Clínica sancionada por uso indebido de imágenes de pacientes. Sanción de 10.000 euros.

Una clínica estética ha sido sancionada por la Agencia Española de Protección de Datos con una multa de 10.000 euros tras publicar sin autorización imágenes de una paciente en redes sociales. El caso, que afecta directamente a la protección de los datos personales en el ámbito sanitario, ha generado un debate sobre las responsabilidades legales de las clínicas y profesionales de la salud en el tratamiento de datos sensibles.

Hechos del caso

En 2017, una paciente acudió a una clínica estética para someterse a una intervención quirúrgica en las manos. Aunque la operación fue realizada por una cirujana que alquilaba el espacio de la clínica, el propietario del establecimiento fue quien, en 2022, publicó imágenes del antes y después de la intervención en las redes sociales de la clínica, sin haber solicitado ni obtenido el consentimiento de la paciente para dicho uso.

Al descubrir la publicación de sus imágenes, la paciente presentó una reclamación ante la AEPD, argumentando que no había dado permiso para que se utilizaran sus fotografías con fines promocionales. La AEPD inició una investigación y concluyó que el propietario de la clínica había infringido el Reglamento General de Protección de Datos, imponiendo una sanción económica significativa.

Infracciones del Reglamento General de Protección de Datos

La AEPD determinó que el propietario de la clínica había vulnerado dos disposiciones clave del RGPD, que regula el uso y tratamiento de datos personales en la Unión Europea:

1. Incumplimiento del artículo 6.1 del RGPD: El tratamiento de datos personales, como fotografías, solo es lícito si se cuenta con el consentimiento explícito de la persona afectada. En este caso, la clínica no había obtenido dicho consentimiento, por lo que la publicación de las imágenes violaba este principio básico. La AEPD impuso una multa de 5.000 euros por esta infracción.

2. Violación del artículo 9 del RGPD: Este artículo establece restricciones más estrictas para el tratamiento de datos sensibles, como los datos de salud. Dado que las imágenes publicadas revelaban detalles sobre el estado de salud de la paciente y el procedimiento estético realizado, la AEPD consideró que el propietario también había infringido esta disposición. Otra multa de 5.000 euros fue impuesta por esta violación, lo que sumó un total de 10.000 euros en sanciones.

La defensa del propietario y la respuesta de la AEPD

En su defensa, el propietario de la clínica argumentó que la cirujana, responsable de la intervención, había obtenido el consentimiento de la paciente en su momento, y que ello debería haber sido suficiente para autorizar el uso de las imágenes. Sin embargo, la AEPD refutó este argumento, aclarando que el consentimiento debe ser específico para cada tratamiento de datos y que la responsabilidad sobre el uso de dichas imágenes recaía en el propietario de la clínica, quien no había obtenido un permiso expreso para utilizarlas con fines publicitarios.

Además, la AEPD señaló que el contrato entre la cirujana y el propietario para el uso de las instalaciones, firmado en 2020, no tenía relación con la operación realizada en 2017. Por tanto, el acuerdo no amparaba ni justificaba la publicación de las imágenes en cuestión, puesto que el consentimiento para el tratamiento de datos no puede ser retroactivo ni aplicarse de manera genérica.