La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 1.200.000 euros a IDCQ Hospitales y Sanidad, S.L.U. (Quirón Salud Madrid) por la eliminación indebida de documentación clínica aportada por un paciente, en uno de los expedientes sancionadores más relevantes en el ámbito sanitario en materia de protección de datos personales.
El caso pone el foco en un aspecto clave y frecuentemente mal interpretado en el sector sanitario: la diferencia entre historia clínica y documentación clínica, y las obligaciones legales de conservación de los datos de salud, incluso cuando no han sido generados por el propio centro hospitalario.
Los hechos: destrucción de pruebas médicas aportadas por el paciente
En noviembre de 2021, un paciente entregó al hospital un CD con resonancias magnéticas realizadas entre 2018 y 2020 en otros centros sanitarios. El objetivo era que dichas pruebas fueran comparadas clínicamente con una nueva resonancia antes de iniciar su tratamiento.
Meses después, el paciente solicitó la devolución del soporte físico. La respuesta del hospital fue que las imágenes ya no estaban disponibles, ya que el CD había sido destruido conforme a su política interna de eliminación de archivos por falta de espacio, tras no haber sido recogido en el plazo de un mes.
Argumentación del hospital
Quirón Salud alegó que:
- El CD no formaba parte de la historia clínica oficial.
- La información relevante ya había sido incorporada al informe médico.
- Conservar las imágenes vulneraría el principio de minimización de datos del RGPD.
- El paciente fue informado del plazo de recogida, legitimando la destrucción del soporte.
La AEPD rechazó íntegramente estos argumentos.
Criterio jurídico de la AEPD
La Agencia fundamenta su resolución en la Ley 41/2002, de autonomía del paciente, diferenciando claramente entre:
- Historia clínica
- Documentación clínica
La documentación clínica incluye cualquier soporte con información asistencial, con independencia de:
- su origen,
- el centro que la haya generado,
- o quién la haya aportado.
Por tanto, las pruebas aportadas por el propio paciente también constituyen documentación clínica y están sujetas a la obligación legal de conservación durante al menos cinco años (artículo 17 de la Ley 41/2002), con el objetivo de garantizar la continuidad asistencial y la seguridad del paciente.
Infracciones apreciadas por la AEPD
La resolución identifica tres infracciones graves del Reglamento General de Protección de Datos (RGPD):
- Artículo 9 RGPD – 100.000 €
Supresión ilícita de datos de salud, considerados categoría especial de datos personales. - Artículo 6 RGPD – 100.000 €
Tratamiento de datos (eliminación) sin base jurídica válida. - Artículo 25 RGPD – 1.000.000 €
Vulneración del principio de protección de datos desde el diseño y por defecto, al evidenciarse un fallo estructural en los procedimientos internos de gestión documental.
La AEPD subraya que no se trata de un error puntual, sino de una deficiencia sistémica en los protocolos internos del centro.
Impacto y criterios agravantes
Entre los factores agravantes valorados destacan:
- El elevado volumen de negocio de la entidad sancionada
- La especial sensibilidad de los datos de salud
- La naturaleza sanitaria de la actividad
- El daño irreversible al paciente, al perder pruebas relevantes para su seguimiento clínico futuro
Protección de datos y documentación clínica en sanidad
La resolución establece un criterio claro:
La minimización de datos no puede utilizarse como justificación para destruir información sanitaria que la ley obliga a conservar.
En el ámbito sanitario:
- La protección de datos no equivale a eliminación automática
- La conservación de documentación clínica es una obligación legal
- La continuidad asistencial y la seguridad del paciente prevalecen como principios estructurales del sistema
Este caso marca un precedente relevante en materia de protección de datos sanitarios, conservación de documentación clínica y responsabilidad de los centros hospitalarios.
