datos en función de su naturaleza, alcance, contexto y fines de tratamiento, es que las entidades que manejan datos personales deben adoptar un enfoque proactivo y continuo hacia la seguridad de la información. La verificación de las medidas de seguridad no es un evento único, sino un proceso constante que requiere atención y diligencia.
