| Resolución | PS-00287-2018 |
| Firmado | 2018-12-12T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00287/2018, se denunció que el Hospital POVISA, S.A. permitió el acceso indebido a la historia clínica de una paciente por parte del Servicio Gallego de Salud (SERGAS). La denunciante, A.A.A., se encontraba en situación de baja laboral y acudió a la Mutua Universal MUGENAT para un control médico. Durante esta visita, el médico de la mutua informó a la paciente que la Inspección Médica del SERGAS tenía conocimiento de una cita con un traumatólogo en el Hospital POVISA, gestionada a través de su seguro privado con CASER. La paciente no había sido informada de esta cita y denunció que su historial clínico privado había sido accesible para el SERGAS sin su consentimiento.
La investigación reveló que el Hospital POVISA, a través de su sistema de información, permitía el acceso a la historia clínica de pacientes atendidos bajo seguros privados por parte de profesionales del SERGAS. Esto incluía información detallada de citas, diagnósticos y tratamientos realizados bajo el seguro privado de CASER. La denunciante había sido atendida en POVISA exclusivamente bajo su seguro privado, pero su historial clínico estaba accesible para el SERGAS a través de la plataforma IANUS.
El Hospital POVISA argumentó que la integración de la historia clínica única era necesaria para garantizar una atención sanitaria de calidad y evitar duplicidades en las exploraciones médicas. Sin embargo, se determinó que el acceso a la información clínica privada sin el consentimiento explícito de la paciente constituía una infracción del artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD), que establece la obligación de adoptar medidas de seguridad para evitar el acceso no autorizado a datos personales.
Como resultado, se impuso una sanción de 40.000 euros al Hospital POVISA por no haber implementado las medidas de seguridad adecuadas para proteger la información clínica de sus pacientes. La sanción se justificó por la gravedad de la infracción, que afectaba a la privacidad y la seguridad de los datos de salud de los pacientes, y por la necesidad de garantizar el cumplimiento de la normativa vigente en materia de protección de datos.