El profesional sanitario (PS) que accede a una HC injustificadamente puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria, laboral y administrativa – de acuerdo a la normativa de protección de datos que en algunos casos pueden darse, incluso de modo conjunta.
Tratamos con detalle dichas repercusiones profesionales en este post . Desde entonces han pasado unos años y empieza a ser más común que los tribunales se pronuncien sobre ello – dado que hace unos años era un tipo de delito relativamente nuevo e inherente al uso de de la historia clinica electrónica / compartida.
En primer lugar, este tipo de accesos está sancionado en el Código Penal (CP) como delito de descubrimiento y revelación de secretos. En el CP se prevén penas de hasta 5 años de prisión según los casos, a las que se suman penas de multa, suspensión de empleo y sueldo o inhabilitación profesional.
Por otro lado, cuando la infracción cometida no tenga cuando no tengan la suficiente gravedad como para ser delito, estas conductas se podrán castigar como una sanción administrativa.
En el caso de las entidades públicas, dicha sanción podrá consistir en él apercibimiento de la administración o entidad pública para la que se trabaje y, en su caso, se dará publicidad de la infracción cometida.
Si se trata de centros privados se aplicarán las correspondientes sanciones previstas en la normativa de Protección de Datos (entre ellas, la imposición de multas).
En el caso del profesional que realice su actividad para un centro se le podrá imponer una sanción disciplinaria. Además, la vulneración del deber de confidencialidad que supone el acceso injustificado a la historia clínica es contemplada en la mayor parte de códigos deontológicos de la profesión es sanitarias como falta grave o muy grave acarreando consecuencias que llegan hasta la inhabilitación profesional.
Por otro lado, el acceso indebido a la historia clínica puede dar lugar al deber de abonar a la víctima una indemnización de carácter civil, cuya cantidad dependerá de la valoración de los tribunales, se considera un daño moral por vulneración del derecho a la intimidad.
Es importante recordar que la responsabilidad por el acceso indebido a los datos de la HC surge como no solo por la revelación a terceros de los datos conocidos a propósito del acceso a la misma; qué es lo que – en un primer momento – pudiera parecer más grave. Si no que el PS puede enfrentarse a todas o alguna de las consecuencias descritas simplemente por el mero acceso injustificado a la historia clínica, incluida la pena de prisión.
Para ser meridianos, si se accede sin el consentimiento del paciente, o sin que concurra alguna de las finalidades protegidas por la ley entre ellas la más habitual la prestación del servicio que determina la consulta de los datos precisos para efectuarla, ese acceso ya es indebido y susceptible de conllevar la consecuencia grave para el profesional. Sin perjuicio de que si, además, la información indebidamente consultada es revelada las consecuencias legales tan todas vía más grave si cabe.
Brechas de Seguridad y Obligaciones del PS
Debe tenerse en cuenta, que este tipo de conductas inciden también en las obligaciones relacionadas con la notificación de brechas de seguridad a las Autoridades (AEPD) de Protección de Datos, y en su caso, la comunicación a los propios interesados .
Y debe señalarse en el contexto de brechas de datos personales en el ámbito de salud, la Agencia ha constatado que se están produciendo brechas de confidencialidad causadas por el acceso indebido de miembros de la organización a datos de la HC de pacientes.
Otras brechas de datos personales similares notificadas con frecuencia en el ámbito sanitario son el envío de documentación con datos de salud o datos genéticos a destinatarios incorrectos coma la destrucción sin garantías de confidencialidad de soportes de datos, o el extravío de muestras biológicas que permitan identificar al paciente.
Uno de los tipos de incidentes que están causando brechas de datos personales capaces de paralizar por completo la actividad sanitaria de un centro o de un profesional y que ocasionan un daño muy alto para los derechos y libertades de las personas son los ciber incidentes del tipo ransomware.
El ransomware puede cifrar datos personales y sistemas informáticos, afectando a la disponibilidad de los datos y de los medios para tratarlos. En muchas ocasiones se produce también la exfiltración de los datos personales, lo que afecta la confidencialidad.
Estos incidentes suelen ir acompañados de intentos de extorsión tanto al profesional sanitario como a los pacientes afectados por la brecha, solicitando cantidades elevadas de dinero por recuperar y no hacerlos públicos.
La aplicación de medidas de seguridad preventivas específicamente destinadas a evitar este tipo de incidentes y disponer de sistemas de respaldo, no solo de los datos sino también de los servicios es vital para minimizar el riesgo sobre las personas afectadas y dar cumplimiento a las obligaciones del Reglamento de Protección de Datos.
Fuente : AEPD –
Imagen de jcomp en Freepik
Derecho y Salud no van siempre de la mano 