La gestión de la información sanitaria plantea, desde hace varios años, uno de los mayores retos en materia de protección de datos personales. La especial sensibilidad de los datos relativos a la salud, unida a la complejidad organizativa de los centros sanitarios, exige niveles de diligencia especialmente elevados. La Resolución de la Agencia Española de Protección de Datos PS-00288-2024, de 2025, constituye un nuevo recordatorio de esta exigencia y marca una línea clara en cuanto a la responsabilidad de las entidades sanitarias en la custodia de soportes físicos que contienen datos personales.
El procedimiento trae causa de la reclamación presentada por un paciente que, tras someterse a una resonancia magnética, aportó al hospital un CD con pruebas médicas previas para su comparación clínica. Meses después, al solicitar la devolución de dicho soporte, el hospital informó de que no podía localizarlo y que las pruebas aportadas ya no se encontraban disponibles.
La cuestión no es menor. Nos encontramos ante datos de salud, enmarcados en las categorías especiales del artículo 9 del RGPD, cuya pérdida genera no solo un perjuicio asistencial, sino una injerencia especialmente grave en los derechos fundamentales del interesado.
Datos de salud en soporte físico: el riesgo que no desaparece
Uno de los aspectos más relevantes de la resolución es que desmonta una falsa sensación de seguridad habitual en entornos sanitarios: la idea de que el riesgo se limita a los sistemas digitales. La AEPD recuerda que el RGPD es plenamente aplicable al tratamiento de datos personales con independencia del soporte utilizado. Los CDs, informes impresos o historiales en papel no son vestigios del pasado ajenos al Reglamento, sino parte clave del tratamiento.
En este caso, la pérdida del soporte físico no fue un hecho puntual o fortuito, sino la consecuencia de un sistema de archivo insuficientemente definido, sin garantías adecuadas y sin medidas técnicas y organizativas que permitieran asegurar la trazabilidad y custodia de las pruebas aportadas por los pacientes.
La Agencia subraya que la limitación de espacio físico del archivo no puede justificar la desaparición de datos personales, y menos aun cuando se trata de información sanitaria. El deber de conservación, custodia y seguridad no se supedita a criterios organizativos internos, sino a la protección efectiva de los derechos del interesado.
Seguridad del tratamiento y protección de datos desde el diseño
Desde el punto de vista jurídico, la AEPD aprecia una vulneración del artículo 25 del RGPD, relativo a la protección de datos desde el diseño y por defecto, en relación directa con el artículo 32, que impone la obligación de garantizar un nivel de seguridad adecuado al riesgo.
La resolución pone el foco en que la entidad hospitalaria no había implementado un procedimiento técnico suficientemente formalizado y eficaz para la gestión de pruebas médicas aportadas por los pacientes. Aunque existía una hoja informativa sobre el plazo de recogida de las pruebas, esta medida se considera claramente insuficiente desde una perspectiva de protección de datos.
No basta con informar al paciente de un plazo. Es necesario contar con:
- procedimientos claros de custodia y archivo,
- mecanismos de control y trazabilidad,
- medidas para evitar accesos no autorizados o pérdidas
- y protocolos de conservación y devolución de soportes físicos.
La Agencia es clara al respecto en este caso: la elaboración ex post de una instrucción técnica no subsana la infracción cuando esta evidencia que, en el momento de los hechos, las medidas eran insuficientes.
La responsabilidad proactiva como eje de la sanción
La resolución incide de manera especialmente contundente en el principio de responsabilidad proactiva. La AEPD recuerda que las entidades que tratan de forma habitual datos de salud deben extremar el rigor y el cuidado en el cumplimiento del RGPD, precisamente por la naturaleza de la información que gestionan.
No se exige la eliminación absoluta del riesgo (algo imposible), pero sí la adopción de medidas proporcionadas, coherentes con el estado de la técnica y adecuadas a la gravedad del impacto potencial. La pérdida de pruebas médicas no es un incidente menor: implica la pérdida de control sobre datos especialmente protegidos y un riesgo elevado para los derechos y libertades del interesado.
En este sentido, la Agencia valora de forma agravada:
- la categoría de los datos afectados (datos de salud),
- el volumen de actividad de la entidad
- y la ausencia de medidas organizativas suficientes en un contexto de tratamiento masivo y continuado de datos personales.
Una sanción ejemplarizante en el ámbito sanitario
La AEPD impone una sanción de 1.000.000 de euros, tipificando la infracción conforme al artículo 83.4 del RGPD y al artículo 73 de la LOPDGDD. Aunque el volumen de negocio de la entidad permitiría sanciones de cuantía muy superior, la Agencia opta por una multa que considera efectiva, proporcionada y disuasoria.
El mensaje es claro: la gestión negligente de datos de salud, incluso cuando se produce a través de soportes físicos y sin evidencia de acceso por terceros, constituye una infracción grave del RGPD.
Reflexión final
La Resolución PS-00288-2024 refuerza una idea que a menudo se subestima en la práctica: la protección de datos no es una cuestión exclusivamente tecnológica, sino organizativa. La digitalización no ha eliminado los riesgos asociados al papel o a los soportes físicos; simplemente los ha desplazado a un segundo plano, donde con frecuencia se relajan los controles.
Para las entidades sanitarias, esta resolución debería servir como punto de inflexión. Revisar los procedimientos de archivo, custodia y devolución de documentación clínica no es una cuestión administrativa, sino una exigencia directa del RGPD. La protección de datos desde el diseño implica anticiparse al riesgo, también cuando este se materializa en un simple CD olvidado.
En definitiva, no estamos ante una sanción aislada, sino ante un recordatorio contundente de que la confianza del paciente se construye, sobre todo, a través del respeto efectivo a sus datos personales. Y, en el ámbito sanitario, ese respeto no admite atajos.
