L'Agència Espanyola de Protecció de Dades (AEPD) ha imposat una multa d'1.200.000 euros a IDCQ Hospitals i Sanitat, SLU (Quirón Salud Madrid) per l'eliminació indeguda de proves mèdiques aportades per un pacient. El cas posa el focus en un aspecte crític—i sovint mal entès—de la protecció de dades en l'àmbit sanitari: la conservació de la documentació clínica, fins i tot quan no ha estat generada pel propi centre.
Els fets: un CD que mai va tornar
Al novembre de 2021, un pacient va lliurar a l'hospital un CD amb ressonàncies magnètiques realitzades entre 2018 i 2020 a altres centres, amb l'objectiu que fossin comparades clínicament amb una nova prova abans de sotmetre's al seu tractament assistencial a l'hospital. Mesos després, en sol·licitar la devolució del suport, l'hospital li va comunicar que les imatges ja no estaven disponibles a causa de la seva política interna d'eliminació d'arxius per falta d'espai.
La resposta va ser clara: el suport havia estat destruït després de no ser recollit en el termini d'un mes.
La defensa de l'hospital: minimització i criteri mèdic
L'hospital va al·legar que el CD no formava part de la història clínica oficial al ser una prova provinent d’altres centres, que la informació rellevant ja havia estat incorporada a l'informe mèdic i que conservar les imatges originals seria contrari al principi de minimització de dades. A més, va sostenir que el pacient havia estat informat del termini de recollida, pel que la seva falta d'acció durant aquest termini legitimava la destrucció del suport.
Un plantejament que, sobre el paper, semblava alinear-se amb uns certs principis del RGPD. Però que no va convèncer a l'AEPD.
El criteri de l'AEPD: documentació clínica no és només història clínica
L'Agència rebutja de manera categòrica aquestes al·legacions. Secundant-se en la Llei 41/2002, d'autonomia del pacient, recorda que existeix una diferència clau entre història clínica i documentació clínica.
Aquesta última inclou qualsevol suport que contingui informació assistencial, amb independència del seu origen o de qui l'hagi generat. És a dir, la llei no diferència entre si la documentació clínica ha estat aportada pel pacient o generada pel centre.
Per tant, aquí està el punt central: les proves aportades pel pacient també són documentació clínica, i consegüentment, han de conservar-se durant almenys cinc anys (art. 17 de la Llei 41/2002), precisament per a garantir la continuïtat assistencial i la seguretat del pacient.
Les infraccions: un error que va més enllà d'un error puntual
L'AEPD aprecia tres infraccions greus del RGPD:
- Article 9 RGPD (100.000 €): supressió de dades de salut—categoria especial—sense que concorregués cap de les excepcions de l'article 9.2.
- Article 6 RGPD (100.000 €): tractament (en aquest cas, eliminació) sense base jurídica vàlida.
- Article 25 RGPD (1.000.000 €): absència de privacitat des del disseny i per defecte, en evidenciar-se un problema estructural en la gestió de suports amb dades de salut.
L'Agència subratlla que no es tracta d'un descuit aïllat, sinó d'una deficiència sistèmica en els procediments interns.
Conclusions
Entre els factors agreujants destaquen l'elevat volum de negoci de l’empresa, l'extrema sensibilitat de les dades, la naturalesa sanitària de la seva activitat i el dany irreversible causat al pacient, que podria afectar estudis mèdics futurs.
La resolució deixa un missatge clar per al sector sanitari: la minimització de dades no pot convertir-se en una excusa per a suprimir informació que la llei obliga a conservar. I encara menys quan parlem de dades de salut.
Com sempre, cuideu les dades i cuideu-vos!
Per consultar la resolució, feu clic aquí.
