La Agencia Española de Protección de Datos (AEPD) ha decidido sancionar al Servicio Cántabro de Salud (SCS) por la pérdida de documentación e información personal y datos médicos de un usuario que había solicitado el reembolso de los gastos de realización tanto de una prueba diagnóstica como del traslado a Bilbao y las correspondientes dietas.
El expediente también requiere al SCS que “implante las medidas correctoras que impidan que en el futuro se repitan hechos similares”
Tal y como recoge el expediente emitido por la Agencia este mismo martes, y consultado por este medio, la investigación considera probado que “el Servicio Cántabro de Salud ha extraviado la solicitud a que se refiere este expediente, junto con la documentación adjunta a la misma, que incluía facturas, informes médicos” y un CD con toda la documentación en formato digital.
La Agencia considera que existe una “violación de seguridad de los datos personales” de Gustavo, el paciente que ha denunciado lo ocurrido, al “haberse producido una pérdida de la documentación aportada” y sin que el SCS “haya aportado información alguna” sobre lo que ha podido ocurrir o dónde se encuentra.
En concreto, la Agencia de Protección de Datos sanciona al Servicio Cántabro de Salud por dos motivos diferentes. Por un lado, por la pérdida de la documentación sin que se “haya podido dar razón de su paradero” ante la reclamación; por otro, por no contar con las medidas de seguridad adecuadas para evitar brechas de seguridad como la ocurrida.
El expediente también requiere al SCS que “implante las medidas correctoras que impidan que en el futuro se repitan hechos similares”, además de actualizar su “plan de actuación para la gestión y notificación de las brechas de seguridad, en un plazo de 3 meses, e informe a esta Agencia de lo requerido en el mismo plazo”.
HECHOS PROBADOS
Los hechos se remontan a septiembre de 2020, cuando Gustavo presentó en el Centro de Salud Doctor Morante de Santander (también conocido como Centro de Salud Dávila) toda la documentación necesaria para el “reintegro de gastos”, acogiéndose para ello a la Ley 7/2006 relativa a las garantías de tiempos máximos de respuesta en atención sanitaria especializada en el sistema sanitario público de Cantabria.
A juicio de Protección de Datos, el SCS no tenía implementadas “medidas para evitar una brecha de seguridad”
En realidad, un centro de salud no es lugar para presentar este tipo de reclamaciones, como de hecho señala el SCS en su respuesta a la Agencia que se recoge en el expediente, pero a pesar de eso, “la coordinadora de admisión del Centro de Salud Dávila manifiesta por escrito que presentó la documentación”. Es decir, aceptó la solicitud. Tres meses después, el usuario no había recibido contestación a la petición, por lo que presentó una “reclamación exigiendo responsabilidades por el extravío de la documentación”. Apenas cinco días después, “se abona al interesado la cantidad” correspondiente a la prueba, desplazamiento y dietas, pero no se contemplan gastos derivados por las copias de los documentos.
Ante la sospecha de que su información personal y médica pudiera haberse perdido, desconociendo por tanto el paradero en el que podrían estar, el afectado decidió en abril de 2021 acudir a la Agencia de Protección de Datos, que durante su investigación reclamó al SCS una respuesta ante estas acusaciones.
Lejos de aclarar la situación, el expediente detalla que desde el servicio sanitario cántabro, en un primer momento, se limitó a decir que “se ha procedido a abonar al reclamante” la cantidad correspondiente, pero nada relativo al extravío de la “documentación con datos personales y clínicos”, por lo que la Agencia “infiere una posible vulneración” en materia de protección de datos.
Es por ello que, en mayo del pasado año (un mes después de iniciarse el expediente), la AEPD reclama información detallada sobre lo ocurrido, la seguridad del tratamiento de datos que posee el SCS y la posible “recurrencia de estos hechos y número de eventos análogos”. No es hasta junio cuando la sanidad cántabra responde con un informe de la Directora Gerente de Atención Primaria. De nuevo, en él se habla de muchas cosas menos de lo que la Agencia española reclama.
El expediente reproduce íntegramente dicho informe, en el que se detalla que “las áreas de admisión en los Centros de Salud no son Oficinas de Asistencia en Materia de Registro para que los ciudadanos/usuarios/pacientes puedan formular solicitudes y presentarlas junto con la documentación que corresponda”.
Añade además que la gerencia cántabra trabaja para implementar “adecuados sistemas informáticos que permitan la obtención de toda la información y la adecuada explotación de los datos a nivel de gestión sanitaria en los Centros de Salud para que la valija interna sea electrónica y se asegure la trazabilidad de cualquier documento”. A juicio de Protección de Datos, esto confirma que el SCS no tenía implementadas “medidas para evitar una brecha de seguridad”, y son “evidencias suficientes respecto a la ausencia de medidas de seguridad adecuadas”.
No solo eso, sino que recuerda que Atención Primaria reconoce que, aunque se trabaja en estos sistemas informáticos, es algo que “no se encontraría entre sus prioridades”, pues el informe de la gerente de Atención Primaria explica que se centran en “atender las necesidades de tratamiento electrónico de los datos que son más necesarios en esta situación epidemiológica especial de la Covid-19”. Todo ello llevó a la AEPD a iniciar en abril de este 2022 el procedimiento sancionador, ante el que “no se ha recibido alegación alguna por la parte reclamada”.
