#SeguretatDeLaInformacio

En fecha 20 de septiembre de 2023 se presentó una reclamación ante la AEPD por los delegados sindicales del Servicio de Prevención y Extinción de incendios (SPEIS) de la Diputación de Huesca en la que se denunciaba que se pudo acceder a una carpeta compartida utilizada por el personal administrativo del SPEIS, la cual contenía información confidencial.

Este procedimiento llevó a tratar otro asunto pues, además de la presunta brecha de seguridad, se descubrió que el Delegado de Protección de Datos (DPD) de la Diputación de Huesca también ejercía como responsable del Sistema interno de información. Esto condujo a que se planteara la idoneidad de la concurrencia de ambas funciones en la misma persona.

Sobre el primer incidente, la AEPD resolvió que estimaba la vulneración del art. 5.1.f) del RGPD por el fallo de la Diputación en preservar confidencialidad e integridad de datos de los que era responsable.

Respeto a la segunda situación, la AEPD valoró que, si bien es cierto que el DPD puede desempeñar otras funciones además de las asignadas para su cargo, hay que garantizar que no dará lugar a un conflicto de interés, de conformidad con el art. 38.6 del RGPD. Procedemos a analizar esta interpretación.

• El DPD puede ejercer otras funciones, siempre que no den lugar a conflictos de intereses, circunstancia que debe garantizar el responsable del tratamiento.
• El DPD actúa como asesor y supervisor interno, de manera que no puede serlo alguien que tenga otras funciones en las que pueda decidir sobre la existencia de tratamientos de datos o sobre cómo se tratan los datos.
• Por su parte, el responsable del sistema interno de información deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad y responde del correcto funcionamiento del sistema (art. 8.4 y 9.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción); es decir, puede tener acceso a los datos personales contenidos en el sistema.
• También se establece que tanto el responsable del sistema como el DPD pueden tener acceso a los datos del Sistema interno de información (art. 32.1 Ley 2/2023); es decir, entiende que son dos figuras distintas.
• Por lo tanto, se concluye que si la misma persona tiene distintos intereses puede dar lugar a conflictos de interés, circunstancia que hay que evitar para que puedan realizar sus funciones con las garantías debidas.

Finalmente, la AEPD resolvió en fecha 2 de febrero de 2025 la consulta previa de la Diputación, concluyendo que no es posible asignar funciones de responsable del sistema interno de información al DPD. Ante esto, la Diputación procedió a sustituir el responsable del sistema interno de información.

En definitiva, ante el riesgo de posibles conflictos de interés, la responsabilidad de DPD y responsable del sistema interno de información no deberían recaer en la misma persona.

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente un procedimiento sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitario Quirónsalud Madrid) a raíz de la destrucción de un CD que contenía imágenes de resonancias magnéticas aportadas por un paciente para ser comparadas con una prueba diagnóstica realizada en el centro.

El caso ha generado especial interés porque pone el foco en cuestiones clave para el sector sanitario: el tratamiento de datos de salud, la gestión de soportes físicos entregados por los pacientes y el alcance de las obligaciones de conservación vinculadas a la historia clínica.

Los hechos se remontan a noviembre de 2021, cuando un paciente acudió al Hospital Quirónsalud Madrid para realizarse una resonancia magnética y aportó un CD con imágenes de pruebas previas realizadas entre 2018 y 2020. Ese mismo día firmó un documento en el que se indicaba que los resultados e informes estarían disponibles durante un mes para su retirada. Cuando el paciente intentó recuperar el CD cuatro meses después, el centro le comunicó que ya había sido eliminado por limitaciones de espacio en el archivo. Ante esta situación, presentó una reclamación primero ante el propio hospital y, posteriormente, ante la AEPD.

En su defensa, IDCQ Quirónsalud sostuvo que las imágenes contenidas en el CD no habían sido generadas por su centro, sino por otro hospital, y que habían sido aportadas directamente por el paciente. Según su criterio, las obligaciones legales de conservación de documentación clínica se aplican principalmente a la información creada por el propio centro sanitario y no necesariamente a los materiales externos entregados por el paciente. Partiendo de esta premisa, el centro argumentó que, en ausencia de una obligación específica de conservación, mantener el CD habría sido contrario a los principios de minimización de datos y limitación de la finalidad del RGPD y que, por tanto, no disponían de una base de legitimación suficiente, en los términos del artículo 6, para conservarlo más allá del plazo previsto.

El hospital también remarcó que la información que el médico consideró relevante sí se incorporó a la historia clínica del paciente, en forma de informe médico. El resto de las imágenes no se integraron porque, según el criterio clínico del facultativo, no eran necesarias para garantizar la continuidad asistencial.

Además, IDCQ defendió que disponía de un procedimiento interno que regulaba la recogida, custodia y eventual destrucción de pruebas médicas aportadas por los pacientes. Este procedimiento establecía un plazo de un mes para que los soportes físicos fueran retirados y, pasado este periodo, preveía la destrucción del material no recogido. Según el centro, el paciente había sido informado de este plazo y, una vez transcurrido, la destrucción del CD se justificó como una medida técnica y organizativa necesaria y proporcionada en el marco del principio de privacidad desde el diseño y por defecto.

La resolución de la AEPD, sin embargo, rechazó estos argumentos. La Agencia consideró que el tratamiento de datos controvertido (la supresión de los datos contenidos en el CD) no tenía una base legitimadora suficiente que lo amparara, ya que no existe ninguna obligación legal que permita esta destrucción antes del plazo mínimo de cinco años previsto por la normativa sanitaria.

En este sentido, la AEPD recordó que el artículo 17.1 de la LBAP establece que los centros sanitarios deben conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde el alta de cada proceso asistencial, sin especificar que esta obligación se refiera únicamente a la documentación elaborada por el centro. De este modo, incluiría también aquella documentación clínica aportada directamente por el paciente. La normativa catalana refuerza esta idea y añade que las medidas de seguridad previstas al respecto deben recogerse en protocolos internos aprobados por la dirección del centro.

En cuanto a los protocolos internos alegados por el hospital, la resolución pone de manifiesto que estos no estaban debidamente implantados ni elaborados en el momento de los hechos, sino que se aprobaron con posterioridad al procedimiento sancionador, motivo por el cual no se tuvieron en cuenta como circunstancia atenuante. La Agencia destacó, además, la gravedad de que un grupo hospitalario de la dimensión de Quirónsalud no dispusiera, en aquel momento, de protocolos claros sobre la custodia y destrucción tanto de la documentación clínica generada por el propio centro como de los soportes aportados proactivamente por los pacientes, llegando a calificar la práctica de “negligencia grave”.

La resolución impuso sanciones por infracciones de los artículos 6, 9 y 25 del RGPD, calificadas como muy graves, con un importe total de 1.200.000 euros.

Más allá de la controversia jurídica, el caso ofrece lecciones relevantes para los centros sanitarios. Es esencial disponer de protocolos claros sobre la gestión de los soportes físicos que aportan los pacientes, establecer criterios sólidos sobre los plazos de conservación y devolución, y comunicarlos de manera transparente.

Finalmente, esta resolución pone de manifiesto que la gestión de datos de salud, incluso cuando se trata de soportes físicos aparentemente “externos”, exige un enfoque especialmente cuidadoso desde la perspectiva del RGPD y obliga a los centros sanitarios a revisar y reforzar sus prácticas internas.