La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 1,2 millones de euros a IDCQ Hospitales y Sanidad, perteneciente al grupo Quirónsalud, por destruir un CD con información médica de una paciente sin las debidas garantías de custodia.
Este caso no es una anécdota aislada, sino un precedente significativo sobre cómo las instituciones sanitarias deben tratar y conservar la documentación clínica aportada por los pacientes. Aquí te explicamos qué pasó, por qué es relevante y qué lecciones puede extraer cualquier organización (sanitaria o no) que maneje datos sensibles.
Un CD que “desapareció”
En noviembre de 2021, una paciente llevó a un hospital del grupo IDCQ un CD con resonancias magnéticas de años anteriores (2018–2020) para que sirvieran de comparación con una nueva prueba médica.
Sin embargo, cuando la paciente regresó cuatro meses después para recuperar el CD, el hospital ya no tenía el soporte. Aseguró que, según su protocolo interno, los soportes físicos no recogidos en un mes se destruían automáticamente. La paciente denunció la situación ante la AEPD, alegando que sus datos de salud (clasificados como especialmente protegidos) no habían sido custodiados de forma adecuada.
Vulneraciones del RGPD
Tras analizar los hechos, la AEPD consideró que se habían infringido varios artículos del Reglamento General de Protección de Datos (RGPD):
- Artículo 9 – Datos sensibles: valoró que la destrucción de datos de salud sin justificación vulneraba la protección específica de este tipo de información.
- Artículo 6 – Licitud del tratamiento: la eliminación no contaba con una base legal legítima.
- Artículo 25 – Privacidad desde el diseño y responsabilidad proactiva: el hospital no disponía de protocolos claros para gestionar soportes externos aportados por pacientes.
La mayoría de la sanción (1 millón de euros) se centró en este último artículo, subrayando la importancia de incorporar la privacidad de datos desde el diseño de los procesos internos y con responsabilidad proactiva.
Este incidente tiene implicaciones más allá del simple extravío de un CD:
- La documentación clínica debe custodiarse durante, al menos, cinco años, según la normativa aplicable, independientemente de su formato o procedencia.
- El hecho de recibir datos de un paciente convierte a la organización en responsable de su custodia, con obligaciones legales claras.
- La ausencia de un protocolo definido para documentos externos puede constituir una infracción grave por falta de medidas técnicas y organizativas adecuadas.
Este caso recalca que las políticas de eliminación automática de soportes sin analizar su contenido o valor documental pueden traer consecuencias legales muy importantes.
Protección de la información sanitaria
No es el único caso que pone de manifiesto la importancia de proteger adecuadamente la información sanitaria. Autoridades de protección de datos han sancionado a otras instituciones por no tener medidas de seguridad suficientes, incluso tras brechas de seguridad o ciberataques.
La gestión de datos de salud exige una combinación de protocolos, tecnología y cultura de cumplimiento. Ignorar alguno de estos pilares no solo afecta a la confianza de los pacientes, sino que también expone a las organizaciones a riesgos legales y reputacionales severos.
La multa impuesta a IDCQ Hospitales y Sanidad es un aviso claro de que la protección de datos no puede dejarse al azar en ningún sector, sobre todo cuando se trata de información sensible como la médica. Las organizaciones deben adaptarse constantemente a las exigencias legales y, sobre todo, poner al paciente y su privacidad en el centro de todos sus procesos operativos.
Preguntas frecuentes
¿Qué tipo de datos están especialmente protegidos?
Los datos de salud, biométricos o genéticos, así como información sobre origen racial o étnico, orientación sexual o creencias religiosas, requieren medidas de protección reforzadas.
¿Cuánto tiempo deben conservarse los datos médicos?
En España, la documentación clínica debe conservarse al menos cinco años desde la última atención, independientemente del formato físico o digital.
¿Qué pasa si se destruyen datos de forma indebida?
Puede considerarse una infracción grave del RGPD, con multas que superan fácilmente el millón de euros, como demuestra el caso reciente del hospital sancionado.
¿Quién es responsable de los datos aportados por los pacientes?
El hospital o centro sanitario que recibe los datos es responsable de su custodia, tratamiento y protección, incluso si los documentos provienen directamente del paciente.
¿Cómo evitar sanciones por manejo de datos sensibles?
Implementando protocolos claros de recepción, custodia, acceso y eliminación, junto con formación continua del personal y auditorías periódicas de cumplimiento.
En Forlopd mantenemos nuestro compromiso con la protección de datos, ayudando a entidades, profesionales y empresas a mejorar la privacidad de su información. Para ello les guiamos adaptando sus procesos a las normativas vigentes cumpliendo con el Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos Personales y garantía de los Derechos Digitales (LOPDGDD)
