Protección de Datos

Sanciones AEPD sanidad y salud 2026

Sanciones AEPD sector sanitario 2026: hospitales, clínicas, accesos indebidos a historiales. Importes, casos y obligaciones RGPD del sector salud.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. El sector sanitario acumula el 6% del importe sancionador AEPD con casos típicos de acceso indebido a historiales clínicos (5.000-40.000 EUR), comunicaciones a terceros sin base jurídica y deficiencias en gestión del consentimiento informado.

Puntos clave

  • 187 expedientes sancionadores AEPD al sector salud en 2024-2025.
  • Sanción media: 18.000 EUR para clínicas privadas; apercibimiento al sector público.
  • Acceso indebido a historiales: motivo más frecuente (38% de expedientes).
  • Datos de salud son categoría especial (art. 9 RGPD) — sanciones agravadas.
  • Hospitales públicos reciben apercibimiento conforme al art. 77 LOPDGDD.

1. Datos de salud: categoría especial

Los datos de salud están en categoría especial del art. 9 RGPD. Su tratamiento requiere base jurídica del art. 9.2 (consentimiento explícito, asistencia sanitaria, medicina preventiva, etc.) además de la del art. 6. La AEPD aplica agravantes sistemáticos por la naturaleza sensible: importes hasta el doble respecto a tratamientos ordinarios.

2. Acceso indebido a historiales clínicos

Motivo más frecuente de sanción al sector. Casos típicos:

  • Sanitario que consulta historial de pareja, familiar o vecino.
  • Administrativo que revisa historial de famoso o personal del centro.
  • Médico que accede sin relación asistencial.

Sanciones: 5.000-40.000 EUR para clínicas privadas. Apercibimiento + medida correctora para hospitales públicos. La responsabilidad recae en el centro conforme al art. 4.7 RGPD.

3. Casos relevantes 2024-2025

Centro Importe (EUR) Motivo
Hospital privado Madrid 70.000 Brecha sin notificar 72h
Cadena clínicas dentales 40.000 Acceso indebido masivo
Clínica fertilidad 30.000 Comunicación a tercero
Centro estética 25.000 Imágenes pacientes RRSS
Laboratorio análisis 20.000 Información insuficiente
Hospital público X Apercibimiento Historiales sin protección

4. Comunicaciones a terceros sin base

Compartir información clínica con familiares, abogados, compañías de seguros o empleadores sin base jurídica adecuada genera sanción. Excepciones:

  • Consentimiento explícito del paciente.
  • Obligación legal (juzgados, salud pública).
  • Interés vital cuando el paciente no puede consentir.
  • Familiares próximos en situación de emergencia (interpretación restrictiva AEPD).

5. Brechas en sistemas de información sanitaria

Los hospitales son objetivo prioritario de ransomware. La AEPD exige:

  • Notificación AEPD en 72 horas (art. 33 RGPD).
  • Comunicación a pacientes afectados si hay alto riesgo (art. 34 RGPD).
  • Coordinación con CCN-CERT y autoridad sanitaria.
  • Implementación ENS categoría alta para sistemas sanitarios.

Hospital privado de Madrid sancionado con 70.000 EUR en 2024 por notificación tardía de incidente que afectó a 40.000 pacientes.

6. Imágenes y redes sociales

Publicación de imágenes de pacientes en redes sociales del centro o de profesionales requiere consentimiento explícito específico (art. 9 RGPD) más cesión de derechos de imagen (LO 1/1982). Sanciones típicas: 15.000-50.000 EUR. Casos frecuentes en cirugía estética, odontología y veterinaria humana.

7. Investigación clínica y RGPD

La investigación con datos de salud requiere:

  • Base jurídica del art. 6.1.e o consentimiento.
  • Excepción del art. 9.2.j RGPD para investigación científica.
  • EIPD obligatoria cuando hay tratamiento masivo (Anexo I AEPD).
  • Comité de Ética con dictamen favorable.
  • Cumplimiento de la LOPDGDD Disposición adicional decimoséptima.

8. Hospitales públicos: régimen de apercibimiento

La LOPDGDD art. 77 sustituye la sanción económica por apercibimiento para administraciones públicas, incluidos hospitales del SNS. La AEPD impuso 47 apercibimientos al SNS en 2025. La sanción real es reputacional y obliga a medidas correctoras documentadas con seguimiento.

9. Consentimiento informado y RGPD

El consentimiento informado de la Ley 41/2002 es distinto del consentimiento RGPD pero coincidente en muchos casos. Buenas prácticas:

  • Formulario separado para asistencia (art. 9.2.h RGPD) y otros tratamientos (investigación, marketing, fidelización).
  • Información clara sobre conservación de la historia clínica (mínimo 5 años, máximo según finalidad).
  • Posibilidad de revocar consentimiento para tratamientos no asistenciales.

10. DPO obligatorio en sanidad

Conforme al art. 37 RGPD y al art. 34 LOPDGDD, el DPO es obligatorio en:

  • Centros sanitarios obligados a mantener historias clínicas.
  • Establecimientos farmacéuticos.
  • Cuando el tratamiento masivo de datos de salud sea actividad principal.

Ver cuándo es obligatorio el DPO en España.

11. Telemedicina y RGPD

La telemedicina requiere base jurídica específica y medidas técnicas reforzadas:

  • Cifrado end-to-end de la comunicación.
  • Plataforma con contrato de encargado y, si datos fuera UE, garantías del art. 46 RGPD.
  • Información al paciente sobre canales y conservación de grabaciones.
  • Política específica de retención de vídeo (si se graba).

12. Cómo cumplir RGPD en sector sanitario

  • Sistema de control de accesos con logs y alertas.
  • Formación obligatoria en RGPD al personal sanitario y administrativo.
  • DPO con dependencia funcional de la dirección.
  • Registro de actividades específico por servicio.
  • Protocolo de brechas con plantilla de notificación preformateada.
  • Auditoría anual interna con muestreo de accesos.

FAQ

¿Puede un médico acceder a mi historial sin tratarme?

No. Solo el personal sanitario con relación asistencial activa puede acceder. Acceso fuera de este supuesto es sancionable y debe ser denunciado al DPO del centro.

¿Mi familia puede ver mi historial?

Solo con su consentimiento explícito, salvo situación de emergencia con paciente incapaz. La interpretación AEPD es restrictiva.

¿Cuánto tiempo se conserva la historia clínica?

Mínimo 5 años desde la última asistencia (Ley 41/2002). En la práctica, indefinidamente para historias relevantes; consultar política específica del centro.

¿Pueden publicar fotos de mi tratamiento en redes?

Solo con consentimiento explícito específico para esa finalidad. La autorización del consentimiento informado sanitario no cubre publicación promocional.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →