- La AEPD impone una multa de 200.000 euros a HM Hospitales por no garantizar la seguridad de los datos personales de los pacientes.
- La sanción surge a raíz de una denuncia de un ex empleado que reportó fallos graves en el sistema de información hospitalaria.
- La investigación reveló incumplimientos en la trazabilidad de accesos y falta de auditorías en el sistema de gestión de historiales médicos.
La denuncia de un ex empleado destapa deficiencias graves
La Agencia Española de Protección de Datos (AEPD) ha sancionado a HM Hospitales con una multa de 200.000 euros tras constatar que el grupo no cumplía con las medidas de seguridad exigidas para proteger los datos personales en su sistema de gestión de historiales clínicos. La sanción fue motivada por la denuncia de un ex empleado, quien alertó sobre importantes fallos en el software de información hospitalaria empleado en todos los centros de HM Hospitales, afectando la confidencialidad y seguridad de datos médicos sensibles.
La denuncia, presentada el 29 de agosto de 2022, especifica que el sistema utilizado por el grupo hospitalario presenta vulnerabilidades críticas, especialmente en la trazabilidad de los accesos a los datos de los pacientes, lo cual dificulta el control sobre qué usuarios tienen acceso a información médica. Además, el denunciante informó de estos problemas a la directiva en repetidas ocasiones, sin que se tomaran medidas correctivas.
Sistema alojado en servidores externos y con fallos de seguridad
Según el denunciante, el sistema de información de HM Hospitales no está alojado en sus instalaciones, sino en servidores de una empresa externa, los cuales también presentaban deficiencias en la protección de datos sensibles. Este aspecto, sumado a la antigüedad del sistema y a la falta de actualizaciones de seguridad adecuadas, elevaba los riesgos de accesos no autorizados y fallos en la protección de los historiales médicos de miles de pacientes.
Uno de los puntos más críticos expuestos en la denuncia fue la incapacidad del sistema para rastrear adecuadamente los accesos, lo que compromete seriamente la trazabilidad y control de quién accede a los datos personales. El ex empleado comunicó estos riesgos a la empresa en diversas ocasiones entre 2019 y 2022, pero sus advertencias fueron desestimadas.
Múltiples incumplimientos y falta de medidas de seguridad
La AEPD, tras investigar los hechos, determinó que HM Hospitales incumplió varias disposiciones del Reglamento General de Protección de Datos (RGPD), particularmente el artículo 32, que exige implementar medidas técnicas y organizativas para salvaguardar la seguridad de los datos personales. A lo largo de la investigación, que incluyó una revisión exhaustiva de las vulnerabilidades denunciadas, la AEPD concluyó que HM Hospitales no había adoptado las precauciones necesarias para mitigar los riesgos de acceso indebido y pérdida de información.
Como resultado, el grupo hospitalario ha recibido una sanción de 200.000 euros por no garantizar la seguridad adecuada en el manejo de información altamente sensible, como exige la normativa europea de protección de datos.
