sanció

Tenir un pla d’igualtat degudament registrat no és només una obligació legal de les empreses de més de 50 treballadors des de l’any 2020, sinó també una necessitat absoluta, ja que no tenir-lo pot tenir conseqüències imprevistes i desproporcionades: multes per incompliment d’obligació legal (que poden arribar a més de 200.000 euros en casos greus), risc reputacional, limitacions en licitacions i concursos i pèrdua de subvencions i ajudes. Com a mostra de les conseqüències que pot tenir la manca d’un pla d’igualtat hi ha el contracte de ciberseguretat de l’Estat, que no s’ha pogut concedir ni a Telefònica ni a MasOrange per culpa que un dels seus socis no tenia pla d’igualtat registrat.

La necessitat absoluta del pla d’igualtat contrasta, tanmateix amb la dificultat que suposa per a moltes empreses emprendre un projecte d’aquest tipus, tal com està previst legalment. No ens podem enganyar i pensar que es tracta d’una simple formalitat. El pla d’igualtat, tal com preveu la legislació, requereix una negociació amb la representació legal dels treballadors que tingui l’empresa (generalment, el Comitè d’Empresa) o amb els sindicats més representatius, si l’empresa no té representants dels treballadors, i implica l’elaboració d’una anàlisi exhaustiva sobre la situació retributiva de l’empresa i la valoració dels llocs de treball, a més d’una diagnosi estructurada sobre diferents aspectes relatius a la igualtat. D’altra banda, el pla negociat ha de contenir mesures detallades amb calendari d’execució, destinació de recursos, persones assignades i previsió de valoració. Sovint es tracta d’un projecte que es pot allargar durant mesos i que, en dependre d’una negociació, pot plantejar problemes seriosos a l’hora de ser aprovat. A tot això hem d’afegir el fet que el registre examina amb molta atenció que s’hagin satisfet totes les formalitats previstes per la llei i, en cas que no sigui així, denega el registre, deixant l’empresa en situació d’incompliment. Per tant, és molt important que tot el projecte tingui en compte aquells aspectes formals més fonamentals.

La normativa vigent sobre plans d’igualtat, en definitiva, planteja un repte important per a totes les empreses, ja que suposa un esforç significatiu en temps, recursos i dedicació, però és un esforç que manifestament no pot deixar de fer-se, tenint en compte que l’incompliment té conseqüències encara més costoses.

La Agencia Española de Protección de Datos (AEPD) ha resolt recentment un procediment sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitari Quirónsalud Madrid) arran de la destrucció d’un CD que contenia imatges de ressonàncies magnètiques aportades per un pacient per ser comparades amb una prova diagnòstica realitzada al centre.

El cas ha generat especial interès perquè posa el focus en qüestions clau per al sector sanitari: el tractament de dades de salut, la gestió de suports físics lliurats pels pacients i l’abast de les obligacions de conservació vinculades a la història clínica.

Els fets es remunten el novembre de 2021, quan un pacient va acudir a l’Hospital Quirónsalud Madrid per fer-se una ressonància magnètica i va aportar un CD amb imatges de proves prèvies realitzades entre 2018 i 2020. Aquell mateix dia va signar un document en què s’indicava que els resultats i informes estarien disponibles durant un mes per a la seva retirada. Quan el pacient va intentar recuperar el CD quatre mesos després, el centre li va comunicar que ja havia estat eliminat per limitacions d’espai a l’arxiu. Davant d’això, va presentar reclamació primer davant del propi hospital i, posteriorment, davant l’AEPD.

En la seva defensa, IDCQ Quirónsalud va sostenir que les imatges contingudes al CD no havien estat generades pel seu centre, sinó per un altre hospital, i que havien estat aportades directament pel pacient. Segons el seu criteri, les obligacions legals de conservació de documentació clínica s’apliquen principalment a la informació creada pel propi centre sanitari i no necessàriament als materials externs lliurats pel pacient. Partint d’aquesta premissa, el centre va argumentar que, en absència d’una obligació específica de conservació, mantenir el CD hauria estat contrari als principis de minimització de dades i limitació de la finalitat del RGPD i que, per tant, no disposaven de base de legitimació suficient, en els termes de l’article 6, per conservar-lo més enllà del termini previst.

L’hospital també va remarcar que la informació que el metge va considerar rellevant sí que es va incorporar a la història clínica del pacient, en forma d’informe mèdic. La resta d’imatges no es van integrar perquè, segons el criteri clínic del facultatiu, no eren necessàries per garantir la continuïtat assistencial.

A més, IDCQ va defensar que disposava d’un procediment intern que regulava la recollida, custòdia i eventual destrucció de proves mèdiques aportades pels pacients. Aquest procediment establia un termini d’un mes perquè els suports físics fossin retirats i, passat aquest període, preveia la destrucció del material no recollit. Segons el centre, el pacient havia estat informat d’aquest termini i, un cop transcorregut, la destrucció del CD es va justificar com una mesura tècnica i organitzativa necessària i proporcionada en el marc del principi de privacitat des del disseny i per defecte.

La resolució de l’AEPD, però, va rebutjar aquests arguments. L’Agència va considerar que el tractament de dades controvertit (la supressió de les dades que contenia el CD) no tenia una base legitimadora suficient que l’emparés, ja que no existeix cap obligació legal que permeti aquesta destrucció abans del termini mínim de cinc anys previst per la normativa sanitària.

En aquest sentit, la AEPD va recordar que l’article 17.1 de la LBAP estableix que els centres sanitaris han de conservar la documentació clínica en condicions que garanteixin el seu correcte manteniment i seguretat, encara que no necessàriament en el suport original, durant el temps adequat a cada cas i, com a mínim, cinc anys des de l’alta de cada procés assistencial, sense especificar que aquesta obligació només faci referència a la documentació que ha estat elaborada pel centre, de manera que inclouria també aquella documentació clínica aportada directament pel pacient. La normativa catalana reforça aquesta idea, i afegeix que les mesures de seguretat previstes a aquest respecte hauran d’estar recollides en protocols interns aprovats per la direcció del centre.

Pel que fa als protocols interns al·legats per l’hospital, la resolució posa de manifest que aquests no estaven degudament implantats ni elaborats en el moment dels fets, sinó que es van aprovar amb posterioritat al procediment sancionador, motiu pel qual no es van tenir en compte com a circumstància atenuant. L’Agència va destacar, a més, la gravetat que un grup hospitalari de la dimensió de Quirónsalud no disposés, en aquell moment, de protocols clars sobre la custòdia i destrucció tant de la documentació clínica generada pel propi centre com dels suports aportats proactivament pels pacients, arribant a qualificar la pràctica de “negligència greu”.

La resolució va imposar sancions per infraccions dels articles 6, 9 i 25 del RGPD, qualificades com a molt greus, amb un import total d’1.200.000 euros.

Més enllà de la controvèrsia jurídica, el cas ofereix lliçons rellevants per als centres sanitaris. És essencial disposar de protocols clars sobre la gestió dels suports físics que aporten els pacients, establir criteris sòlids sobre els terminis de conservació i devolució, i comunicar-los de manera transparent.

Finalment, aquesta resolució posa de manifest que la gestió de dades de salut, fins i tot quan es tracta de suports físics aparentment “externs”, exigeix un enfocament especialment acurat des de la perspectiva del RGPD i obliga els centres sanitaris a revisar i reforçar les seves pràctiques internes.

Els que parlem de protecció de dades volem dir sempre protecció de les persones, ja que les dades personals són l’expressió de la persona en tots els àmbits de la seva vida. D’altra banda, tant l’elaboració com la interpretació del dret és sempre una qüestió de sentit comú. Tenint en compte totes dues premisses és com hem d’interpretar la multa de 120.000 euros que l’Agència Espanyola de Protecció de Dades (AEPD), en l’expedient EXP202411409, ha acabat imposant a una empresa per incompliment de l’article 5.1.f) del Reglament General de Protecció de Dades. I què diu l’article 5.1.f)? Doncs una cosa tan simple com que les dades personals s’han de tractar aplicant-hi una “seguretat adequada”. (more…)