Primera multa en Portugal de 400.000€ por incumplimiento del nuevo RGPD

El Centro Hospitalario Barreiro-Montijo de Portugal ha sido la primera entidad en recibir una multa por incumplimiento del Reglamento General de Protección de Datos de la Unión Europea (RGPD). La Comisión Nacional de Protección de Datos (CNPD) quien es la autoridad encargada de llevar estos casos en Portugal, sancionó al centro de salud con una multa por un valor de 400 mil euros, debido a políticas de acceso a las bases de datos que permitían a personas no autorizadas a ingresar en los archivos de procesos clínicos de los pacientes.

Los motivos de la sanción que expuso el CNPD fue que el Centro Hospitalario tenía un fallo en cuanto al sistema de control de acceso a la base de datos, por lo que nueve profesionales que ejercían cargos en el departamento de servicio social tenían acceso a datos a los que solo debería tener autorización los médicos. Además, se descubrió que 985 médicos tenían acceso a archivos clínicos, mientras que la nomina de personal del Hospital solo cuenta con 296.

Ante estas infracciones, la Comisión declaró que la administración del Hospital es responsable de los hechos, ya que a esta le correspondía cumplir con las medidas para extraer las cuentas de los médicos que ya no estaban trabajando en el hospital, además de delimitar el acceso del personal.

El CNPD identificó tres tipos de sanciones: la primera, una clara violación a los principios de integridad y confidencialidad; la segunda, una violación del principio de minimización, a las que se le adjuntó a cada una multa de 150 mil euros. Y la tercera, la incapacidad de parte del responsable del tratamiento para garantizar la confidencialidad e integridad de los datos, a la que se le adjuntó una multa de 100 mil euros. Sumando un total de 400.000 por las tres infracciones.

El Hospital aunque no tiene las posibilidades de evitar la multa, ha cuestionado las competencias de la Comisión, estos han alegado que el CNPD no puede ser considerado aún como la autoridad competente, porque aunque el RGPD se encuentre vigente, la ley nacional todavía se encuentra en fase de redacción, por lo tanto todavía es un proyecto de Ley. Sin embargo, estos han asumido las “insuficiencias del sistema”.