La Agencia Española de Protección de Datos (en adelante AEPD) ha procedido a sancionar a un médico por importe de 5.000€,sanción que deriva de la pérdida de un video se grabó el 14 de octubre de 2014, cuando la paciente afectada se sometió a una intervención quirúrgica en un hospital privado de Madrid, video que fue grabado con el fin de captar la técnica para futuros usos científicos y docentes.
En el momento en el que la paciente solicitó las imágenes grabadas al doctor, con la intención de poder contrastar opiniones de distintos facultativos sobre la operación que se le había realizado, fue cuando se encontró con una respuesta vía e-mail que ni mucho menos se esperaba, en la cual el médico le decía textualmente lo siguiente;
“Como te he comentado lamento no haber podido encontrar las imágenes de tu cirugía, pero los niños me perdieron varios pendrives y es posible que en ellos se fuera tu intervención”
Fue a partir de este momento cuando la afectada decidió denunciar al facultativo, entendiendo que este había actuado con una grave falta de diligencia y dejando en manos de la AEPD la valoración de la tipología de falta cometida, cabe en este punto traer a colación los tipos de infracciones que encontramos reguladas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) , dedica en concreto en su artículo 44 la regulación de los Tipos de infracciones, refiriéndose en su punto 1º a que estas pueden ser de distintos tipos dependiendo de lo acaecido en cada caso concreto:
“Las infracciones se calificarán como leves, graves o muy graves”
Respecto a esto, la AEPD determinó en el Acuerdo de Inicio del expediente sancionador que los hechos enjuiciados fueron calificados como una infracción del artículo 9.1 LOPD:
“El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”
Se hace en relación con el artículo 102 del RLOPD 1720/2007, sobre las copias de respaldo y recuperación. Ampliándose con el artículo 106 del RLOPD sobre los criterios de archivo, que dice deberán, entre otras cosas, posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Esto supone una infracción grave, como ya hemos adelantado anteriormente en referencia a la LOPD, y que trae aparejadas consigo multas que van de los 40.001 a los 300.000 euros.
Para intentar evitar esta sanción el médico formuló una serie de alegaciones, entre las cuales nos gustaría destacar las siguientes:
1. Que se tenía el consentimiento del paciente para recabar las imágenes.
2. Que el sistema no asocia la imagen a ningún dato personal del paciente, y que sólo él como cirujano que realizó la intervención es capaz de revertir el proceso de seudonimización, y de esa manera identificar que el vídeo se corresponde con la paciente.
3. Que se pretendía captar la técnica simplemente con fines científicos y docentes, por lo que no formaba parte de la historia clínica de la paciente.
La AEPD procedió a dar respuesta a las alegaciones expuestas por el denunciado y de las cuales podemos sacar conclusiones relevantes:
1. Respecto al documento del consentimiento informado que se aporta como prueba en el procedimiento, el mismo carece de datos identificativos de la paciente, sí contiene los datos identificativos del doctor, así como las firmas del doctor y de la paciente, pero ningún dato más que permita verificar que efectivamente el consentimiento es de la afectada.
2. En relación con el hecho de que el sistema no asocie la imagen a ningún dato de carácter personal de la paciente y que solo el cirujano que realizó la operación sería capaz de identificarla, la AEPD entiende que, al igual que el cirujano que realizó la intervención ha conseguido, utilizando los medios necesarios, identificarla en la grabación, puede comprobarse a partir de este hecho que la información contenida en dicha grabación de la intervención denunciada contiene datos de carácter personal de la denunciante.
3. En este caso, la paciente/denunciante tiene derecho a que quede constancia de la información obtenida en su proceso asistencial como parte de su historia clínica. El hecho de que la grabación de su intervención se recoja con la finalidad de utilizarla para fines docentes y científicos, no significa que, por esa razón, no deban conservarse como parte de la historia clínica de la paciente, tal y como alega el denunciado.
Ninguna de las alegaciones le fue útil al facultativo para llegar a eludir la multa, pero la AEPD ha tenido en cuenta los criterios objetivos del Art. 45.5 de la LOPD, para reducir la cuantía de la sanción atendiendo a:
• El carácter continuado de la infracción. Que en esta ocasión no concurre porque se trató de un hecho puntual.
• El volumen de los tratamientos efectuados. Se considera en este caso que no se trata un elevado volumen de tratamiento de datos.
• El grado de intencionalidad. Se tiene en cuenta en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que el médico incurrió en una grave falta de diligencia.
• La reincidencia por comisión de infracciones de la misma naturaleza. El médico no figura como responsable de infracciones de la misma naturaleza que la cometida y que es caso de análisis en este artículo.
Además de las alegaciones antes señaladas, el médico fundó su recurso en la prescripción de la acción, alegando que “la conducta presuntamente reprochable está prescrita y por ello procede el inmediato archivo” dado que el entendía que ya había pasado este plazo de un año contado desde el día en que la infracción se había cometido, ya que la parte denunciada consideraba la conducta como leve y no como grave que así lo considera la AEPD.
Pero, por el contrario, la AEPD no lo entiende de este modo, ya que nos encontramos en el presente caso, ante una infracción de las denominadas permanentes, caracterizada porque la conducta merecedora de reproche administrativo se mantiene durante un espacio prolongado de tiempo, y por ello el computo del plazo de prescripción no llega a iniciarse hasta tanto dicha conducta se interrumpe. En este caso, la lesión al bien jurídico protegido se prolonga en el tiempo, durante todo el periodo en el que no se posibilita a la denunciante el acceso a su historia clínica.
Además, en el presente caso ha quedado acreditado, que el médico denunciado no disponía de las medidas de seguridad que la LOPD exige al responsable del fichero (en este caso el médico denunciado), al no hacer posible el derecho de acceso, el cual se encuentra reconocido en el Reglamento Europeo de Protección de Datos en su artículo 15, de su paciente a los datos de la historia clínica.
Dichas medidas, añade la AEPD en su Resolución, debían de haber sido de alto nivel, lo cual significa que esas medidas hubiesen sido capaces de garantizar “la correcta conservación de los documentos, como la localización y la consulta de la información, para así posibilitar el ejercicio de los derechos de oposición al tratamiento, de acceso, rectificación y cancelación” ya que se trataba de ficheros de datos de carácter personal y además referidos a información de salud, por lo que es una información especialmente sensible.
En definitiva, la AEPD dispone que el denunciado, no actuó con la diligencia debida al no adoptar las medidas de seguridad necesarias y suficientes para posibilitar el ejercicio del derecho de acceso de su paciente a los datos de su historia clínica, por ello, debe considerarse que se ha vulnerado la LOPD (Art. 9.1).
