La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1.200.000 euros a IDCQ Hospitales y Sanidad, S.L.U. (Quirón Salud Madrid) por la eliminación indebida de pruebas médicas aportadas por un paciente. El caso pone el foco en un aspecto crítico—y a menudo mal entendido—de la protección de datos en el ámbito sanitario: la conservación de la documentación clínica, incluso cuando no ha sido generada por el propio centro.
Los hechos: un CD que nunca volvió
En noviembre de 2021, un paciente entregó al hospital un CD con resonancias magnéticas realizadas entre 2018 y 2020 en otros centros, con el objetivo de que fueran comparadas clínicamente con una nueva prueba antes de someterse a su tratamiento asistencial en el hospital. Meses después, al solicitar la devolución del soporte, el hospital le comunicó que las imágenes ya no estaban disponibles debido a su política interna de eliminación de archivos por falta de espacio.
La respuesta fue clara: el soporte había sido destruido tras no ser recogido en el plazo de un mes.
La defensa del hospital: minimización y criterio médico
El hospital alegó que el CD no formaba parte de la historia clínica oficial al ser una prueba proveniente de otros centros, que la información relevante ya había sido incorporada al informe médico y que conservar las imágenes originales sería contrario al principio de minimización de datos. Además, sostuvo que el paciente había sido informado del plazo de recogida, por lo que su falta de acción durante ese plazo legitimaba la destrucción del soporte.
Un planteamiento que, sobre el papel, parecía alinearse con ciertos principios del RGPD. Pero que no convenció a la AEPD.
El criterio de la AEPD: documentación clínica no es solo historia clínica
La Agencia rechaza de forma tajante estas alegaciones. Apoyándose en la Ley 41/2002, de autonomía del paciente, recuerda que existe una diferencia clave entre historia clínica y documentación clínica.
Esta última incluye cualquier soporte que contenga información asistencial, con independencia de su origen o de quién lo haya generado. Es decir, la ley no diferencia entre si la documentación clínica ha sido aportada por el paciente o generada por el centro.
Por lo tanto, aquí está el punto central: las pruebas aportadas por el paciente también son documentación clínica, y como tal, deben conservarse durante al menos cinco años (art. 17 de la Ley 41/2002), precisamente para garantizar la continuidad asistencial y la seguridad del paciente.
Las infracciones: un fallo que va más allá de un error puntual
La AEPD aprecia tres infracciones graves del RGPD:
- Artículo 9 RGPD (100.000 €): supresión de datos de salud—categoría especial—sin que concurriera ninguna de las excepciones del artículo 9.2.
- Artículo 6 RGPD (100.000 €): tratamiento (en este caso, eliminación) sin base jurídica válida.
- Artículo 25 RGPD (1.000.000 €): ausencia de privacidad desde el diseño y por defecto, al evidenciarse un problema estructural en la gestión de soportes con datos de salud.
La Agencia subraya que no se trata de un descuido aislado, sino de una deficiencia sistémica en los procedimientos internos.
Conclusiones
Entre los factores agravantes destacan el elevado volumen de negocio de la empresa, la extrema sensibilidad de los datos, la naturaleza sanitaria de su actividad y el daño irreversible causado al paciente, que podría afectar a estudios médicos futuros.
La resolución deja un mensaje claro para el sector sanitario: la minimización de datos no puede convertirse en una excusa para suprimir información que la ley obliga a conservar. Y menos aún cuando hablamos de datos de salud.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
