{"id":36795,"date":"2025-07-29T16:40:55","date_gmt":"2025-07-29T14:40:55","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&#038;p=36795"},"modified":"2025-07-29T16:40:55","modified_gmt":"2025-07-29T14:40:55","slug":"la-aepd-impone-una-multa-de-40-000-euros-a-una-empresa-por-vulneracion-del-principio-de-confidencialidad-de-datos-medicos","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/es\/noticias_boletin\/la-aepd-impone-una-multa-de-40-000-euros-a-una-empresa-por-vulneracion-del-principio-de-confidencialidad-de-datos-medicos\/","title":{"rendered":"La AEPD impone una multa de 40.000 euros a una empresa por vulneraci\u00f3n del principio de confidencialidad de datos m\u00e9dicos"},"content":{"rendered":"<p>La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, \u201cAEPD\u201d) ha resuelto un procedimiento sancionador contra una empresa, imponi\u00e9ndole una sanci\u00f3n de 40.000 euros (reducida finalmente a 32.000 euros por pago voluntario), por una vulneraci\u00f3n del art\u00edculo 5.1.f) del Reglamento General de Protecci\u00f3n de Datos (en delante, \u201cRGPD\u201d), relativo al principio de integridad y confidencialidad en el tratamiento de datos personales.<\/p>\n<p>El procedimiento sancionador se inici\u00f3 tras la reclamaci\u00f3n de un trabajador cuyo informe de reconocimiento m\u00e9dico fue anexado err\u00f3neamente al historial cl\u00ednico de otro empleado, quedando expuesto a terceros sin su conocimiento ni consentimiento.<\/p>\n<p>En particular, la AEPD destaca los siguientes puntos:<\/p>\n<ul>\n<li><strong>P\u00e9rdida de confidencialidad de datos de salud<\/strong>: El error se produjo al escanear e incorporar manualmente pruebas m\u00e9dicas al sistema de gesti\u00f3n, lo que deriv\u00f3 en la subida de un informe err\u00f3neo al portal del Servicio de Prevenci\u00f3n, accesible por otro trabajador. Este hecho constituye una p\u00e9rdida de confidencialidad, al permitir el acceso no autorizado a datos especialmente protegidos.<\/li>\n<li><strong>Infracci\u00f3n calificada como muy grave<\/strong>: La conducta fue calificada como infracci\u00f3n muy grave conforme al art\u00edculo 83.5.a) del RGPD y al art\u00edculo 72.1.a) de la LOPDygdd, al suponer una vulneraci\u00f3n sustancial del principio de confidencialidad en el tratamiento de datos personales, especialmente trat\u00e1ndose de informaci\u00f3n relativa a la salud.<\/li>\n<li><strong>Rechazo de la alegaci\u00f3n sobre el art\u00edculo 32 RGPD<\/strong>: Aunque inicialmente se incluy\u00f3 tambi\u00e9n una posible infracci\u00f3n del art\u00edculo 32 del RGPD (medidas de seguridad), la AEPD acord\u00f3 su archivo al no quedar acreditada la ausencia de medidas generales en materia de seguridad. Sin embargo, ello no eximi\u00f3 a la entidad de la infracci\u00f3n del art\u00edculo 5.1.f).<\/li>\n<li><strong>Medidas correctoras insuficientes para eximir responsabilidad<\/strong>: La empresa aleg\u00f3 contar con formaci\u00f3n continua, manuales, protocolos de seguridad y procesos de certificaci\u00f3n (ISO 27001). La AEPD valor\u00f3 positivamente estas medidas, pero consider\u00f3 que fueron adoptadas tras el incidente y no eliminan la responsabilidad por el da\u00f1o ya causado.<\/li>\n<li><strong>Graduaci\u00f3n de la sanci\u00f3n<\/strong>: La AEPD tuvo en cuenta como agravantes que los datos afectados eran especialmente sensibles (datos de salud), que la actividad de la entidad implica tratamientos sistem\u00e1ticos de este tipo de datos, y que la v\u00edctima perdi\u00f3 de forma irremediable el control sobre su informaci\u00f3n personal.<\/li>\n<li><strong>Terminaci\u00f3n del procedimiento por pago voluntario<\/strong>: La empresa abon\u00f3 la cuant\u00eda reducida de 32.000 euros conforme al art\u00edculo 85.2 de la Ley 39\/2015, lo que supuso la terminaci\u00f3n anticipada del procedimiento sin reconocimiento expreso de responsabilidad.<\/li>\n<\/ul>\n<p>Esta resoluci\u00f3n subraya la especial diligencia exigida en el tratamiento de datos de salud, y refuerza el principio de responsabilidad proactiva como eje fundamental del cumplimiento normativo en materia de protecci\u00f3n de datos. La correcta implementaci\u00f3n de medidas t\u00e9cnicas y organizativas debe ser efectiva, constante y verificable, especialmente en entornos donde se manejan datos sensibles por defecto.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, \u201cAEPD\u201d) ha resuelto un procedimiento sancionador contra una empresa, imponi\u00e9ndole una sanci\u00f3n de 40.000 euros (reducida finalmente a 32.000 euros por pago voluntario), por una vulneraci\u00f3n del art\u00edculo 5.1.f) del Reglamento General de Protecci\u00f3n de Datos (en delante, \u201cRGPD\u201d), relativo al principio de integridad y confidencialidad [&hellip;]<\/p>\n","protected":false},"featured_media":0,"template":"","tipo_articulo":[3190],"ambito_geografico":[],"boletin":[4455],"class_list":["post-36795","noticias_boletin","type-noticias_boletin","status-publish","hentry","tipo_articulo-noticias-de-interes","boletin-julio"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin\/36795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/media?parent=36795"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/tipo_articulo?post=36795"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/ambito_geografico?post=36795"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/boletin?post=36795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}