Sanción de 10.000 euros por publicación no consentida de imágenes de pacientes
En un caso reciente, la Agencia Española de Protección de Datos impuso una sanción administrativa de 10.000 euros a un propietario de una clínica estética por la publicación no autorizada de imágenes de una paciente en redes sociales.
Incidente y reclamación
La reclamación ante la AEPD tuvo lugar en 2022, cuando una paciente descubrió que imágenes de su intervención quirúrgica —realizada en 2017— habían sido publicadas en las redes sociales de la clínica, concretamente en Facebook e Instagram, sin haber otorgado su consentimiento explícito para ello. Dichas imágenes correspondían a las etapas de "antes y después" de una operación estética en sus manos. Es relevante señalar que, en el momento de la intervención, el propietario de la clínica no era quien llevó a cabo la operación, sino que había arrendado las instalaciones a la cirujana plástica responsable del procedimiento.
El uso no autorizado de imágenes en un contexto médico resulta particularmente grave, no solo por la implicación que conlleva la revelación de información sobre la salud del paciente, sino también porque vulnera principios fundamentales del RGPD.
Infracción del RGPD
La AEPD, tras su investigación, concluyó que la publicación constituía una infracción tanto del artículo 6.1 del RGPD, referente a la legitimación del tratamiento de datos personales, como del artículo 9 del mismo reglamento, el cual regula el tratamiento de categorías especiales de datos, entre ellos los relativos a la salud.
Vulneración del artículo 6.1 del RGPD: Este artículo establece que el tratamiento de datos personales solo es lícito si se cuenta con el consentimiento explícito del interesado. La AEPD determinó que en este caso no se obtuvo dicho consentimiento por parte de la paciente, quien en ningún momento autorizó el uso de sus imágenes en redes sociales. Esta falta de autorización fue suficiente para que se impusiera una sanción de 5.000 euros.
Infracción del artículo 9 del RGPD: El artículo 9 establece que el tratamiento de datos de salud requiere un nivel más estricto de protección y solo puede realizarse bajo condiciones muy específicas, entre ellas el consentimiento expreso del interesado. Las imágenes publicadas no solo revelaban la identidad de la paciente, sino también detalles sobre su estado de salud y el tipo de procedimiento médico realizado. Dado que la naturaleza de los datos implicados es considerada especialmente sensible, la AEPD impuso una segunda sanción de 5.000 euros, sumando un total de 10.000 euros de multa.
Responsabilidad del propietario de la clínica
El propietario de la clínica alegó que el consentimiento otorgado a la cirujana por parte de sus pacientes era suficiente para autorizar la publicación de las imágenes. Sin embargo, la AEPD desestimó esta defensa, señalando que el acuerdo de uso de datos firmado entre la cirujana y el propietario en 2020 no cubría la publicación de las imágenes de intervenciones previas, como era el caso de la operación de 2017. Además, la agencia recalcó que el propietario era responsable de obtener el consentimiento específico de la paciente para el uso de sus imágenes en campañas de publicidad en redes sociales, lo cual no ocurrió.
La AEPD, en su resolución, dejó claro que no basta con que un tercero, en este caso la cirujana plástica, cuente con un consentimiento general para el uso de datos, sino que cada actor implicado en el tratamiento de dichos datos tiene la obligación de asegurar que ese consentimiento ha sido otorgado de forma explícita y específica. El propietario de la clínica, al no cumplir con esta exigencia, se convirtió en responsable directo de la infracción.
Por ello, la AEPD impone una sanción de 10.000 euros.