La organización FACUA-Consumidores en Acción ha informado en un comunicado de que la Agencia Española de Protección de Datos ha confirmado que el Hospital Virgen de la Luz de Cuenca ha sido apercibido por "ceder datos personales e historiales médicos de los pacientes de su servicio de Neurofisiología" a la clínica privada Recoletas de la capital conquense "sin cifrar la información, pese a tratarse de datos especialmente protegidos".

Desde FACUA añaden además que la clínica Recoletas de Cuenca ha sido sancionada con una multa de 40.001 "por haber subcontratado al Centro de Estudios Neurológicos sin la autorización del Hospital Virgen de la Luz y haber cedido los datos de los pacientes sin protegerlos con cifrado".

Tal y como recuerda la organización de consumidores, el caso fue denunciado por FACUA en agosto de 2014, "tras detectar que el Hospital en cuestión estaba cediendo los datos de sus pacientes a entidades privadas que contactaban a los afectados en su nombre para ofrecerles sus servicios".

En su investigación, la AEPD ha constatado, según FACUA, "que dicho traspaso de datos sin el consentimiento de los afectados entre el centro público y el hospital Recoletas tuvo lugar".

"FACUA lamenta que la Agencia no lo considere irregular a pesar de que se trata de información especialmente sensible, protegida por la Ley Orgánica de Protección de Datos", añaden desde la entidad.

Además de apercibir al hospital público, la Agencia ha sancionado también a la Clínica Recoletas por haber cedido a su vez los datos de los pacientes al Centro de Estudios Neurológicos Varela de Seijas, centro al que subcontrató para realizar una de las pruebas diagnósticas que le había encargado hacer el Hospital Virgen de la Luz sin ningún tipo de autorización ni de validación por parte del Servicio de Salud de Castilla La Mancha, del que depende el hospital.

La AEPD indica en su resolución que ha podido comprobar que ambos centros privados, la clínica Recoletas y el CEN, intercambiaron datos de los pacientes del Hospital Virgen de la Luz sin el consentimiento de éste y sin tomar las medidas de seguridad requeridas para la protección de estos datos, especialmente protegidos por la legislación.

FACUA considera "insuficiente" la multa de 40.001 euros impuesta a la clínica Recoletas. "La Agencia ha decidido rebajar la sanción de muy grave a grave porque, en sus alegaciones, la clínica admite su culpabilidad. La asociación considera que las sanciones deben ser proporcionales a la irregularidad cometida, que en este caso afecta a unos datos especialmente protegidos por la ley", finaliza FACUA en su comunicado.

Fechada en diciembre de 2015

La resolución de la AEPD a la que se refiere FACUA fue firmada el 22 de diciembre de 2015, y en ella, según recoge Europa Press, se da por hecho que ante la denuncia de una posible cesión inconsentida de los datos personales de los pacientes del Hospital Virgen de la Luz de Cuenca a centros médicos privados, se han llevado a cabo actuaciones previas de investigación en las que se ha constatado que el Servicio de Salud de Castilla-La Mancha suscribió un Convenio de vinculación con una serie de entidades sanitarias externas para la prestación de servicios sanitarios al mismo.

Por su parte el Hospital Virgen de la Luz de Cuenca ha suscrito un contrato con la entidad privada Hospital Recoletas de Cuenca SLU, para la realización de diversas pruebas diagnósticas a los usuarios del Servicio de Salud de Castilla la Mancha.

Estos contratos incluyen anexos referidos al tratamiento de datos personales en el que se definen las condiciones conforme a las cuales se tratarán los datos personales a los que se tenga acceso durante el tiempo que dure el contrato. En el curso de la Inspección realizada por esta Agencia a la entidad Hospital Recoletas Cuenca SLU se comprobó que este centro procedió a subcontratar la realización de una de las pruebas diagnósticas que figuraban en el contrato con el Hospital Virgen de la Luz de Cuenca sin la autorización o conocimiento del responsable del fichero para la subcontratación del servicio, lo que podría suponer una cesión de datos sin consentimiento por parte del Hospital Recoletas Cuenca SLU.

Por otra parte se comprobó que los correos electrónicos enviados desde el Hospital Recoletas Cuenca SLU al Centro de Estudios Neurológicos Varela de Seijas S.L. con los datos de los pacientes y de las pruebas solicitadas, no se encontraban cifrados por medio de contraseña, lo que podría suponer un incumplimiento de las medidas de seguridad por parte del Hospital Recoletas Cuenca SLU.

En la Inspección realizada en el Centro de Estudios Neurológicos Varela de Seijas S.L. pudo comprobarse que los correos electrónicos enviados desde el Centro de Estudios Neurológicos Varela de Seijas S.L. al Hospital Recoletas Cuenca SLU con los datos de los pacientes y de las pruebas realizadas, no se encontraban cifrados por medio de contraseña, lo que podría suponer un incumplimiento de las medidas de seguridad por parte del Centro de Estudios Neurológicos Varela de Seijas S.L.