RGPD hospital: de investigación AEPD a cumplimiento pleno | BMC

Contexto del mandante

Un grupo hospitalario privado con doce centros en tres comunidades autónomas había crecido mediante adquisiciones sucesivas durante la década anterior, convirtiéndose en una de las redes asistenciales no públicas más grandes de su área de operación. Con más de tres mil empleados entre personal clínico, administrativo y de apoyo, el grupo trataba datos de salud de cientos de miles de pacientes en toda su red.

La infraestructura de seguridad informática del grupo había sido construida de forma incremental al mismo ritmo que el negocio, con cada centro adquirido manteniendo sus propios sistemas y procedimientos de gestión de accesos. Cuando el ataque de ransomware golpeó el sistema central de registros de pacientes del grupo, la superficie de ataque era mayor de lo que habría sido en una arquitectura más unificada, y la capacidad de respuesta al incidente —protocolos formales, personal formado, procedimientos de contacto externo— no se correspondía con la escala de la organización.

La notificación de la brecha a la AEPD, presentada dentro del plazo de 72 horas, era lo que la ley exigía. Lo que siguió fue una investigación de la AEPD que determinaría si el grupo había mantenido medidas de seguridad previas adecuadas y si su proceso de gestión de la brecha había sido legalmente conforme, dos cuestiones para las que el grupo inicialmente carecía de respuestas documentadas completas.

El Reto

La potencial sanción era la preocupación más inmediata, pero no era la única. Los datos de salud bajo el artículo 9 RGPD tienen los requisitos de protección más elevados del reglamento, y la AEPD había establecido precedentes de sanciones económicas sustanciales contra entidades sanitarias en situaciones similares. Más allá del riesgo económico, la exposición reputacional en un sector donde la confianza del paciente es fundamental podía resultar más dañina que la propia sanción.

El análisis inicial reveló que el grupo carecía de un programa de cumplimiento RGPD estructurado en varias dimensiones: no había DPO nombrado formalmente en el grupo (un centro tenía un individuo con responsabilidades de protección de datos, pero sin nombramiento formal ni los requisitos de independencia que el reglamento exige), varias categorías de tratamiento de alto riesgo —incluido el sistema de historia clínica electrónica y la plataforma de telemedicina— no contaban con Evaluaciones de Impacto sobre la Protección de Datos documentadas, y los protocolos de gestión de brechas no cumplían los estándares procedimentales que valoraría la AEPD.

La estrategia de defensa y la construcción del programa de cumplimiento debían ejecutarse en paralelo bajo presión de tiempo: la investigación de la AEPD creaba un plazo urgente que no podía separarse del objetivo a medio plazo de construir una infraestructura de cumplimiento que previniera la recurrencia.

Nuestro Enfoque

Activamos un equipo multidisciplinar combinando abogados especializados en protección de datos, consultores técnicos en ciberseguridad y un especialista en regulación sanitaria en las primeras horas de la consulta inicial. En las primeras setenta y dos horas elaboramos la respuesta sustantiva inicial a la investigación de la AEPD.

La estrategia de defensa se construyó sobre tres argumentos documentados. Primero, la notificación había sido puntual y procedimentalmente completa: el grupo había cumplido el plazo de 72 horas y proporcionado toda la información requerida. Segundo, las medidas de seguridad implantadas antes de la brecha eran apropiadas para la naturaleza y escala de una organización sanitaria de este tipo, aunque mejorables: documentamos las medidas técnicas y organizativas que estaban operativas en el momento del ataque y las comparamos con las normas sectoriales. Tercero, el grupo había adoptado de forma proactiva medidas adicionales de seguridad y mejoras de proceso tras la brecha, demostrando un compromiso genuino con la protección de datos que iba más allá de la respuesta legal mínima. Cada argumento fue sustentado con evidencia documental que el equipo de investigación de la AEPD podía verificar.

En paralelo, diseñamos e implementamos el programa de cumplimiento integral en los doce centros: nombramiento formal del DPO con documentación de su independencia, autoridad y responsabilidades; registro completo de actividades de tratamiento conforme al artículo 30 para todos los centros; EIPDs para todas las actividades de tratamiento de alto riesgo identificadas, incluyendo el sistema de historia clínica electrónica, las plataformas de telemedicina y los sistemas de videovigilancia en zonas de pacientes; un protocolo estandarizado de gestión de brechas con procedimientos de detección, evaluación, notificación y documentación; y un programa de formación específico por rol para los tres mil empleados, estructurado para reflejar las responsabilidades de manejo de datos de cada categoría profesional.

Resultados

La AEPD cerró la investigación mediante resolución de archivo sin imposición de sanción, reconociendo la cooperación activa del grupo con la investigación y las medidas correctoras proactivas adoptadas. Fue el resultado óptimo posible dado el contexto de partida: una brecha de esta naturaleza y escala que afectaba a datos de salud de categoría especial reunía todos los criterios para una sanción sustancial, y el resultado dependió enteramente de la calidad de la respuesta documentada y de la evidencia del programa de cumplimiento presentada.

En los seis meses siguientes, los doce centros del grupo alcanzaron el cumplimiento RGPD pleno, con procesos y documentación consistentes en toda la red en lugar del enfoque fragmentado por centros que había precedido al incidente. Los tres mil empleados completaron el programa de formación específico para su rol profesional. El grupo dispone ahora de una infraestructura de cumplimiento con revisiones anuales, simulacros periódicos de respuesta a brechas e informes trimestrales del DPO al consejo, prácticas que construyen memoria institucional y reducen la probabilidad de recurrencia en la medida en que cualquier organización puede conseguirlo.

Conclusiones Clave

En los procedimientos de supervisión del RGPD, la calidad de la evidencia documentada es con frecuencia más determinante que los hechos subyacentes. Las organizaciones que mantienen registros completos de sus medidas de seguridad, de su proceso de toma de decisiones en evaluaciones de riesgos y de sus procedimientos de respuesta a brechas están en una posición jurídica fundamentalmente diferente de las que no pueden documentar lo que tenían implantado. El plazo de 72 horas para la notificación crea presión para responder de inmediato, pero el caso de defensa se construye en las semanas y meses siguientes —y solo puede construirse sobre evidencia que existe, no sobre evidencia reconstruida a posteriori.