Investigan al Hospital de Sant Pau por 'pastelear' con datos de pacientes

Investigan al Hospital de Sant Pau por pastelear con datos de pacientes. La Autoridad Catalana de Protección de Datos (Apdcat) ha incoado un expediente sancionador que podría acabar en multa contra la Fundación privada que dirige el complejo médico, uno de los cuatro de referencia en Barcelona, por ceder información personal a terceras empresas de forma supuestamente ilegal.

Preguntado por la cuestión, la portavocía de comunicación de Sant Pau ha indicado que "no constaba" ninguna investigación al respecto. Lo cierto es que sí la hay y lleva el número de referencia PS 25/2018, según la documentación a la que ha podido acceder este medio. Se inició a finales de julio a raíz de la denuncia de un particular en 2017, que cuestionó ante la autoridad que fiscaliza el correcto uso de las bases de datos personales la relación entre la ciudad sanitaria y una empresa de facturación a pacientes sin tarjeta sanitaria individual (TSI): International Care Patient Assistance (ICPA).

Sin consentimiento del paciente

Según la documentación a la que ha accedido Crónica Global, el organismo de control acepta la relación contractual que tienen la Fundación de Sant Pau e ICPA para "la atención administrativa en referencia a la facturación y gestión de cobros de la asistencia prestada a turistas, transeúntes y residentes extranjeros". No obstante, afea a la dirección del hospital que no creara la "figura jurídica" para que la firma accediera a la base de datos de los pacientes cuando vencieron las sucesivas prórrogas del contrato firmado entre ambos en 2009.

Más grave aún es el hecho de que la Apdcat consigna que "ni la Fundación ni ICPA facilitaron documento alguno a las personas extranjeras atendidas por la empresa en el marco de dicha contratación para que éstas dieran su consentimiento expreso para que la firma accediera a sus datos de salud incluidos en los ficheros de la Fundación". En tal caso, no hubiera sido necesaria la existencia de un contrato ad hoc. Pero el documento de consentimiento no existía, por lo que la actuación de Sant Pau pudo constituir una infracción leve de la Ley Orgánica de Protección de Datos (LOPD).

Hasta 600.000 euros

El denunciante que presentó la queja ante Protección de Datos ha explicado que el expediente sancionador "sienta precedente" en la medida en que los hospitales ceden datos de pacientes a empresas que realizan trabajos de facturación u otro tipo para ellos. "Desde 2015 la relación entre Sant Pau e ICPA está sin contrato. Es una vulneración flagrante de la normativa vigente en protección de información personal", ha indicado en conversación con este medio.

"Los datos de los pacientes a los que facturaba la empresa --ha continuado la misma fuente-- se obtenían, presuntamente, de forma ilegal. ¿Cómo fue posible que un centro sanitario que presta servicio a la red pública cediera información sanitaria personal de los enfermos a una tercera empresa de forma ilícita? ¿Con qué datos se quedaba finalmente la firma y qué uso hacía de ellos?". El denunciante ha agregado que la multa a Sant Pau podría llegar a los 40.000 euros si la infracción se considera leve, o a los 600.000 si finalmente el procedimiento determina que la infracción cometida por la institución sanitaria dirigida por el doctor Albert Salazar Soler fue de carácter grave.