Un hospital del Grupo Quirón recibe una multa de 1,2 millones de euros por perder el CD de un paciente que aportó resonancias hechas en otros centros

La Agencia Española de Protección de Datos (AEPD) ha multado a un hospital del Grupo Quirón con 1,2 millones de euros por perder las pruebas médicas de uno de sus pacientes. La autoridad pública independiente encargada de velar por la privacidad y la protección de datos de la ciudadanía entiende que ‘IDCQ Hospitales y Sanidad’, integrado dentro de la estructura del Grupo Quirón, vulneró tres artículos de la ley al destruir datos sanitarios “sin que conste acreditada causa alguna que lo legitime” y, sobre todo, porque el centro no contaba con un protocolo para custodiar la documentación clínica aportada previamente por este paciente. La elevada cuantía de la sanción se justifica en la magnitud de la empresa (un volumen de negocio de 2.800 millones de euros en 2023), el número potencial de afectados, la especial protección de estos datos y la negligencia organizativa detectada.

La Agencia no matiza de qué hospital se trata. Solo que el paciente acudió al centro el 18 de noviembre de 2021 a realizarse una resonancia, aportando en ese momento un CD que contenía las imágenes de tres resonancias previas que se había hecho en 2016, 2017 y 2018 para que los facultativos tuvieran más elementos de juicio. Cuatro meses después, en marzo de 2022, acudió al hospital a recoger el CD que había entregado, pero el centro no lo encontró y no se lo pudo devolver. El paciente insistió en recuperar las pruebas. El 4 de abril de 2022, recibió un mail en el que le informaban que las imágenes aportadas ya no estaban disponibles. Tampoco las de la última resonancia realizada a finales de 2021.

“Tal y como acordé personalmente con usted, informarle que la documentación que incluía el informe de la resonancia realizada en noviembre de 2021 y las pruebas previas que usted aportó, las cuales se incluyeron en dicho ensobrado, tras realizar una nueva revisión de nuestro archivo, lamento confirmarle que ya no están disponibles”, señala la misiva. El hospital lo justificó porque “la capacidad de nuestro archivo es limitada, es por ello que en la realización de las pruebas informamos a los pacientes que quieren el soporte en papel el plazo para recoger los informes, ya que pasado un plazo se procede a la limpieza de dicho archivo para poder disponer de espacio para seguir archivando lo recientemente realizado”. Es decir, cuando pasa un mes, el hospital destruye los archivos.

El Grupo Quirón se justifica alegando que el mismo día de noviembre de 2021 en el que el paciente se realizó la última resonancia, este firmó una hoja de recogida de pruebas en la que se indicaba expresamente que el plazo para recuperar las imágenes entregadas era de un mes. A pesar de ello, el paciente puso una reclamación ante la Agencia en enero de 2024 porque entendió que no se habían protegido sus datos. La Agencia abrió expediente sancionador en noviembre de ese año. En julio de 2025, la Agencia concluyó que el hospital había vulnerado tres artículos de la ley de protección de datos: artículo 6 (licitud del tratamiento), artículo 9 (categorías especiales de datos: salud) y artículo 25 (protección de datos desde el diseño y por defecto).

Sí forma parte del historial clínico

Desde la Agencia consideran que el tratamiento de datos personales, en este caso el CD, consistió simplemente en la solución definitiva de destrucción de datos de salud “sin que conste acreditada causa alguna que lo legitime, teniendo en cuenta que el deber de custodia de la documentación clínica […] fue eliminada en el plazo de un mes al no ser recogida por el paciente". El hospital de IDCQ sostiene que el CD aportado por el paciente no forma parte de la historia clínica, pues contenía radiografías de otros centros y, por tanto, la conservación de dichas imágenes debía seguir los plazos indicados a la paciente (un mes para su destrucción).

Toda la documentación clínica, tanto generada como aportada por pacientes y depositada en el centro, debe conservarse bajo responsabilidad del hospital según la ‘Ley 41/2002 (autonomía del paciente)’, y su destrucción antes de los plazos legales constituye infracción, argumenta la Agencia. El artículo 17.1 de esa ley regula que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencia”. Un plazo que en este caso no se cumplió.

De los 1,2 millones de euros de multa, un millón corresponde porque el hospital no contaba con un procedimiento claro referido a cómo gestionar la documentación clínica, independientemente del formato y de que la aporte un paciente. La Agencia afea al grupo de que no basta con la existencia de procedimientos internos si estos no se adaptan plenamente a lo exigido por la normativa: la ausencia de un protocolo específico y la destrucción prematura son negligencias graves. A pesar de que el Procedimiento de Diagnóstico del propio hospital indicase que se hacía con los archivos recibidos (custodia durante un mes, y después de este periodo se llevaría al archivo general hasta el tiempo que establezca la ley), “nada se preveía en este procedimiento respecto de la devolución de soportes físicos continentes de datos personales suministrados por los pacientes previamente en el centro hospitalario”, coNcluye la Agencia.