La autoridad de control ha impuesto a un Hospital una sanción de 100.000 euros por infringir el artículo 9 del RGPD (licitud del tratamiento), otra de 100.000 euros por vulnerar el artículo 6 de dicha normativa (licitud del tratamiento) y otra sanción de 1 millón de euros por la infracción del artículo 25 de este cuerpo normativo (protección de datos desde el diseño y por defecto).
El reclamante acudió al hospital con la finalidad de realizarse una resonancia. A efectos de que en el informe del facultativo se pudieran comparar los resultados con otras pruebas médicas realizadas con anterioridad, entregó un CD en el que se incluían las imágenes de anteriores resonancias. En ese momento, se entregó una hoja informativa, que el paciente firmó, en la que se exponía que el plazo para recoger las pruebas era de un mes.
Cuatro meses después, cuando se personó en el hospital para recoger el informe y el CD, le indicaron que no encontraban el soporte facilitado. Días, después se remitió un correo por el hospital en el que se informaba de que, pasado el plazo de un mes para recoger los informes, se procede a la limpieza del archivo físico, habiéndose eliminado el CD. Con ocasión de la interposición de una reclamación ante el propio hospital, el Centro Médico le contestó indicando que el servicio de diagnóstico había manifestado que las pruebas externas realizadas dos años después de la revisión, se encontraban sin registro, así como que existe el plazo de un mes para recoger los informes, habiéndose cumplido con los procedimientos implementados.
Una vez incoado el procedimiento sancionador por la autoridad de control y formulada la propuesta de resolución, el hospital presentó escrito de alegaciones en el que, entre otras cuestiones, venía a poner de manifiesto lo siguiente:
- Las imágenes contenidas en el CD no fueron incluidas en la Historia Clínica del paciente, por cuanto el facultativo lo consideró innecesario (a pesar de ello, sí se tuvieron en cuenta para la elaboración del informe). Así, la Historia Clínica del paciente contenía la información que el médico consideró necesaria para conocer su estado de salud, sin que exista obligación alguna respecto a la necesidad de incorporar a esta historia todo el material visual que el paciente aporte.
- Que es la documentación clínica que genera el hospital la que queda sujeta a la Ley 41/2002 reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. De este modo, sólo esta información debe ser conservada y custodiada en el sentido de dicha normativa, “sin que sea objeto de la LAP la documentación clínica procedente de otro centro ni la que el paciente pudiera aportar […], si el facultativo no decide integrarla en la HC”. Así, se alega que no se puede asumir por el hospital que estos soportes se entregan para su custodia hasta que el paciente “tenga a bien personarse para su recogida, si es que en algún momento llega a hacerlo”.
- Que el CD se guardó en un lugar seguro, siendo destruido tras el plazo de un mes, por cuanto este “no se encuentra sujeto a las normas de conservación establecidas en el artículo 17.1 de la LAP” al no ser considerado historia clínica, no siendo lícito su tratamiento una vez fue realizado el informe. Esta destrucción no generó perjuicio alguno al paciente debido a que las imágenes no eran las originales. En este sentido, se ponía de manifiesto que esta destrucción permitía mitigar los riesgos derivados de la conservación de información personal en soportes físicos cuando se había cumplido con la finalidad del tratamiento (realización del informe).
En su resolución, la AEPD declara que la obligación de custodia y conservación de la documentación clínica (concepto distinto al de historia clínica, tal y como se recoge en el artículo 3 de la LAP) regulada en el citado artículo 17 afecta a dicha documentación con independencia del formato en el que se encuentren los datos personales; que hayan sido o no incluidos en la Historia Clínica o el modo en que hayan sido obtenidos por el propio centro hospitalario (generado por el hospital, facilitados por el paciente o por otro centro). En este sentido, se afirma que “donde la Ley no distingue, no puede distinguirse”.
En este sentido, se indica que la infracción se debe a la ausencia de un procedimiento que permitiera garantizar la conservación y custodia de toda la documentación clínica de la que disponga el centro, que no puede ser destruida libremente por este, debiendo ser conservada adecuadamente. Así, se manifiesta que “desde el momento en que el centro de salud recibe documentación clínica, continente de datos de salud, las resonancias son el dato mismo, son depositarios de este”.
Respecto a las infracciones del artículo 6 y 9, se declara que no concurrió ninguna de las bases legitimadoras, ni de las excepciones previstas en la normativa que permitieran el tratamiento de los datos, esto es, su supresión, teniendo la obligación de conservar la documentación clínica, como mínimo, durante cinco años. En este sentido, ni siquiera había transcurrido el plazo de dos años durante el que el hospital indicó que tenían registro de las pruebas.
Por último, se subraya por la AEPD la importancia del cumplimiento de los principios de protección de datos desde el diseño y por defecto en la actualidad, que implican la necesidad de llevar a cabo un ejercicio de análisis y detección de los riesgos durante todo el ciclo de vida de los datos. Sentado lo anterior, se declara que el hospital no tenía un procedimiento que permitiera indicar cómo debía gestionarse la documentación clínica (con independencia del soporte o del modo de obtener la misma), la cual contiene información de salud. Así, nada se preveía en relación con cómo devolver los soportes entregados por los pacientes. En este sentido, “debería preverse todo lo relativo a la gestión que, de dicho soporte […] debe realizar el responsable del tratamiento, desde que un paciente lo suministra[…] hasta que es devuelto”. Al no disponer de dicho procedimiento, se han infringido estos principios.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.
