La Autoridad Española de Protección de Datos aplicó una sanción en el valor de 200.000 euros a HM Hospitales por deficiencia en el sistema de información hospitalario.
Este sistema es utilizado por todos los centros del grupo hospitalario, y es usado para la gestión integral de los historiales clínicos de todos los pacientes, incluso datos de laboratorio, citas médicas, experiencias clínicas y otros registros esenciales. El sistema no está instalado en HM, sino es un servicio cuya infraestructura se aloja en el Centro de Proceso de Datos de la empresa tecnológica
La sanción tuvo su origen tras una denuncia de un ex trabajador de la empresa, que incluso ha informado a la empresa mediante varios correos entre 2019 y 2022 sobre las vulnerabilidades y necesidades de corregirlas.
Tras investigación, la AEPD identificó múltiples incumplimientos en cuanto al deber de implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, establecidos en el art. 32 del RGPD. Entre las deficiencias, se destaca: (i) tenían un nivel mínimo de cifrado; (ii) el sistema no tenía la configuración para rastrear cuáles usuarios accedían a cuáles datos personales; (iii) los perfiles de acceso a documentos no están bien implementados (enfermería, investigadores).
Cómo resultado, la AEPD resolvió interponer una multa de 200.000 euros.