En un reciente caso, la Agencia Española de Protección de Datos ha impuesto una multa de 10.000 euros a un propietario de una clínica estética por la publicación no autorizada de imágenes de una paciente en redes sociales. Las fotografías correspondían a una intervención estética realizada en 2017 y se publicaron en Facebook e Instagram sin que la paciente diera su consentimiento explícito para tal uso.
El conflicto comenzó cuando, en 2022, una paciente descubrió que imágenes de su intervención quirúrgica habían sido publicadas en las redes sociales de la clínica. Estas imágenes mostraban el resultado de una operación en las manos que la paciente se había realizado cinco años antes. La paciente no había autorizado el uso de sus imágenes con fines publicitarios ni había dado su consentimiento para que se difundieran en medios digitales.
Ante esta situación, la paciente presentó una reclamación ante la AEPD, denunciando la violación de sus derechos de protección de datos. La agencia, tras investigar los hechos, determinó que la clínica había incumplido varias disposiciones del RGPD, lo que llevó a la imposición de la multa.
La AEPD consideró que el propietario de la clínica había vulnerado dos artículos clave del RGPD, lo que derivó en la sanción total de 10.000 euros:
Incumplimiento del artículo 6.1 del RGPD: Este artículo establece que el tratamiento de datos personales solo puede realizarse con el consentimiento explícito del interesado. En este caso, no se había obtenido el permiso de la paciente para publicar sus imágenes, lo que constituye una infracción. La AEPD impuso una multa de 5.000 euros por esta falta de consentimiento.
Violación del artículo 9 del RGPD: El artículo 9 regula el tratamiento de datos sensibles, como los datos relacionados con la salud. Las imágenes publicadas revelaban detalles sobre el estado de salud de la paciente y el procedimiento médico al que se sometió, lo que requería un consentimiento específico y explícito. Al no contar con este permiso, se impuso una segunda multa de 5.000 euros, sumando un total de 10.000 euros.
El propietario de la clínica argumentó en su defensa que el consentimiento que la paciente había dado a la cirujana que realizó la intervención debería ser suficiente para autorizar la publicación de las imágenes. Sin embargo, la AEPD rechazó esta defensa. Según la agencia, cada entidad o persona responsable del tratamiento de datos debe asegurarse de obtener el consentimiento explícito del paciente para el uso de su información, especialmente cuando se trata de datos sensibles, como imágenes médicas.
Además, la AEPD señaló que el acuerdo de arrendamiento entre la cirujana y el propietario de la clínica, firmado en 2020, no tenía relevancia sobre una intervención que se realizó en 2017. Este contrato no liberaba al propietario de su responsabilidad en la gestión de los datos personales de la paciente. La publicación de imágenes en redes sociales requería un consentimiento específico que nunca se obtuvo.
Finalmente, la AEPD impuso una sanción de 10.000 euros.
IURISPREVEN Central