Privacitat

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente un procedimiento sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitario Quirónsalud Madrid) a raíz de la destrucción de un CD que contenía imágenes de resonancias magnéticas aportadas por un paciente para ser comparadas con una prueba diagnóstica realizada en el centro.

El caso ha generado especial interés porque pone el foco en cuestiones clave para el sector sanitario: el tratamiento de datos de salud, la gestión de soportes físicos entregados por los pacientes y el alcance de las obligaciones de conservación vinculadas a la historia clínica.

Los hechos se remontan a noviembre de 2021, cuando un paciente acudió al Hospital Quirónsalud Madrid para realizarse una resonancia magnética y aportó un CD con imágenes de pruebas previas realizadas entre 2018 y 2020. Ese mismo día firmó un documento en el que se indicaba que los resultados e informes estarían disponibles durante un mes para su retirada. Cuando el paciente intentó recuperar el CD cuatro meses después, el centro le comunicó que ya había sido eliminado por limitaciones de espacio en el archivo. Ante esta situación, presentó una reclamación primero ante el propio hospital y, posteriormente, ante la AEPD.

En su defensa, IDCQ Quirónsalud sostuvo que las imágenes contenidas en el CD no habían sido generadas por su centro, sino por otro hospital, y que habían sido aportadas directamente por el paciente. Según su criterio, las obligaciones legales de conservación de documentación clínica se aplican principalmente a la información creada por el propio centro sanitario y no necesariamente a los materiales externos entregados por el paciente. Partiendo de esta premisa, el centro argumentó que, en ausencia de una obligación específica de conservación, mantener el CD habría sido contrario a los principios de minimización de datos y limitación de la finalidad del RGPD y que, por tanto, no disponían de una base de legitimación suficiente, en los términos del artículo 6, para conservarlo más allá del plazo previsto.

El hospital también remarcó que la información que el médico consideró relevante sí se incorporó a la historia clínica del paciente, en forma de informe médico. El resto de las imágenes no se integraron porque, según el criterio clínico del facultativo, no eran necesarias para garantizar la continuidad asistencial.

Además, IDCQ defendió que disponía de un procedimiento interno que regulaba la recogida, custodia y eventual destrucción de pruebas médicas aportadas por los pacientes. Este procedimiento establecía un plazo de un mes para que los soportes físicos fueran retirados y, pasado este periodo, preveía la destrucción del material no recogido. Según el centro, el paciente había sido informado de este plazo y, una vez transcurrido, la destrucción del CD se justificó como una medida técnica y organizativa necesaria y proporcionada en el marco del principio de privacidad desde el diseño y por defecto.

La resolución de la AEPD, sin embargo, rechazó estos argumentos. La Agencia consideró que el tratamiento de datos controvertido (la supresión de los datos contenidos en el CD) no tenía una base legitimadora suficiente que lo amparara, ya que no existe ninguna obligación legal que permita esta destrucción antes del plazo mínimo de cinco años previsto por la normativa sanitaria.

En este sentido, la AEPD recordó que el artículo 17.1 de la LBAP establece que los centros sanitarios deben conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde el alta de cada proceso asistencial, sin especificar que esta obligación se refiera únicamente a la documentación elaborada por el centro. De este modo, incluiría también aquella documentación clínica aportada directamente por el paciente. La normativa catalana refuerza esta idea y añade que las medidas de seguridad previstas al respecto deben recogerse en protocolos internos aprobados por la dirección del centro.

En cuanto a los protocolos internos alegados por el hospital, la resolución pone de manifiesto que estos no estaban debidamente implantados ni elaborados en el momento de los hechos, sino que se aprobaron con posterioridad al procedimiento sancionador, motivo por el cual no se tuvieron en cuenta como circunstancia atenuante. La Agencia destacó, además, la gravedad de que un grupo hospitalario de la dimensión de Quirónsalud no dispusiera, en aquel momento, de protocolos claros sobre la custodia y destrucción tanto de la documentación clínica generada por el propio centro como de los soportes aportados proactivamente por los pacientes, llegando a calificar la práctica de “negligencia grave”.

La resolución impuso sanciones por infracciones de los artículos 6, 9 y 25 del RGPD, calificadas como muy graves, con un importe total de 1.200.000 euros.

Más allá de la controversia jurídica, el caso ofrece lecciones relevantes para los centros sanitarios. Es esencial disponer de protocolos claros sobre la gestión de los soportes físicos que aportan los pacientes, establecer criterios sólidos sobre los plazos de conservación y devolución, y comunicarlos de manera transparente.

Finalmente, esta resolución pone de manifiesto que la gestión de datos de salud, incluso cuando se trata de soportes físicos aparentemente “externos”, exige un enfoque especialmente cuidadoso desde la perspectiva del RGPD y obliga a los centros sanitarios a revisar y reforzar sus prácticas internas.

El pasado 2 de julio, el Comité Europeo de Protección de Datos (CEPD) adoptó la Declaración de Helsiniki1 que marca un punto de inflexión en el camino hacia una aplicación más armónica y eficaz del Reglamento General de Protección de Datos (RGPD) en la Unión Europea. 

Uno de los principales retos que aborda el CEPD es la fragmentación interpretativa del RGPD. Si bien es cierto que el reglamento tiene por objeto establecer un marco común en toda la UE, la realidad muestra que su aplicación varía entre las distintas autoridades de protección de datos, pudiendo llegar a generar inseguridad jurídica y dificultades prácticas por responsables y encargados del tratamiento, en especial por aquellos que operan en varios Estados miembros. (más…)

Los que hablamos de protección de datos, en realidad, siempre nos referimos a la protección de las personas, ya que los datos personales son la expresión de la persona en todos los ámbitos de su vida. Por otro lado, tanto la elaboración como la interpretación del derecho son siempre una cuestión de sentido común. Teniendo en cuenta ambas premisas, es como debemos interpretar la multa de 120.000 euros que la Agencia Española de Protección de Datos (AEPD), en el expediente EXP202411409, ha terminado imponiendo a una empresa por el incumplimiento del artículo 5.1.f) del Reglamento General de Protección de Datos. ¿Y qué dice el artículo 5.1.f)? Pues algo tan sencillo como que los datos personales deben ser tratados aplicando una “seguridad adecuada”. (más…)

La Autoridad Catalana de Protección de Datos (APDCAT) ha anunciado una disminución en el número anual de notificaciones de violaciones de seguridad durante el año 2024 en comparación con el año anterior. Esta reducción rompe, por primera vez, la tendencia al incremento del 20% anual que se venía observando desde el año 2018.

Concretamente, la APDCAT recibió un total de 182 notificaciones de violaciones de seguridad a lo largo de 2024, una cifra que supone una ligera disminución en relación con las 183 notificaciones registradas en 2023. A pesar de tratarse de un descenso modesto –del 0,5%–, el número de afectados se ha reducido a más de la mitad, con un total de 230.000 personas, en comparación con el millón y medio que se registró a lo largo de 2023.

La Autoridad atribuye esta mejora tan pronunciada en el número de afectados, principalmente, a la disminución de ciberataques, que pasan del 31% en 2023 al 17% en 2024, especialmente los de tipo ransomware, que han pasado del 19% al 3%. Estos ataques ransomware, basados en el secuestro de datos, son los que afectan a un mayor número de personas. En consecuencia, el 41% de las violaciones de seguridad que ha recibido la APDCAT durante 2024 solo han tenido impacto en un número de entre 1 y 10 personas.

Aun así, cabe destacar la forma en que, a pesar de la notable disminución en el impacto de estas violaciones, el número de notificaciones a las autoridades se ha mantenido en línea con las de 2023. Esto pone de manifiesto que los responsables de realizar estas notificaciones no han reducido su labor de vigilancia y han continuado cumpliendo rigurosamente con su obligación de reportar los incidentes de manera adecuada.

En cuanto al origen de las violaciones de seguridad, el error humano pasa a ser la primera causa de los incidentes (aumenta del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). En última instancia, se encuentra el acto interno malintencionado (por ejemplo, abuso de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización), que se mantiene en tercer lugar con ligeras variaciones al alza.

En la misma línea de 2023, en la gran mayoría de los incidentes (92%) se ve afectada la confidencialidad de los datos, mientras que las violaciones que afectan a la disponibilidad disminuyen (hasta el 7%), en coherencia con la reducción del número de ataques ransomware, que al operar mediante la encriptación de los datos con el objetivo de posteriormente exigir un rescate, limitan su accesibilidad y cuando se necesitan.

Finalmente, como es habitual, la mayoría de las violaciones afectan datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte), cuyo acceso y uso indebido puede suponer un riesgo importante de daño para los titulares de los datos comprometidos, como el riesgo de sufrir una suplantación de identidad o ser víctima de fraude.

Estas noticias son especialmente relevantes para el sector sanitario, un ámbito particularmente vulnerable a este tipo de incidentes debido a la naturaleza sensible de los datos que gestiona. Según el artículo 9.1 del RGPD, estos datos se consideran de categoría especial y requieren la aplicación de medidas específicas de seguridad que garanticen su integridad y confidencialidad frente a intentos de acceso no autorizados y tratamientos ilícitos que puedan comprometer la privacidad de sus titulares.

Aun así, es importante mantener el nivel de alerta. Como recordaba el Informe de Prospectiva de Ciberseguridad para 2024 de la Agencia de Ciberseguridad de Cataluña, el sector sanitario sigue siendo un objetivo principal en esta materia, por lo que continúa siendo primordial la adopción y el mantenimiento de estrategias de ciberseguridad proactivas, flexibles y adaptables ágilmente a los cambios dinámicos y a la evolución de este tipo de amenazas cibernéticas.

En este sentido, es importante recordar que, según el artículo 33 del RGPD, en caso de que se produzca una violación de seguridad de datos personales, el responsable del tratamiento deberá notificarlo a la Autoridad «sin dilación indebida» y, por regla general, en un plazo máximo de 72 horas desde que se haya tenido constancia del incidente. Según el RGPD, se considera violación de seguridad cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, o la comunicación o el acceso no autorizado a dichos datos.

Así pues, cuando el responsable de protección de datos considere, en base a criterios como el tipo de violación, la categoría y tipología de los datos o el volumen y tipo de afectados, que la violación supone un riesgo de que se produzcan perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados, deberá comunicarlo a la autoridad competente –en el caso de Cataluña, a la APDCAT– en los términos establecidos.

A modo ilustrativo, la Autoridad ha considerado violaciones de seguridad que deben ser comunicadas aquellas que impliquen pérdida de control sobre los datos, restricción de derechos de los titulares, discriminación, suplantación de identidad, pérdidas financieras, daño a la reputación, reversión no autorizada de la pseudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.

En definitiva, a pesar de la clara mejora, seguiremos con interés la evolución de los datos registrados por las Autoridades en materia de violaciones de seguridad y su impacto en la protección de los datos personales de los afectados, especialmente en sectores críticos como lo es el sector sanitario.

El Reglamento General de Protección de Datos propuso un cambio de paradigma basado en el eje de diseñar la privacidad enfocada a la gestión del riesgo con aplicación del principio de responsabilidad proactiva. El nuevo paradigma parte de que el denominado «riesgo cero» no existe y, por tanto, hay riesgos en los tratamientos de datos que se necesita mitigar. Por ello, se propone con el artículo 25 del RGPD que el responsable del tratamiento, tanto en el momento de determinar los medios de tratamientos como durante el propio tratamiento, aplicará medidas técnicas y organizativas apropiadas a fin de cumplir el RGPD y proteger los derechos de los interesados.

(más…)