Una de las principales obligaciones que vienen marcadas por la normativa de protección de datos, es la realización de una auditoría de carácter bienal, sobre el nivel de cumplimiento de las medidas de seguridad adaptado cuando los datos tratados o bien sean de nivel medio y/o alto, o cuando se produzcan modificaciones sustanciales en los sistemas de información.
Esta obligación cobra especial importancia en los Centros Sanitarios tanto públicos como privados, dado que al menos uno de sus ficheros contendrá los datos de salud, la historia clínica, de sus pacientes por lo que les será de aplicación las medidas de seguridad de nivel alto.
Pero no debemos olvidar, que la obligación de esta Auditoría no se da como hemos dicho, únicamente por tratar datos de nivel medio y/o alto, sino también por cambios sustanciales en los sistemas de tratamiento de datos, que cada vez son más frecuentes, a causa de la integración de las tecnologías de la información y la comunicación aplicadas al mundo sanitario, con conceptos tales como la Historia Clínica Electrónica y la E-Receta, así como la evolución de los software de salud, conllevando la necesidad de una continua actualización y realización de las Auditorías.
El incumplimiento por parte de los responsables del tratamiento de datos de la realización de esta revisión de medidas de seguridad lleva aparejada el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos, que califica el hecho como una infracción grave, con una posible sanción que oscila entre los 40.001€ hasta los 300.000.
Por todo lo expuesto, queda claro que el cumplimiento de la normativa de protección de datos va más allá de una simple y primera adaptación, al ser en algunos supuestos necesaria su constante actualización a través de Auditorías, que plasmen la situación real del cumplimiento de las medidas de seguridad, junto con las recomendaciones necesarias para su correcta aplicación.