psn constituyen datos sensibles que requieren un la operación no cubría las imágenes tomadas tratamiento especialmente cuidadoso. La clí- en 2017, cuando se llevó a cabo la cirugía. nica no tenía una base legal para tratar estos Este desfase temporal en la formalización datos de salud con fines comerciales. Este in- de acuerdos para el tratamiento de datos cumplimiento del artículo 9 del RGPD agrava personales muestra una falta de coordinación la infracción, ya que los datos médicos están en la gestión de los datos sensibles. sujetos a una protección más estricta bajo la normativa. CASOS SIMILARES EN EL SECTOR Este no es un incidente aislado en el ámbito Falta de medidas de seguridad y controles de la estética. En otros casos, la AEPD también adecuados: aunque no se mencionó explí- ha multado a clínicas por el manejo incorrecto citamente en el procedimiento, la falta de de datos personales. En abril de este año, una medidas técnicas y organizativas para garan- clínica fue sancionada con 5.000 euros por tizar la seguridad de los datos personales es publicar fotografías en Instagram sin poder evidente. El RGPD requiere que las organiza- acreditar un consentimiento válido. A pesar ciones tomen precauciones adecuadas para de alegar un consentimiento verbal, la rápida evitar la divulgación no autorizada, algo que identificación del paciente por conocidos dejó no ocurrió en este caso, pues las imágenes en evidencia fallos en sus procedimientos de fueron publicadas sin un proceso de control privacidad. riguroso. Fuera del sector estético, una clínica oftalmológica fue sancionada con 7.000 euros Negligencia en la gestión del consenti- por divulgar datos personales de un cliente en miento: la clínica defendió que actuaba bajo respuesta a una reseña en Internet, violando el supuesto de que el consentimiento de la su deber de confidencialidad al publicar doctora que realizó la operación era suficien- datos personales sensibles y de salud sin te, pero la AEPD concluyó que esto no eximía consentimiento. a la clínica de su responsabilidad como encar- Todos estos casos muestran la importancia gada del tratamiento de los datos. El centro crítica de cumplir con el RGPD, especialmente no verificó correctamente los límites del con- en el sector de la salud, donde constantemente sentimiento otorgado, mostrando una clara se manejan datos sensibles. Las clínicas negligencia en la gestión. deben extremar las precauciones y garantizar la obtención y gestión adecuada del Descoordinación en los acuerdos de consentimiento expreso de los pacientes para tratamiento de datos: el contrato firmado cualquier tratamiento MÁS INFO en 2020 entre la clínica y la doctora que realizó de sus datos personales. 9