El Information Commissioner’s Office (ICO, en su acrónimo inglés), que es el homólogo de nuestra Agencia Española de Protección de Datos, ha sancionado con 180.000 libras (a ojo, unos 230.000€…) a un hospital público, concretamente, el Chelsea and Westminster Hospital NHS Foundation Trust, por una violación de la legislación anglosajona en materia de protección de datos.

Qué ha pasado

Según se afirma en la Resolución de sanción (los curiosos, la pueden leer aquí), el hospital en cuestión ha cometido un par de errores en el envío de emails. ¿Tan grave es la cosa? Pues, , la cosa es muy grave.

En Marzo de 2010, el hospital envió (sólo…) 17 emails a otros tantos usuarios del servicio del tratamiento para el VIH, presentándoles un cuestionario. Cometieron el error de no poner las direcciones de emails con «CCO«. De esta forma, todos los receptores de los emails conocieron las identidades de los demás usuarios de este tratamiento tan delicado.

A consecuencia de este error, el hospital puso en marcha una serie de medidas para intentar evitar un error de similares características, pero olvidándose del elemento más débil en la seguridad de la información: los usuarios. Es decir, no pensaron en dar formación para que se usaran correctamente los datos personales de los pacientes. Y así les fue.

El 1 de septiembre del 2015, volvió a meter la pata, esta vez, con un envío de 781 emails a los usuarios del servicio Option E (servicio destinado a pacientes en tratamiento por IVH).

Es decir: por una vez, pase; la segunda: te crujo con 180.000 libras esterlinas. Que no es poco…

 

Qué hubiera pasado en un hospital público español

Nada.

La actual LOPD no prevé sanciones económicas a entidades públicas. Esperemos que, con la entrada en vigor del Reglamento Europeo 2016/679 (para los amigos, el GDPR), cambien las cosas. Pero no confíen mucho en ello.

¿Quieres saber más sobre estos asuntos? Envíanos un email.