En la resolución de la AEPD se apercibe, a un Servicio Público de Salud, ya que no puede ser sancionado debido a un acceso ilícito a un historial clínico.
El reclamante manifiesta en su denuncia que se produjeron accesos indebidos a su historia clínica por parte de una trabajadora del Servicio Público de Salud. El acceso se realizó sin relación asistencial que lo justificara. En el escrito de reclamación se aportaron los certificados de accesos al historial clínico, que fueron solicitados a través de la vía judicial. La investigación acreditó que la trabajadora accedió reiteradamente a datos de salud del reclamante, considerados especialmente protegidos según el artículo 9 del RGPD.
El objeto de la reclamación se centró en la vulneración del principio de confidencialidad e integridad de los datos. La AEPD concluyó que el Servicio Público de Salud no implantó adecuadamente las medidas técnicas y organizativas necesarias. En la resolución se hace referencia a la falta de verificación por parte de la entidad reclamada del perfil de acceso del usuario.
Se han infringido por lo tanto el artículo 5.1.f RGPD del principio de confidencialidad e integridad de los datos y el artículo 32 del RGPD sobre la seguridad del tratamiento. Aunque no se impuso sanción económica por tratarse de una entidad pública, se dictó apercibimiento como medida correctiva.
IMPORTANTE
Los accesos ilícitos se evitarían implementando controles efectivos de acceso bajo fines estrictamente asistenciales y realizando análisis de riesgos.
