La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 10 000 euros a una clínica de estética por la difusión no autorizada de imágenes de un paciente en redes sociales (https://www.aepd.es/documento/reposicion-ps-00130-2024.pdf). Las imágenes —que mostraban el «antes y después» de una intervención quirúrgica— fueron publicadas sin el consentimiento expreso del afectado, lo que infringe los artículos 6 y 9 del Reglamento General de Protección de Datos (RGPD).
En la resolución comentada se ponen de relieve los principales errores cometidos por la clínica, especialmente en la gestión de datos personales y sensibles, y la falta de medidas de seguridad adecuadas:
1. Publicación sin consentimiento adecuado (artículo 6 del RGPD): La clínica publicó en redes sociales imágenes del «antes y después» de una cirugía, sin contar con el consentimiento explícito del paciente. Aunque firmó una autorización para usos científicos o educativos, este consentimiento no cubría su uso con fines publicitarios. El artículo 6 del RGPD exige que el tratamiento de datos personales, como las imágenes, tenga una base legal, y el consentimiento específico es clave para la legalidad de este tratamiento.
2. Tratamiento de datos sensibles sin justificación legal (artículo 9 del RGPD): Las imágenes de una intervención quirúrgica constituyen datos sensibles que requieren un tratamiento especialmente cuidadoso. La clínica no tenía una base legal para tratar estos datos de salud con fines comerciales. Este incumplimiento del artículo 9 del RGPD agrava la infracción, ya que los datos médicos están sujetos a una protección más estricta bajo la normativa.
3. Falta de medidas de seguridad y controles adecuados: Aunque no se mencionó explícitamente en el procedimiento, la falta de medidas técnicas y organizativas para garantizar la seguridad de los datos personales es evidente. El RGPD requiere que las organizaciones tomen precauciones adecuadas para evitar la divulgación no autorizada; algo que no ocurrió en este caso, pues las imágenes fueron publicadas sin un proceso de control riguroso.
4. Negligencia en la gestión del consentimiento: La clínica defendió que actuaba bajo el supuesto de que el consentimiento de la doctora que realizó la operación era suficiente, pero la AEPD concluyó que esto no eximía a la clínica de su responsabilidad como encargada del tratamiento de los datos. La clínica no verificó correctamente los límites del consentimiento otorgado, mostrando una clara negligencia en la gestión.
5. Descoordinación en los acuerdos de tratamiento de datos: Un contrato firmado en 2020 entre la clínica y la doctora que realizó la operación no cubría las imágenes tomadas en 2017, cuando se llevó a cabo la cirugía. Este desfase temporal en la formalización de acuerdos para el tratamiento de datos personales muestra una falta de coordinación en la gestión de los datos sensibles.
Otros casos similares en el sector de la estética
No es un incidente aislado en el sector. En otros casos, la AEPD ha multado a clínicas estéticas y de salud por el manejo incorrecto de datos personales. En abril de 2024, una clínica fue sancionada con 5000 euros por publicar fotografías en Instagram sin poder acreditar un consentimiento válido. A pesar de alegar un consentimiento verbal, la rápida identificación del paciente por conocidos dejó en evidencia fallos en sus procedimientos de privacidad.
En otro caso, una clínica oftalmológica fue sancionada con 7000 euros por divulgar datos personales de un cliente en respuesta a una reseña en Internet, violando su deber de confidencialidad al publicar datos personales sensibles y de salud sin consentimiento.
Este caso y otros similares muestran la importancia crítica de cumplir con el RGPD, especialmente en el sector de la salud y estética, donde los datos sensibles están constantemente en juego. Las clínicas deben extremar las precauciones y garantizar que obtienen y gestionan adecuadamente el consentimiento expreso de los pacientes para cualquier tratamiento de sus datos personales.
