Multa a un hospital por compartir datos procedentes de aseguradoras privadas con el Servicio de Salud Gallego

La Agencia Española de Protección de Datos considera que un hospital privado que da servicios al servicio de sanidad pública tiene que compartir los datos de los pacientes que vienen derivados de ella, no así de los que acuden a sus instalaciones mediante aseguradora privada. La información de estos pacientes ha de ser custodiada por el hospital, pero no compartida con los profesionales de la Sanidad Pública.

Los datos de pacientes que acuden a un hospital por mediación de un seguro privado no deben compartirse con la Seguridad Social, resuelve la Agencia Española de Protección de Datos (AEPD). Un hospital privado gallego deberá pagar una multa de 40.000 euros tras incluir los datos de una de sus pacientes en el sistema compartido por el SERGAS (Servicio Gallego de Salud), a pesar de que esta acudía a consultas privadas.

La paciente se percató de este hecho durante una baja laboral, cuando la mutua que debía hacerse cargo de su asistencia sanitaria alegó que había concertado las pertinentes citas en el hospital privado, a pesar de que ella lo había hecho a través de su seguro.

Este hospital presta servicios tanto a pacientes de aseguradoras como a pacientes de mutuas y el sistema público de salud, en régimen de concierto. Por esta condición, entre los sistemas informáticos se encuentra la integración de la plataforma IANUS, el sistema de historial único del Servicio Gallego de Salud, al que también pueden acceder los servicios de Inspección Sanitaria.

Sin embargo, y a pesar de que en los sistemas informáticos del hospital constaba que la paciente acudía como asegurada de Caser, su historial clínico y de citas fue incorporado a la plataforma Ianus, de modo que cualquier profesional tanto del Servicio Gallego de Salud como del hospital privado podía acceder a él.

Así la mutua tuvo acceso a las citas de la paciente y prescindió de ofrecerle las citas que le correspondían a su baja laboral y al consecuente tratamiento de traumatología.

La AEPD considera que el hospital “no ha incorporado las medidas de seguridad adecuadas para impedir que desde el SERGAS se accediese a toda la información generada por el personal sanitario que presta servicios en el Centro Hospitalario con cargo a un aseguramiento privado”.

En este sentido, la Agencia remite al Decreto 29/2009, de 5/02, de la Conselleria de Sanidade de Galicia, que “regula el acceso y uso a la historia clínica electrónica, establece que el sistema que la integra será IANUS y contendrá toda la documentación clínica generada en los diferentes niveles de prestación a lo largo de todo el proceso asistencial; pero solo la que se ha generado por los profesionales de los centros sanitarios del Servicio Gallego de Salud o los centros concertados”.

De este modo, a pesar de que el hospital no incumple las medidas básicas de seguridad al disponer de accesos regulados con contraseña y usuario, la Agencia  considera que los datos de la paciente recabados como usuaria de un seguro privado no han sido debidamente custodiados por el hospital, al hacerlos accesibles a los profesionales del SERGAS.  Para la AEPD,  “esa información debe ser custodiada por el hospital, pero no tiene que estar accesible a los profesionales del SERGAS.”

Por todo ello, la Agencia Española de Protección de Datos considera que se ha cometido una infracción grave del artículo 9 de la Ley Orgánica de Protección de Datos e impone una multa al hospital privado de 40.000 euros.