Casos Reales de Sanciones AEPD en Salud
Aprende de los errores de otros para no cometerlos tú.
Caso 1: Acceso no autorizado a historia clínica
El caso: Un empleado de un hospital accedió sin autorización a la HC de un familiar. El hospital no tenía logs de auditoría y no pudo demostrar quién accedió ni cuándo.
Sanción: 100.000 € (AEPD, 2023)
| Error | Lección |
|---|---|
| ❌ Sin logs de auditoría | ✅ Implementa logs inmutables de cada acceso |
| ❌ No se pudo identificar al responsable | ✅ Cada usuario tiene cuenta única (nunca genérica) |
| ❌ Política de accesos débil | ✅ RBAC + formación al personal |
Para tu SaaS: Cada vez que un endocrino acceda a los datos de un paciente, debe quedar registrado. El paciente debe poder ver quién ha visto su HC.
Caso 2: Breach por falta de cifrado
El caso: Un portátil sin cifrar con datos de pacientes fue robado de un centro de salud. Datos: nombre, DNI, diagnóstico de salud mental.
Sanción: 50.000 € (AEPD, 2022)
| Error | Lección |
|---|---|
| ❌ Dispositivo sin cifrar | ✅ Cifrado obligatorio en todos los dispositivos |
| ❌ Datos de salud en local | ✅ Datos de salud nunca en local, siempre en cloud seguro |
| ❌ Sin política de dispositivos | ✅ MDM + borrado remoto |
Para tu SaaS: Si accedes desde web, los datos nunca están en el dispositivo del médico. Si tienes app offline, cifrado obligatorio + borrado remoto.
Caso 3: Falta de contrato con encargado
El caso: Una clínica contrató a un proveedor cloud para gestionar sus HC sin firmar contrato Art. 28. El proveedor tuvo un breach. La AEPD sancionó a la clínica por no tener el contrato.
Sanción: 10.000 € (AEPD, 2023)
| Error | Lección |
|---|---|
| ❌ Sin DPA con el proveedor | ✅ Contrato Art. 28 con cada encargado |
| ❌ Confianza verbal | ✅ Todo por escrito |
| ❌ No sabía que el proveedor era encargado | ✅ Data mapping desde el día 1 |
Para tu SaaS: Si eres encargado (tratas datos por cuenta del médico), necesitas DPA firmado. Si eres el responsable, necesitas DPA con tu cloud.
Caso 4: Publicidad con datos de pacientes
El caso: Una clínica dental (sí, no endocrino pero aplica igual) envió publicidad a pacientes usando sus datos de salud. No tenían consentimiento para marketing.
Sanción: 30.000 € (AEPD, 2023)
| Error | Lección |
|---|---|
| ❌ Datos de salud para marketing | ❌❌❌ NUNCA |
| ❌ Asumir que el consentimiento para tratamiento incluye marketing | ✅ Separar finalidades claramente |
| ❌ No informar de los fines | ✅ Información Art. 13 completa |
Para tu SaaS: Los datos de salud nunca se usan para marketing. Si quieres enviar novedades a los pacientes, que sea con consentimiento separado y nunca relacionado con su condición clínica.
Caso 5: Investigación sin consentimiento
El caso: Un hospital cedió datos de pacientes a un equipo de investigación universitario sin consentimiento ni base legal. Los datos incluían diagnósticos, pruebas genéticas y contactos.
Sanción: 200.000 € (AEPD, 2024)
| Error | Lección |
|---|---|
| ❌ Cesión de datos sin base legal | ✅ Art. 9.2(j) + salvaguardas Art. 89 |
| ❌ Investigación sin CEIm | ✅ Dictamen favorable del Comité de Ética |
| ❌ Datos genéticos sin consentimiento | ✅ Consentimiento explícito obligatorio |
Para tu SaaS: Si tienes un módulo de investigación, asegúrate de:
- Los pacientes dan consentimiento explícito para investigación
- Los datos se seudonimizan antes de salir
- El CEIm ha aprobado el estudio
- El paciente puede opt-out sin consecuencias asistenciales
Caso 6: Videovigilancia en consulta
El caso: Un endocrino grabó consultas sin informar a los pacientes. Las grabaciones se almacenaban en un servidor sin cifrar.
Sanción: 15.000 € (AEPD, 2022)
| Error | Lección |
|---|---|
| ❌ No informar de la grabación | ✅ Información visible + cartelería |
| ❌ Almacenamiento inseguro | ✅ Cifrado + accesos controlados |
| ❌ Sin base legal | ✅ Interés legítimo + Art. 9 si graba datos de salud |
Tabla de riesgos para tu SaaS
| Riesgo | Probabilidad | Impacto | Prioridad |
|---|---|---|---|
| Acceso no autorizado a HC | Alta | Alto | 🔴 Crítico |
| Breach por falta cifrado | Media | Alto | 🔴 Crítico |
| Investigación sin consentimiento | Baja | Muy alto | 🟡 Alto |
| Falta DPA con clientes | Alta | Medio | 🟡 Alto |
| Marketing con datos de salud | Baja | Muy alto | 🟢 Medio |
| Violación MDR (alerta clínica no certificada) | Media | Muy alto | 🔴 Crítico |
Las multas que deberían preocuparte
| Concepto | Máximo GDPR | Máximo LOPDGDD |
|---|---|---|
| Infracciones Art. 9 (datos salud sin base legal) | 20M € o 4% facturación | 20M € |
| No atender derechos ARSOLIP | 20M € o 4% | 20M € |
| Breach sin notificar | 10M € o 2% | 10M € |
| Falta RAT | 10M € o 2% | 10M € |
| Contratos Art. 28 | 10M € o 2% | 10M € |