La Agencia Española de Protección de Datos (“AEPD”) ha impuesto una multa de 1.200.000 € a Quirón Salud por eliminación indebida de pruebas médicas aportadas por un paciente, en una resolución que analiza las obligaciones de conservación de datos de salud en el ámbito sanitario.
¿Qué ocurrió?
En noviembre de 2021, un paciente (el reclamante) proporcionó al hospital un CD con resonancias magnéticas para que fueran tenidas en cuenta y comparadas con nuevas pruebas diagnósticas. En el momento de la entrega del CD, el paciente firmó una hoja de recogida de pruebas en la que se indicaba expresamente que el plazo para su retirada era de un mes.
Meses después, al solicitar la devolución del CD, el hospital informó de que las imágenes ya no estaban disponibles, al haber sido eliminadas conforme a su política interna de archivo orientada a la liberación de espacio.
Ante estos hechos, el paciente presentó reclamación ante la AEPD, que dio lugar a la apertura de un procedimiento sancionador contra el grupo hospitalario.
Argumentos de Quirón Salud
Quirón alegó que:
- El CD no formaba parte de la historia clínica oficial del hospital, por lo que no le resultaba aplicable el deber de conservación de cinco años previsto en la Ley de Autonomía del Paciente.
- La información relevante contenida en las pruebas ya había sido incorporada al correspondiente informe médico.
- La conservación de las imágenes originales resultaba contraria al principio de minimización de datos del RGPD.
- El paciente había sido debidamente informado del plazo máximo de un mes para la recogida de las pruebas.
Criterio de la AEPD
La AEPD rechazó los argumentos de la entidad reclamada y concluyó que:
- La documentación clínica aportada por el paciente forma parte del proceso asistencial y, como tal, debe ser conservada por el centro sanitario.
Recordemos que el artículo 17 de la Ley de Autonomía del Paciente obliga a los centros sanitarios a conservar la documentación clínica sin distinguir el formato, su incorporación formal a la historia clínica, ni si ha sido aportada por el paciente o generada por el propio centro. La finalidad de esta obligación es garantizar que dichos datos puedan estar disponibles cuando resulten necesarios para salvaguardar la vida y la integridad física del paciente.
- En consecuencia, la eliminación definitiva de datos de salud sin una justificación adecuada vulnera las obligaciones de conservación que pesan sobre el centro sanitario, como responsable del tratamiento.
- El riesgo se materializó efectivamente con la destrucción irreversible de la resonancia, causando un perjuicio al paciente y pudiendo comprometer incluso la correcta elaboración de informes médicos posteriores.
Infracciones y Sanción
La AEPD apreció la comisión de tres infracciones del RGPD, imponiendo una sanción total de 1.200.000 €, por los siguientes motivos:
1. Infracción del artículo 25 del RGPD (protección de datos desde el diseño y por defecto) por la ausencia de medidas técnicas y organizativas apropiadas para evitar la eliminación indebida de información clínica relevante.
2. Infracción del artículo 6 y 9 del RGPD, al llevarse a cabo un tratamiento ilícito de datos de salud, categoría especialmente protegida, mediante su destrucción definitiva sin base legal suficiente.