Tras reconocer la propia gerencia del hospital 'Virgen de la Luz' la venta de datos personales y clínicos de pacientes a una empresa privada, como denunciaron previamente pacientes y la Plataforma en Defensa de la Sanidad Pública de la localidad, la Agencia Española de Protección de Datos ha abierto diligencias previas de investigación sobre la cesión irregular de dichos datos. La agencia actúa de oficio al conocer el caso.
La actuación de la gerencia del hospital no cumple con la Ley Orgánica de Protección de Datos, que en su artículo 7.3 estipula lo siguiente: “Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos, cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”. A su vez, también se incumplen otros artículos de dicha ley como el artículo 44.B.
La cesión, sea remunerada o no, de datos de salud debe ser aprobada explícitamente por los pacientes afectados en todo el país. La gerencia del centro se enfrenta a una fuerte multa de considerarlo así por parte de la AEPD, algo que con la ley en la mano parece bastante probable ya que el texto deja bien claro el tratamiento de estos datos, y no existe una ley que permita la cesión de esos datos. El hospital de Fuenlabrada, en la Comunidad de Madrid, se enfrenta también a la misma sanción por un caso similar.
La Plataforma en Defensa de la Sanidad Pública considera que lo sucedido no ha sido “una incidencia puntual”, como apuntó la gerencia del centro, sino que ha sido una práctica habitual y sabiendo que lo hacían. Destacan también que la gerencia tuvo que reconocerlo al verse acorralada cuando días antes se publicó a nivel nacional la información de la venta de datos a la clínica Recoletas de la capital. Por ello en primer lugar piden que se haga público el acuerdo entre Recoletas y el hospital público, que se conozcan todos los detalles de la operación y los costes de la misma.
Casi a la vez que se anunciaba el comienzo de estas instancias de investigación, el portavoz de sanidad del PSOE en las Cortes, Fernando Mora, pedía a la AEPD que abriera una investigación para analizar el caso, así como todas las operaciones con clínicas externas que se hacen en Castilla-La Mancha por parte de la sanidad pública. “El hecho es muy grave y vamos a pedir que se investigue porque no queremos que se produzca el uso indebido de datos personales que debería custodiar la sanidad pública regional”.
La gerencia argumenta que “ya se han tomado las medidas consecuentes para que estos hechos no se vuelvan a repetir y se siga el procedimiento habitual, el de llamar a los pacientes el propio hospital. Fue sólo una incidencia puntual”.
La multa por las incidencias en el hospital de Cuenca puede alcanzar más de 600.000 euros si la AEPD la considera “muy grave”. Presupuesto mucho mayor de lo que habría costado abastecer el servicio sanitario en el centro público con el personal sanitario necesario, así como mayor que la externalización de servicios que ha realizado el hospital público.
La Plataforma ha solicitado a la Gerencia de Atención Integrada que se tomen responsabilidades por todo lo sucedido y por las consecuencias que puede acarrear sus malas prácticas. El hospital puede recibir la mayor multa que ha impuesto la Agencia Española de Protección de Datos en su historia.