La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) emitió una reprimenda a NHS Highland por un “abuso grave de confianza” después de que el servicio de salud expusiera inadvertidamente detalles personales de pacientes que probablemente accedieran a servicios de VIH.
El incidente se desarrolló cuando alguien en la organización envió un correo electrónico a 37 personas que probablemente accederían a los servicios de VIH, copiando sin darse cuenta sus direcciones de correo electrónico en el campo de copia al carbón (CC) en lugar del campo de copia al carbón oculta (BCC).
Tal lapso es una violación común de la higiene y la etiqueta de seguridad del correo electrónico que en muchos casos pasaría desapercibida. Sin embargo, se considera una violación de datos porque, por regla general, ninguna de las partes involucradas ha dado su consentimiento para que sus datos de contacto se compartan con otros.
A la luz de la naturaleza sensible de los datos sobre pacientes con VIH, muchos de los cuales aún viven con vergüenza y estigma a pesar de los dramáticos avances médicos que han convertido al VIH en una condición médica manejable, el ICO dijo que “simplemente no había excusa” para la violación. .
“Lo que vimos aquí con NHS Highland fue un grave abuso de confianza, y aquellos que acceden a servicios vitales [were] fracasó”, dijo el comisionado adjunto de supervisión regulatoria de ICO, Stephen Bonner.
“Las apuestas son demasiado altas. Las investigaciones muestran que las personas que viven con el VIH han experimentado estigma o discriminación debido a su estado, lo que significa que las organizaciones que manejan este tipo de información deben tener el máximo cuidado con sus datos personales.
“Todos los proveedores de servicios de VIH en el país deberían analizar este caso y verlo como una experiencia de aprendizaje crucial. Hacemos un llamado a las organizaciones para que eleven sus estándares de protección de datos y establezcan las medidas adecuadas para mantener a las personas seguras”.
En este caso, el ICO ha limitado su actuación a una amonestación en lugar de una multa. Esto refleja los cambios realizados el año pasado por el comisionado de información entrante John Edwards para reducir las multas emitidas al sector público.
Esto se hizo sobre la base de que las grandes multas contra las organizaciones del sector público rara vez afectan a los directores y accionistas como lo hacen en el sector privado y, en cambio, repercuten en el contribuyente en forma de presupuestos reducidos para servicios vitales.
En una declaración compartida con los medios, NHS Highland reconoció y aceptó los hallazgos de la ICO y dijo que estaba haciendo todo lo posible para evitar que se repitiera el incidente. Ya ha cambiado su dominio de correo electrónico como parte de un despliegue nacional más amplio. La organización ha pedido disculpas sin reservas a las personas afectadas.
Paul Holland, director ejecutivo de Beyond Encryption, comentó: “Se informa continuamente que el correo electrónico es una de las principales causas de filtraciones de datos, pero está claro que tanto las organizaciones como los consumidores desconocen los riesgos de seguridad que conlleva el uso de este canal de comunicación.
“La última investigación realizada por Beyond Encryption mostró que una cuarta parte de los consumidores había compartido por error información personal por correo electrónico con el destinatario equivocado. Es vital que las organizaciones implementen medidas de seguridad adecuadas para mitigar los errores humanos y proteger los datos personales.
“El uso generalizado del correo electrónico por parte de las organizaciones para compartir y solicitar información personal valiosa también es motivo de gran preocupación. Las empresas han pedido a casi las tres cuartas partes de los consumidores que compartan información personal por correo electrónico, y una cuarta parte afirma que los profesionales de la salud han solicitado esta información, a pesar de que el correo electrónico no es seguro por naturaleza.
“Como muestra esta última infracción de NHS Highland, esta es una estadística muy preocupante, que plantea serias dudas sobre cómo se protegen los datos personales de los consumidores. A medida que avanzamos hacia una era cada vez más digital, las organizaciones deben implementar las herramientas adecuadas para proteger los datos de los clientes y consumidores”, dijo.