Sociedad

Un hospital destruye un CD con datos de un paciente y acaba con una multa millonaria: conservación y custodia

El caso marca un precedente relevante en la gestión de documentos clínicos aportados por pacientes y en las obligaciones de los centros sanitarios en materia de privacidad y protección de datos.

Un hospital destruye un CD con datos de un paciente y acaba con una multa millonaria: conservación y custodia
As Actualidad
Actualizado a
Síguenos en Google
Compartir
facebook
twitter
whatsapp

IDCQ Hospitales y Sanidad, un centro sanitario que forma parte del Grupo Hospitalario Quirónsalud, con el expediente sancionador nºEXP202402851 de la Agencia Española de Protección de Datos (AEPD), ha sido sancionado con una multa millonaria tras destruir datos de un paciente en formato digital. Exactamente, ha sido condenado a pagar 1.2 millones de euros a una paciente.

Ha sido la Agencia Española de Protección de Datos (AEPD) quien ha impuesto una multa total de 1,2 millones de euros al grupo sanitario IDCQ tras destruir un CD que contenía resonancias magnéticas de una paciente, vulnerando, según el organismo, varios principios clave del Reglamento General de Protección de Datos (RGPD).

La sanción se origina en noviembre de 2021, cuando la paciente acudió a un hospital de IDCQ para una resonancia. Para facilitar la comparación con pruebas previas, llevó consigo un CD con sus imágenes médicas de 2018, 2019 y 2020. El centro conservó el soporte mientras se realizaba la nueva prueba.

Un CD que “desapareció”

Cuatro meses después, el 29 de marzo de 2022, la paciente regresó al hospital para recuperar su CD. El personal le informó de que no estaba disponible. Días más tarde, en abril, recibió un correo electrónico confirmando que el soporte no se encontraba en sus archivos. El hospital alegó que la paciente había firmado una hoja de recogida donde se establecía un plazo de un mes para recoger las pruebas, un protocolo interno que (según sostenía) también aplicaba al soporte externo que la paciente había aportado. Sin embargo, aquella destrucción automática tras un mes supuso el inicio de un procedimiento ante la AEPD. La paciente denunció que sus datos médicos no habían sido protegidos ni custodiados adecuadamente.

La AEPD: el hospital debía custodiar la documentación clínica

La Agencia fue contundente: el CD contenía datos de salud, considerados especialmente protegidos, y su destrucción no estaba justificada. Recordó que, según la normativa, los centros sanitarios deben conservar la documentación clínica durante al menos cinco años, independientemente del soporte o del origen de las pruebas.

El argumento del hospital es que el CD no formaba parte de la historia clínica porque contenía imágenes de otros centros, tampoco prosperó. Para la AEPD, el simple hecho de que el hospital recibiera aquel soporte lo convertía en depositario y responsable de su custodia. Esta actuación vulneró, según el organismo, el artículo 9 del RGPD, referente al tratamiento de datos sensibles. Por ello, impuso una primera multa de 100.000 euros.

Supresión no justificada de datos personales

La Agencia añadió otra sanción de 10.000 euros por infringir el artículo 6 del RGPD, que regula la licitud del tratamiento de datos personales. La destrucción del soporte no obedecía a ningún motivo jurídicamente válido, un error que la AEPD atribuyó a una “falta de diligencia” en el cumplimiento de la normativa de protección de datos.

La multa más elevada: un millón de euros

La sanción más cuantiosa, la de un millón de euros, corresponde al incumplimiento del artículo 25 del RGPD, relativo a la privacidad desde el diseño y el principio de responsabilidad proactiva. La AEPD determinó que el hospital no disponía de ningún procedimiento interno claro para gestionar documentación clínica aportada por pacientes en soportes externos, pese a manejar habitualmente este tipo de material.

El protocolo existente solo explicaba qué hacer con las pruebas generadas por el propio hospital (custodia durante un mes y posterior archivo general), pero no contemplaba cómo tratar los soportes entregados por los pacientes, ni cómo garantizar su devolución segura. “La falta de un procedimiento adecuado evidencia una ausencia de medidas técnicas y organizativas suficientes para garantizar la protección de los datos”, concluyó la Agencia.

Finalmente, la AEPD impuso tres sanciones:

  • 100.000 euros por vulnerar el artículo 9 del RGPD (tratamiento de datos sensibles).
  • 10.000 euros por infringir el artículo 6 (licitud del tratamiento).
  • 1.000.000 de euros por incumplir el artículo 25 (privacidad desde el diseño).

Noticias relacionadas

Salvador Illa abandona el hospital y continuará con su tratamiento en casa
Política

Salvador Illa abandona el hospital y continuará con su tratamiento en casa

Mueren dos pacientes oncológicos en el Hospital de Burgos que recibieron una dosis farmacológica seis veces mayor de la pautada
Sociedad

Mueren dos pacientes oncológicos en el Hospital de Burgos que recibieron una dosis farmacológica seis veces mayor de la pautada

En total, 1,11 millones de euros, que la AEPD redondea en la resolución como 1,2 millones en sanciones administrativas a IDCQ Hospitales y Sanidad. El caso marca un precedente relevante en la gestión de documentos clínicos aportados por pacientes y en las obligaciones de los centros sanitarios en materia de privacidad y protección de datos.

¡Tus opiniones importan! Comenta en los artículos y suscríbete gratis a nuestra newsletter y a las alertas informativas en la App o el canal de WhatsApp. ¿Buscas licenciar contenido? Haz clic aquí

Etiquetado en:
Comentarios
Normas

Rellene su nombre y apellidos para comentar

Te recomendamos en Sociedad

Productos recomendados

Polo Tommy Hilfiger
Polo Tommy Hilfiger
Plan Fútbol de DAZN
Plan Fútbol de DAZN
Cafetera
Cafetera
Pantalón vaquero Lee
Pantalón vaquero Lee