La AEPD multa con 1,2 millones de euros a una empresa del Grupo Quirón tras la denuncia de un paciente por no proteger sus datos clínicos

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1,2 millones de euros a IDCQ Hospitales y Sanidad SLU, empresa perteneciente al Grupo Hospitalario Quirón, tras la denuncia presentada por un paciente por no proteger sus datos personales y clínicos.

Un paciente de este grupo hospitalario acudió en 18 de noviembre de 2021 al Hospital Universitario Quirónsalud Madrid a realizarse una resonancia, aportando para su comparación un CD que contenía las imágenes originales de otras resonancias magnéticas realizadas en los años 2018, 2019 y 2020 como pruebas previas para la prestación de su tratamiento asistencial.

El 29 de marzo de 2022, el usuario volvió al Servicio de Diagnóstico por la Imagen a recoger los resultados tanto de la prueba que se había realizado cuatro meses atrás como el CD que aportó en su momento, pero nadie le proporcionó el material. Tras interponer una queja, el hospital le respondió por correo electrónico y le confirmó el informe de la resonancia realizada en noviembre de 2021 y las pruebas que había aportado ya no estaban disponibles en el archivo.

«La capacidad de nuestro archivo es limitada, es por ello que en la realización de las pruebas informamos a los pacientes que quieren el soporte en papel el plazo para recoger los informes ya que pasado un plazo se procede a la limpieza de dicho archivo para poder disponer de espacio para seguir archivando lo recientemente realizado», explicaron.

En enero de 2024, el denunciante volvió a interponer una reclamación para solicitar que le facilitasen las imágenes de sus pruebas. En su respuesta, el Servicio de Diagnóstico por la Imagen explicó que lamentaba la situación y que sus «las pruebas externas, tras dos años después de la revisión de la misma, se encuentran sin registro».

A raíz de aquí, el usuario interpuso una reclamación ante la Agencia Española de Protección de Datos al considerar que IDCQ Hospitales y Sanidad SLU no había protegido sus datos personales y clínicos.

En julio de 2025, la AEPD formuló una propuesta de resolución por la que interponía a esta empresa del Grupo Hospitalario Quirón una multa de 1,2 millones de euros por haber vulnerado los artículos 9, 6 y 25 del Reglamento general europeo de protección de datos, unas infracciones catalogadas como graves o muy graves en base a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Dichos artículos están relacionados con el tratamiento de categorías especiales de datos personales, con la licitud del tratamiento y con la protección de datos desde el diseño y por defecto.

La agencia ha rechazado todas las alegaciones formuladas por IDCQ Hospitales y Sanidad SLU y ha señalado que la empresa ha cometido una «omisión palmaria del responsable en el deber de cuidado hacia la protección de los datos de sus pacientes, lo que refuerza y amplifica la gravedad de la infracción».

Además, argumenta que IDCQ «no ha aplicado las medidas técnicas y organizativas apropiadas con miras a garantizar el plazo de conservación al proceder a su destrucción sin tener en cuenta el deber de custodia ya mencionado».

La resolución, fechada el pasado 4 de marzo, se ha publicado en el BOE del pasado viernes. La AEPD sanciona con 1,2 millones de euros a IDCQ Hospitales y Sanidad SLU, poniendo fin a la vía administrativa. Contra esta resolución cabe recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.