UN AVISO PARA TODO EL SECTOR SANITARIO
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 1.200.000 euros a IDCQ Hospitales y Sanidad, S.L.U. (Grupo Quirón Salud) por la destrucción indebida de un CD con resonancias magnéticas aportado por un paciente, vulnerando la normativa de protección de datos y las obligaciones legales de conservación de documentación clínica.
La resolución marca un precedente relevante para hospitales y centros de salud públicos y privados: los centros sanitarios deben custodiar toda documentación clínica que reciben, incluso si procede de otros centros, o es aportada directamente por el paciente.
La AEPD recalca que la gestión de soportes físicos con datos de salud requiere procedimientos específicos, controles de acceso, y garantías de conservación, elementos que no estaban adecuadamente implantados en el Hospital sancionado.
Resumen de Antecedentes:
El expediente concluye que el hospital eliminó el soporte físico que contenía imágenes médicas previas —utilizadas en la asistencia del paciente— pese a que la Ley de Autonomía del Paciente obliga a conservar la documentación clínica durante al menos cinco años.
La AEPD destaca que el propio informe médico del hospital reconocía que las imágenes fueron utilizadas en la comparación diagnóstica, señalando que el paciente había aportado un CD con resonancias previas. Sin embargo, meses después, el Hospital comunicó al afectado que “ya no estaban disponibles”, alegando limitaciones de archivo y un supuesto plazo interno de un mes para recoger el material.
La resolución considera que Quirón Salud incurrió en tres infracciones diferenciadas:
- Tratamiento ilícito de datos de salud (art. 9 RGPD) – 100.000.-€
- Falta de base jurídica para la destrucción del soporte (art. 6 RGPD) – 100.000.-€
- Ausencia de medidas de privacidad desde el diseño (art. 25 RGPD) – 1.000.000.-€.
La Agencia subraya que el Hospital carecía de un protocolo adecuado para gestionar soportes físicos con datos de salud aportados por pacientes, lo que generó un riesgo estructural para la confidencialidad y disponibilidad de información asistencial.
La AEPD también expone que, “desde el momento en que el centro de salud recibe documentación clínica, continente de datos de salud, las resonancias son el dato mismo, son depositarios de este. Por tanto, IDCQ está obligado a conservar la documentación clínica de los pacientes, en los términos establecidos en la Ley 41/2002.
(…) En este sentido, con independencia de que los pacientes se personen o no para la recogida de los informes y pruebas realizadas o informes y pruebas aportadas por los pacientes, el centro sanitario se encuentra sometido a las exigencias legales de conservación de la documentación clínica correspondiéndole su custodia y conservación.”
En concreto, señala que el art. 17.1 de la Ley 41/2002 “establece la obligación de conservar la documentación clínica, en los términos y con la amplitud dispuesta en al artículo 3 de la Ley 41/2002, para cumplir con diversas finalidades referenciadas en el mismo y proteger al interesado de la pérdida de disposición de sus datos personales, cualquiera que sea el formato en que estos se encuentren y hayan o no sido incluidos en la historia clínica y sin diferenciar cuál sea la vía por la que el centro disponga de tal documentación clínica (generada por el centro, aportada por el paciente, aportada por otro centro sanitario).”