PROTECCIÓ DE DADES
Infracció greu del CAP de l'Eixample per difondre l'e-mail de centenars de pacients
Resolució de l’Autoritat Catalana de Protecció de Dades que l’ICS ha recorregut davant del jutge || Va enviar correus a 800 persones sense còpia oculta, per la qual cosa totes les adreces eren visibles
Vista de la façana del CAP de l’Eixample, a la Zona Alta.
L’Autoritat Catalana de Protecció de Dades (Apdcat) ha resolt que el CAP de l’Eixample va cometre una “infracció greu” al difondre per error el passat 24 d’octubre les adreces electròniques d’uns 800 usuaris d’aquest ambulatori, al no utilitzar l’opció de còpia oculta a l’hora d’enviar un comunicat informatiu via e-mail.
L’ens públic no recomana a l’Institut Català de la Salut (ICS), organisme públic del qual depèn el CAP, aplicar mesures correctores per reparar els efectes de la infracció, perquè va ser “un fet puntual” i no respon a un procediment habitual dels professionals del centre sanitari.
Si la infracció l’hagués comès un centre privat, la multa seria d’entre 40.000 i 300.000 euros
De fet, l’ICS acredita en les al·legacions, segons figura en la resolució datada a l’abril, que les comunicacions electròniques es fan habitualment amb l’opció de còpia oculta, que impedeix que la resta dels destinataris de l’e-mail pugui veure els correus dels altres, i va atribuir el succeït a una “errada humana”.
Així mateix, al ser l’infractor un centre de salut públic, la llei orgànica de Protecció de Dades de Caràcter Personal impedeix que pugui aplicar-se una multa econòmica, la qual cosa sí que seria procedent en cas que la infracció l’hagués comès un centre privat −d’entre 40.000 i 300.000 euros- segons va puntualitzar aquest dimarts el cap d’Inspecció de l’organisme català, Carles San José.
L’ICS ha recorregut davant el jutjat contenciós administratiu la resolució, encara que el pronunciament de l’Apdcat és ferm i preveu difondre ben aviat la resolució a la seua pàgina web. Tal com va publicar aquest diari, la infracció es va produir quan l’ambulatori va enviar un correu electrònic en el qual detallava els passos a seguir per accedir al servei en línia de La meva salut. Val a destacar que aquests fets no han suposat, en cap cas, la difusió de dades sanitàries personals.
L’Autoritat Catalana de Protecció de Dades va resoldre el 2016 que l’hospital Arnau de Vilanova de Lleida va cometre una “infracció molt greu” de la llei de Protecció de Dades de Caràcter Personal a l’haver eliminat part d’una història clínica d’una pacient abans de temps.
En concret, parteix del document que recull els controls sobre un part. Després de detectar la incidència, l’hospital va canviar el protocol de registre de dades per evitar més errors en el futur. Si la infracció l’hagués comès un hospital privat, en aquest cas, la sanció hauria estat d’entre 300.000 i 600.000 euros.
Les claus
- Organisme de la Generalitat. L’Autoritat Catalana de Protecció de Dades depèn de la Generalitat i garanteix el dret a la protecció de dades personals i d’accés a la informació. També assessora sobre les obligacions que preveu la legislació vigent en aquest àmbit i controla que les entitats la compleixin.
- Infracció greu. L’Autoritat Catalana de Protecció de Dades resol que el CAP de l’Eixample va cometre una “infracció greu” al difondre per error l’e-mail de centenars d’usuaris de l’ambulatori en un enviament de correu massiu. Al ser un centre de salut públic, no pot aplicar-li una sanció econòmica.
- Multa. En canvi, si la mateixa infracció l’hagués comès un centre privat, seria sancionat amb una multa d’entre 40.000 i 300.000 euros. Així ho recull la llei orgànica vigent.
- Al·legacions. En la resolució de l’Apdcat, l’ICS al·lega que va ser un error puntual i que les comunicacions electròniques es fan habitualment amb l’opció de còpia oculta, sense que es vegin els destinataris. Per aquesta raó, l’autoritat no li demana mesures correctores.
