Un Hospital privado sancionado con 60.000 Euros por extraviar unas pruebas diagnósticas

La Agencia Española de Protección de Datos impone una sanción al Hospital por incumplimiento del Principio de Seguridad de los Datos

Un paciente intervenido en 2004 en un Hospital privado de la Comunidad Autónoma de Madrid interpuso denuncia contra este mismo hospital en la Agencia Española de Protección de Datos.

Este paciente, antes de ser intervenido quirúrgicamente, aportó al Hospital unas pruebas diagnósticas que había realizado fuera de este centro. Al ser dado de alta en dicho Hospital, solicitó la devolución de las pruebas diagnósticas. Para ello tuvo que realizar distintos requerimientos y escritos de reclamación. Sin embargo, el Hospital no las devolvió argumentando que “no disponía de ellas”. Tal y como comprobó a posteriori la Inspección de la Agencia Española de Protección de Datos, dichas pruebas diagnósticas habían sido extraviadas en el Hospital.

La Agencia Española de Protección de Datos acordó iniciar un procedimiento sancionador al Hospital a principios de 2005 por una supuesta infracción del principio de seguridad de los datos establecido en el artículo 9 de la LOPD. Dicho procedimiento finalizó en Abril de 2006 con una resolución sancionadora por la que se impone al Hospital una sanción de 60.101,20 € por una infracción tipificada como grave. Dicha resolución ha sido recurrida y está pendiente de resolver por la Sala de lo Contencioso de la Audiencia Nacional.

La Agencia Española de Protección de Datos aclara que la historia clínica de un paciente está formada, según la Ley 41/2002 de Autonomía del Paciente y Derechos y Obligaciones en Materia de Información y Documentación Clínica por “el conjunto de documentos relativos a los procesos asistenciales de cada paciente” siendo su finalidad facilitar la asistencia sanitaria. Recuerda que esa misma Ley 41/2002 exige que los centros sanitarios conserven la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad para la debida asistencia al paciente durante el tiempo adecuado en cada caso y, como mínimo, 5 años contados desde la fecha de alta de cada proceso asistencial.

Igualmente recuerda al Hospital que mantiene una obligación sobre el mantenimiento de sus ficheros de pacientes (que incluyen necesariamente la historia clínica de los mismos) y sobre los que debe garantizar la existencia de una serie de medidas de seguridad que impidan los accesos o tratamientos no autorizados, y la pérdida o alteración de datos.

Declara finalmente que dado que las pruebas diagnósticas aportadas por el paciente forman parte de la historia clínica, la custodia de toda esta documentación corresponde al propio Hospital. Por tanto, también impone al Hospital la carga de la prueba de esta custodia y en su caso acreditar que dichas pruebas diagnósticas fueron retiradas por el propio paciente, circunstancia que el Hospital no pudo acreditar.

El Hospital presentó sus alegaciones argumentando que dispone de un “Protocolo de Seguimiento de la Historia Clínica”. En dicho Protocolo se recoge una norma que determina que cuando un paciente es dado de alta por el facultativo del Hospital, el personal sanitario de la planta le hace entrega de una copia de la hoja del informe de alta y de las pruebas diagnósticas aportadas por el mismo paciente. Pues bien, ni siquiera la existencia de este Protocolo valió para eximir la responsabilidad del Hospital. No se trata de que mantener un Protocolo o unas Medidas de Seguridad perfectamente documentadas, sino el efectivo cumplimiento de los dispuesto en ese protocolo o medidas, correspondiendo la carga de la prueba de este cumplimiento al propio responsable de este tratamiento, en este caso el Hospital.