Primeras sanciones en aplicación del RGPD en Portugal
Isabel Bairrão, asociada principal del departamento Mercantil y de las industrias de Tecnología & Outsourcing y Telecomunicaciones & Media.
La Agencia Portuguesa de Protección de Datos (CNPD por sus siglas en portugués) ha impuesto una multa de 400.000 euros al Centro Hospitalario Barreiro-Montijo por dos infracciones del Reglamento General de Protección de datos (RGPD) que es aplicable desde el pasado 25 de mayo de 2018.
La primera infracción hace referencia a la vulneración del principio de integridad y confidencialidad por parte del hospital que no puso en marcha los mecanismos necesarios para restringir el acceso a las historias clínicas de los pacientes (se permitió el acceso indiscriminado a una cantidad excesiva de datos de pacientes a profesionales que únicamente deberían haber tenido un acceso ocasional y de forma justificada). La multa impuesta por esta infracción asciende a 300.000 euros.
A esta cantidad se suman los 100.000 de sanción que la CNPD ha impuesto al Centro Hospitalario Barreiro-Montijo por no aplicar medidas organizativas y de seguridad que garantizaran la confidencialidad e integridad de los datos relativos a la salud que impidieran el acceso no autorizado a datos de carácter personal. El hospital mantenía activo el acceso a los historiales médicos a 985 facultativos a pesar de que su plantilla médica actual está formada por solo 296 médicos. Por ello, la agencia concluye que no se aplicaron los controles de acceso necesarios y que se carecía de normas internas de creación o eliminación de cuentas en función de los distintos niveles de acceso a datos clínicos.
Esta decisión es fruto de la inspección llevada a cabo en julio de 2018 tras recibir una notificación cursada por el Colegio Oficial de Médicos de Portugal. Las multas impuestas se han dictado en el marco de las competencias otorgadas a la agencia por la Ley 67/98 (Ley de Protección de Datos), considerando que la ley de desarrollo del RGPD aún no ha sido aprobada por el legislador portugués. De hecho, la competencia de la CNPD para imponer sanciones ha sido cuestionada por la dirección del hospital que argumentó que los perfiles de usuario y las políticas en materia de acceso fueron impuestos por terceros, probablemente por los Servicios Compartidos del Ministerio de Sanidad (SPMS por sus siglas en portugués), entidad responsable del área de tecnología en los hospitales públicos. El hospital también ha alegado que las herramientas de software disponibles no permiten determinar quién accede a qué datos en los distintos contextos.
Esta decisión es aún susceptible de recurso ante los tribunales administrativos y al menos dos cuestiones se mantienen en el aire: ¿están sujetos los hospitales públicos a las multas previstas en el RGPD? y ¿Tiene la CNPD la potestad de imponer las multas previstas en el RGPD a pesar de no haber sido designada autoridad de control de Portugal de conformidad con lo dispuesto en el artículo 54 del RGPD? En los próximos meses tendremos una respuesta.