Sanciones de la AEPD en el Sector Sanitario: Todos los Casos Publicados
¿Cuanto multa la AEPD a las clinicas privadas?
La AEPD (Agencia Espanola de Proteccion de Datos) publica todas las resoluciones sancionadoras en su web (aepd.es/resoluciones). El sector sanitario esta entre los mas multados. Hemos recopilado los casos publicados contra centros sanitarios privados para que pueda consultarlos sin tener que bucear en el buscador de la AEPD. Rango de multas en sanidad privada: desde 3.000 EUR por infracciones leves (falta de cartel informativo, consentimientos incompletos) hasta 300.000+ EUR por infracciones graves (brechas de datos no notificadas, cuentas compartidas con acceso masivo a historiales). La multa media en sanidad privada entre 2022 y 2025: entre 20.000 y 80.000 EUR. La tendencia: al alza. La AEPD ha reforzado su equipo de inspeccion y los procedimientos sancionadores se resuelven mas rapido.
Casos reales: las multas mas altas en sanidad privada
Estos son casos publicados por la AEPD (verificables en aepd.es/resoluciones). Hospital privado — 300.000 EUR: brecha de datos afectando a miles de pacientes, no notificada a la AEPD dentro de las 72 horas que exige el articulo 33 del RGPD. La AEPD considero agravante que el hospital tenia medios tecnicos para detectar la brecha antes. Centro de diagnostico — 150.000 EUR: implanto un nuevo sistema de gestion sin realizar la Evaluacion de Impacto relativa a la Proteccion de Datos (DPIA) que exige el articulo 35 del RGPD para tratamientos de alto riesgo. La AEPD dictamino que un sistema que procesa datos sanitarios a gran escala requiere DPIA siempre. Clinica de medicina estetica — 90.000 EUR: publico fotografias de "antes y despues" de pacientes en Instagram sin consentimiento especifico para uso en redes sociales. El consentimiento firmado cubria el tratamiento medico, no la difusion publica de imagenes. Clinica dental — 50.000 EUR: empleados accedieron a historiales de pacientes sin justificacion asistencial. Lo que la AEPD llama "acceso por curiosidad" — un empleado accedio al historial de un conocido. La clinica no tenia sistema de alertas de acceso anomalo. Consulta medica — 30.000 EUR: cedio datos de pacientes a un laboratorio externo sin contrato de encargado de tratamiento (articulo 28 RGPD). El laboratorio tambien fue sancionado.
Las 5 infracciones mas frecuentes en clinicas privadas
Basado en el analisis de las resoluciones publicadas por la AEPD en el sector sanitario entre 2020 y 2025. (1) Acceso por curiosidad — empleados que acceden a historiales sin justificacion asistencial. Es la infraccion mas comun y la mas facil de prevenir con controles de acceso basados en rol y alertas de acceso anomalo. Articulos violados: 5.1(f) y 32 del RGPD. (2) Brechas no notificadas — la clinica sufre un incidente de seguridad y no lo notifica a la AEPD en 72 horas ni a los pacientes afectados cuando es probable un alto riesgo. Articulos: 33 y 34 del RGPD. (3) Consentimientos defectuosos — un unico consentimiento generico que cubre "todo" en vez de consentimientos especificos por finalidad (tratamiento clinico, investigacion, marketing, cesion a terceros). Articulo: 6 y 7 del RGPD. (4) Falta de DPIA — implantar nuevos sistemas o procesos que tratan datos sanitarios sin evaluar el impacto previamente. Articulo: 35 del RGPD. (5) Cesion sin contrato — compartir datos con laboratorios, centros de imagen o plataformas sin contrato de encargado de tratamiento. Articulo: 28 del RGPD. Las cinco son prevenibles con buenas practicas organizativas. Ninguna requiere tecnologia cara.
¿Como evitar una sancion de la AEPD en su clinica?
Diez acciones concretas ordenadas por impacto y coste. (1) Nombre un DPD si no lo tiene — en sanidad es obligatorio (articulo 37 RGPD, articulo 34 LOPDGDD). Un DPD externo compartido cuesta 150-300 EUR/mes. (2) Implante control de accesos basado en rol: cada profesional accede solo a los historiales de sus pacientes. Configure alertas de acceso anomalo. (3) Revise sus consentimientos: un consentimiento por finalidad, no uno generico que cubra todo. (4) Haga la DPIA antes de implantar cualquier sistema nuevo que trate datos sanitarios. (5) Formalice contratos de encargado de tratamiento con todos los terceros que reciban datos (laboratorios, centros de imagen, plataformas de teleasistencia). (6) Active las notificaciones de brecha: tenga un protocolo escrito, un responsable identificado y un canal directo con la AEPD. (7) Elimine cuentas compartidas: cada profesional con usuario y contrasena individual. (8) Cifre los datos en reposo y transito — esto satisface RGPD, EHDS y NIS2 a la vez. (9) Forme al equipo una vez al ano: 2 horas de formacion practica sobre proteccion de datos reducen las infracciones por acceso indebido un 70-80% segun estudios internos de hospitales del NHS britanico. (10) Haga la auditoria EHDS de SaludComply — evalua los controles de proteccion de datos como parte de los 45 puntos de control, y le dice exactamente donde esta su gap.
¿Como se cruzan las sanciones AEPD con el EHDS?
El EHDS no sustituye al RGPD — se suma. Y muchos controles que el EHDS va a exigir a partir de 2029 ya son sancionables hoy bajo el RGPD. Autenticacion individual (no cuentas compartidas): el EHDS lo exige en el Anexo II, seccion 3. La AEPD ya multa por cuentas compartidas bajo el articulo 32 del RGPD. Registro de auditoria inmutable: el EHDS lo exige para trazabilidad de acceso a datos del paciente. La AEPD ya lo considera medida de seguridad obligatoria cuando falta y hay una brecha. Cifrado en reposo y transito: el EHDS lo exige. El RGPD (articulo 32.1.a) lo incluye como medida tecnica apropiada. La AEPD agrava la sancion cuando no hay cifrado y se produce una brecha. Portabilidad: el EHDS la operativiza en formato EEHRxF. El RGPD (articulo 20) ya la reconoce como derecho — la AEPD ha sancionado a una clinica que se nego a entregar el historial en formato electronico. La conclusion practica: cada control que implemente para cumplir el EHDS le protege tambien frente a sanciones AEPD. Y viceversa: si ya cumple bien el RGPD, su gap para el EHDS es mas tecnologico (FHIR, marcado CE) que organizativo.