Denuncia en la APDCAT
Multa de 30.000 euros a la empresa municipal de los CAP de Badalona por vulnerar la protección de datos de una paciente
Badalona Serveis Assistencials admite "nueve accesos indebidos" a una historia clínica por parte de una trabajadora
La afectada denunció los hechos ante la Autoritat Catalana de Protecció de Dades, que ha fijado una sanción reducida de 24.000 euros
La Autoritat Catalana de Protecció de Dades investiga a Albiol por posible vulneración de datos personales
El Consejo de Administración de BSA acuerda la adquisición del edificio del Centro de Especialidades de la calle de Sant Anastasi

Ca l'Amigó, edificio donde se encuentra la sede de Badalona Serveis Assistencials / BSA


Gerardo Santos
Gerardo SantosPeriodista de información local. Durante diez años trabajé como redactor freelance para diversas publicaciones y para medios como los diarios Línia, centrado en el Barcelonès Nord.
El último día de noviembre de 2023, la Autoritat Catalana de Protecció de Dades (APDCAT) recibió una denuncia en que se acusaba a una trabajadora Badalona Serveis Assitencials (BSA) ―la organización pública municipal que presta servicios integrales de salud en 16 centros de Badalona, Montgat y Tiana―, de haber "efectuado diversos accesos indebidos a su historia clínica". Concretamente, y según la resolución sancionadora publicada por la APDCAT, queda probado que fueron nueve los accesos, comprendidos entre mayo y julio de 2023, y que ninguno de estos estuvo relacionado con alguna actuación asistencial o de diagnóstico. Así lo ha avanzado el portal 'Confilegal', y ha podido comprobar EL PERIÓDICO.
A raíz de la denuncia, la APDCAT inició una fase de "información previa" para determinar si los hechos eran susceptibles de sanción. Durante dicha fase, se requirió a BSA para que confirmase, y si se daba el caso justificase, los nueve accesos a la historia clínica de la denunciante. En mayo de 2024, BSA confirmó a la Autoritat los accesos mencionados, que la denunciante "no había sido atendida nunca en el centro" en cuestión y que "ni había sido ni es paciente de la persona facultativa que efectuó los accesos". Asimismo, la entidad trasladó a la APDCAT que inició "un expediente sumario por falta muy grave para depurar la responsabilidad de la persona trabajadora".
Fuentes municipales detallan a este medio que BSA sancionó finalmente a la trabajadora con dos meses sin sueldo por estos hechos: "BSA cumplirá con lo que tiene que pagar por su responsabilidad civil, como marca la ley, dado que la infracción la cometió un profesional de BSA". Las mismas fuentes añaden que desde el Ayuntamiento de Badalona "se condena cualquier actuación irregular, como no puede ser de otro modo".
Con la respuesta en la mano, en julio del año pasado la APDCAT decide iniciar el proceso sancionador contra BSA y la subsiguiente notificación a la entidad "por una presunta infracción" relativa a la "protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos". Cinco meses más tarde, la entidad de protección de datos notifica la propuesta de resolución, consistente en una multa de 30.000 euros, "como responsable de una infracción prevista en el artículo 83.5.a con relación al artículo 5.1.f".
Así, se concedía a BSA un plazo de diez días para presentar alegaciones. La entidad pública no solo no presentó alegaciones a la propuesta de sanción, sino que pagó por avanzado 24.000 euros, "correspondientes a la sanción pecuniaria propuesta" por la Autoritat, "una vez aplicadas las reducciones previstas". Además, el pasado 2 de diciembre, BSA presentó un escrito en que "renunciaba a cualquier acción o recurso en vía administrativa" contra la sanción impuesta. BSA alegó, eso sí, que tiene implementadas determinadas medidas de seguridad destinadas a evitar que el personal de la entidad realice accesos indebidos. Alegación rechazada por la APDCAT ya, aun teniéndolas, las mencionadas medidas de seguridad "no evitaron los hechos constitutivos de infracción".
Aunque la APDCAT afirma que puede valorar "positivamente" que BSA haya incoado un expediente disciplinario que ha desembocado en la mencionada sanción, esta circunstancia, sin embargo, "no exime" de responsabilidad respecto a los hechos probados a tenor de la entidad. Para la Autoritat Catalana de Protecció de Dades son atenuantes "la falta de beneficios obtenidos a causa de la infracción", la "falta de intencionalidad en la comisión de la infracción" y "el grado de responsabilidad del responsable del tratamiento" de los datos. Así, se rebaja en 6.000 euros la sanción a BSA por no haberse lucrado de los hechos, en otros 6.000 por haberse demostrado que la entidad "no tenía intencionalidad", y otros 6.000 tras haberse acreditado que BSA implementó medidas de seguridad tras conocer los hechos denunciados.
Por el contrario, se considera agravante la "actividad del infractor con la práctica de tratamientos de datos personales". Dado que la entidad imputada presta servicios integrales de salud y sociales, "es conveniente afirmar que hay una estrecha vinculación entre su actividad" y el tratamiento de datos "especialmente protegidos". Por ello, se suman 1.000 euros a la sanción. La APDCAT considera también agravante que han quedado "afectadas categorías especiales del artículo 9 del Reglamento General de Protección de Datos como por ejemplo, los "relativos a la salud de la denunciante", lo que significa otros 1.000 euros de multa. Finalmente, la Autoritat entiende que BSA incurre en reincidencia (lo que vuelve a sumar 1.000 euros a la sanción), ya que en 2022 fue también multada por hechos similares.
Este caso se suma a la investigación, aún en curso, al alcalde de Badalona, Xavier Garcia Albiol, por parte de la APDCAT, a raíz de la lectura por su parte de un informe médico durante un Pleno municipal el pasado mes de julio. El alcalde quiso desvincular el cierre del único albergue para personas 'sintecho' de la ciudad del fallecimiento de Virginijus, un hombre que dormía en la calle, y lo hizo aludiendo a la sintomatología con que el paciente ingresó en el hospital municipal de Badalona. En un comunicado publicado este martes, Guanyem Badalona ha relacionado ambos casos y ha señalado "graves deficiencias" en los protocolos de seguridad de BSA, así como la "necesidad urgente de mejorar la gestión de los datos confidenciales".
En este sentido, la concejal de Guanyem y exalcaldesa, Dolors Sabater, ha descrito los hechos como una "grave falta de control y respeto hacia la privacidad" de los pacientes: "Queremos saber qué protocolos se implementaron desde el primer caso que se conoció y qué responsabilidades se han asumido ante esta nueva sanción". En su momento, desde el gobierno municipal se trasladó que "el alcalde no dio ningún dato confidencial, sino que defendió a los servicios sociales municipales y explicó que la persona murió a causa de diversas enfermedades".
- Cuatro detenidos por una agresión sexual en la playa de la Barceloneta
- Un alumno de FP que dormía en la calle logra el ofrecimiento de un techo tras la movilización de su instituto en L'Hospitalet
- Estas son las estaciones menos usadas del metro de Barcelona
- Badia del Vallès aprovecha la liberalización de sus miles de pisos protegidos para convertirse en distrito universitario de la UAB
- Los promotores plantean construir dos puertas en los edificios privados con el 30% de reserva social
- Glòries: 10.000 aspirantes para 238 pisos arquitectónicamente novedosos y seductores
- Comuns y vecinos de L’Hospitalet rechazan la posibilidad de construir un polideportivo en el parque de la Alhambra
- Grandes ciudades catalanas se arriesgan a perder millones para su transporte público si no activan sus ZBE este 2025