No comprobar bien a quién le enviamos una historia clínica puede salir caro, en concreto puede salir por 10,000 euros siempre y cuando actuemos con celeridad una vez nos demos cuenta del problema.
Esto lo sabe bien un hospital italiano que envió datos personales sanitarios a la persona equivocada no solo una vez sino dos y que, a pesar de haber dado inmediatamente los pasos para resolver la situación, no ha logrado evitar la sanción de la agencia italiana de protección de datos.
El caso parte de dos pacientes que solicitan la copia electrónica de sus historias clínicas. En cumplimiento de la ley, el hospital prepara dichas copias y las envía a los respectivos interesados. Pero cuando uno de ellos abre el sobre, se da cuenta de que en la portada de la carpeta no figura su nombre sino el de otro paciente.
La persona se pone inmediatamente en contacto con el hospital y les informa del error. El hospital, por su parte, se mueve rápido, recupera la carpeta y le pide a la persona que la ha recibido que firme un documento en el que asegura que no ha consultado ni copiado los datos. Luego se pone en contacto con la interesada y la informa de los hechos y de las medidas tomadas para solucionar el problema.
Por último informa de la brecha a la agencia de protección de datos y da cuenta de que el problema ha sido puntual y que no se trata de un problema sistémico o de un procedimiento mal diseñado.
En un segundo caso, el mismo hospital envió por correo los datos diagnósticos de un paciente a otro y viceversa. En este caso, también fueron los propios pacientes los que avisaron al hospital que envió un conductor de empresa a recuperar el sobre y, una vez más, pidió que se firmase una declaración en la que se aseguraba no haber consultado ni copiado los datos.
La empresa informó también a la persona afectada en este caso y también a la autoridad. De nuevo subrayó su celeridad y buena voluntad y recalcó que se trataba de un fallo puntual.
La empresa, en vista de su actuación rápida y certera a la hora de minimizar los posibles daños, solicitó el archivo del caso a la autoridad italiana.
Por su parte, la Garante per la Protezioni dei Dati Personali, la agencia italiana de protección de datos, tras analizar el caso, reconoció que los argumentos atenuantes presentados por la empresa merecían ser tenidos en cuenta:
Por un lado, se trataba de un error puntual y aparentemente no sistémico, los interesados no habían expresado interés en ser resarcidos e incluso habían agradecido la diligencia con la que la empresa había gestionado los casos y, además, los errores no habían involucrado ninguna infraestructura de la empresa y esta había ya dado los pasos para introducir las modificaciones necesarias para que tales problemas no se volviesen a producir.
Sin embargo, aun teniendo en cuenta todos estos atenuantes. La autoridad italiana no los consideró suficientes como para archivar el caso y resolvió sancionar al hospital con una multa de 10,000 euros con la intención de que esta sanción sea efectiva, proporcionada y disuasoria.
Los datos sanitarios, recordamos, son datos especialmente sensibles bajo el Reglamento General de Protección de Datos y en su tratamiento se deben extremar todas las precauciones.