sectorsanitari

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente un procedimiento sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitario Quirónsalud Madrid) a raíz de la destrucción de un CD que contenía imágenes de resonancias magnéticas aportadas por un paciente para ser comparadas con una prueba diagnóstica realizada en el centro.

El caso ha generado especial interés porque pone el foco en cuestiones clave para el sector sanitario: el tratamiento de datos de salud, la gestión de soportes físicos entregados por los pacientes y el alcance de las obligaciones de conservación vinculadas a la historia clínica.

Los hechos se remontan a noviembre de 2021, cuando un paciente acudió al Hospital Quirónsalud Madrid para realizarse una resonancia magnética y aportó un CD con imágenes de pruebas previas realizadas entre 2018 y 2020. Ese mismo día firmó un documento en el que se indicaba que los resultados e informes estarían disponibles durante un mes para su retirada. Cuando el paciente intentó recuperar el CD cuatro meses después, el centro le comunicó que ya había sido eliminado por limitaciones de espacio en el archivo. Ante esta situación, presentó una reclamación primero ante el propio hospital y, posteriormente, ante la AEPD.

En su defensa, IDCQ Quirónsalud sostuvo que las imágenes contenidas en el CD no habían sido generadas por su centro, sino por otro hospital, y que habían sido aportadas directamente por el paciente. Según su criterio, las obligaciones legales de conservación de documentación clínica se aplican principalmente a la información creada por el propio centro sanitario y no necesariamente a los materiales externos entregados por el paciente. Partiendo de esta premisa, el centro argumentó que, en ausencia de una obligación específica de conservación, mantener el CD habría sido contrario a los principios de minimización de datos y limitación de la finalidad del RGPD y que, por tanto, no disponían de una base de legitimación suficiente, en los términos del artículo 6, para conservarlo más allá del plazo previsto.

El hospital también remarcó que la información que el médico consideró relevante sí se incorporó a la historia clínica del paciente, en forma de informe médico. El resto de las imágenes no se integraron porque, según el criterio clínico del facultativo, no eran necesarias para garantizar la continuidad asistencial.

Además, IDCQ defendió que disponía de un procedimiento interno que regulaba la recogida, custodia y eventual destrucción de pruebas médicas aportadas por los pacientes. Este procedimiento establecía un plazo de un mes para que los soportes físicos fueran retirados y, pasado este periodo, preveía la destrucción del material no recogido. Según el centro, el paciente había sido informado de este plazo y, una vez transcurrido, la destrucción del CD se justificó como una medida técnica y organizativa necesaria y proporcionada en el marco del principio de privacidad desde el diseño y por defecto.

La resolución de la AEPD, sin embargo, rechazó estos argumentos. La Agencia consideró que el tratamiento de datos controvertido (la supresión de los datos contenidos en el CD) no tenía una base legitimadora suficiente que lo amparara, ya que no existe ninguna obligación legal que permita esta destrucción antes del plazo mínimo de cinco años previsto por la normativa sanitaria.

En este sentido, la AEPD recordó que el artículo 17.1 de la LBAP establece que los centros sanitarios deben conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde el alta de cada proceso asistencial, sin especificar que esta obligación se refiera únicamente a la documentación elaborada por el centro. De este modo, incluiría también aquella documentación clínica aportada directamente por el paciente. La normativa catalana refuerza esta idea y añade que las medidas de seguridad previstas al respecto deben recogerse en protocolos internos aprobados por la dirección del centro.

En cuanto a los protocolos internos alegados por el hospital, la resolución pone de manifiesto que estos no estaban debidamente implantados ni elaborados en el momento de los hechos, sino que se aprobaron con posterioridad al procedimiento sancionador, motivo por el cual no se tuvieron en cuenta como circunstancia atenuante. La Agencia destacó, además, la gravedad de que un grupo hospitalario de la dimensión de Quirónsalud no dispusiera, en aquel momento, de protocolos claros sobre la custodia y destrucción tanto de la documentación clínica generada por el propio centro como de los soportes aportados proactivamente por los pacientes, llegando a calificar la práctica de “negligencia grave”.

La resolución impuso sanciones por infracciones de los artículos 6, 9 y 25 del RGPD, calificadas como muy graves, con un importe total de 1.200.000 euros.

Más allá de la controversia jurídica, el caso ofrece lecciones relevantes para los centros sanitarios. Es esencial disponer de protocolos claros sobre la gestión de los soportes físicos que aportan los pacientes, establecer criterios sólidos sobre los plazos de conservación y devolución, y comunicarlos de manera transparente.

Finalmente, esta resolución pone de manifiesto que la gestión de datos de salud, incluso cuando se trata de soportes físicos aparentemente “externos”, exige un enfoque especialmente cuidadoso desde la perspectiva del RGPD y obliga a los centros sanitarios a revisar y reforzar sus prácticas internas.

Hemos iniciado el año con la presentación de los Servicios de Protección de Datos del curso 2022 en la Unión Catalana de Hospitales. Los pasados días ​​11 y 14 de enero se realizaron las sesiones dirigidas a las entidades adheridas y se explicó el programa previsto, servicios que se ofrecen y los retos de futuro. Las sesiones fueron moderadas por Vanessa Massó, Josep Maria Bosch y Caterina Bartrons, gerente de los Servicios Jurídicos de Faura-Casas, y reunieron a más de 80 representantes de entidades del sector sanitario y social.