La AEPD multa con 1,2 M€ a una empresa del Grupo Quirón por no proteger datos clínicos de un paciente

  • Inicio
  • Sin categoría
  • La AEPD multa con 1,2 M€ a una empresa del Grupo Quirón por no proteger datos clínicos de un paciente

La AEPD multa con 1,2 M€ a una empresa del Grupo Quirón por no proteger datos clínicos de un paciente

In abril 13, 2026
Comments off
24 Views

¿Qué ha pasado?

Autoridad: Agencia Española de Protección de Datos (AEPD).
Entidad sancionada: IDCQ Hospitales y Sanidad SLU (Grupo Hospitalario Quirón).
Hecho: La AEPD ha impuesto una sanción de 1,2 millones de euros tras la denuncia de un paciente al considerar que la entidad no protegió adecuadamente sus datos personales y clínicos, al no garantizar su custodia y conservación y proceder a su destrucción sin medidas técnicas y organizativas apropiadas.
Base jurídica: Vulneración de los arts. 9, 6 y 25 del RGPD (categorías especiales, licitud del tratamiento y protección de datos desde el diseño y por defecto).
Conclusión clave: La AEPD aprecia una “omisión palmaria del deber de cuidado” del responsable, reforzando la gravedad de la infracción por tratarse de datos de salud.

Hechos del caso

  • 18/11/2021: El paciente acude al Hospital Universitario Quirónsalud Madrid para una resonancia y aporta un CD con pruebas previas (2018, 2019 y 2020) para comparación clínica.
  • 29/03/2022: Regresa a recoger resultados y el CD aportado, pero no se le entrega.
  • Tras una queja, el hospital le comunica que el material ya no está disponible en el archivo, alegando “capacidad limitada” y “limpieza” periódica del archivo.
  • Enero 2024: El paciente vuelve a reclamar las imágenes; le responden que las “pruebas externas” están sin registro.
  • El paciente presenta reclamación ante la AEPD por falta de protección de sus datos clínicos.

Fundamentos legales (según la AEPD)

La AEPD considera vulnerados:

  • Art. 9 RGPD: tratamiento de categorías especiales (datos de salud).
  • Art. 6 RGPD: licitud del tratamiento.
  • Art. 25 RGPD: protección de datos desde el diseño y por defecto (medidas técnicas/organizativas para garantizar cumplimiento, incluida conservación y custodia).

La Agencia rechaza las alegaciones de la entidad y concluye que no se aplicaron medidas adecuadas para garantizar el plazo de conservación y el deber de custodia, procediendo a destrucción/pérdida sin garantías.

Resolución y recursos

  • Sanción: 1,2 millones de euros.
  • La resolución (4 de marzo) fue publicada en el BOE y pone fin a la vía administrativa.
  • Cabe recurso de reposición ante la Presidencia de la AEPD o recurso contencioso-administrativo ante la Audiencia Nacional.

Implicaciones prácticas para centros sanitarios

  • Los datos de salud exigen un estándar reforzado de protección, trazabilidad y custodia.
  • La “limitación de archivo” no justifica pérdidas si no existe un sistema robusto de conservación, registro, control de accesos y procedimientos de entrega/retorno.
  • Es clave documentar políticas de conservación, destrucción segura y circuitos de custodia (incluyendo soportes físicos aportados por pacientes).

Conclusión

La AEPD refuerza que la gestión de información clínica no puede basarse en prácticas informales o limitaciones operativas. La custodia y conservación de pruebas médicas y soportes aportados por pacientes exige medidas técnicas y organizativas adecuadas, especialmente tratándose de datos de salud. Esta resolución eleva el listón de diligencia en entornos sanitarios y anticipa un mayor rigor sancionador ante fallos de custodia y trazabilidad.

Fuente: https://facua.org/noticias/la-aepd-multa-con-12-millones-de-euros-a-una-empresa-del-grupo-quiron-por-no-proteger-los-datos-personales-y-clinicos-de-sus-pacientes/?srsltid=AfmBOoou8-0WtOgE1nNPEK1_hEiU6NrMvACe7KgA47yTnfF4zaQ3aRy0

Jose Helguero

Comments are closed.