Muchas brechas de seguridad y sanciones por protección de datos no se producen por grandes ciberataques, sino por errores cotidianos y mala gestión interna. Dos ejemplos claros lo ilustran.
Por un lado, la incorrecta eliminación de soportes físicos (discos duros, ordenadores, dispositivos). Formatear o almacenar equipos antiguos no es suficiente: los datos personales siguen existiendo y siguen siendo responsabilidad de la empresa. Si esos datos pueden recuperarse por terceros, hay una violación de seguridad, aunque no haya intención maliciosa. El RGPD exige una eliminación segura y acreditable, siendo la destrucción física certificada la única garantía real.
Por otro lado, se detecta un aumento de sanciones por incumplimientos en páginas web, muchas iniciadas de oficio por la AEPD. Los fallos suelen ser básicos: banners de cookies incorrectos, consentimientos inválidos, políticas de privacidad desactualizadas, formularios sin información adecuada o ausencia de medidas mínimas de seguridad. Una web es un punto de tratamiento de datos y debe cumplir la normativa; una simple revisión puede bastar para sancionar.
La idea central es que los problemas de protección de datos no suelen venir de situaciones extraordinarias, sino de la dejación, falta de revisión y ausencia de cultura de cumplimiento. El RGPD no exige perfección, pero sí diligencia y medidas preventivas. Cumplir no es tener papeles archivados, sino gestionar correctamente todo el ciclo de vida del dato, incluida su eliminación segura. La prevención es siempre más barata que una sanción o una brecha.
La AEPD sancionó a una clínica dental con 1.200 € por instalar cámaras con grabación de imagen y sonido dentro del gabinete médico, vulnerando la normativa de protección de datos. La grabación de audio se realizó sin informar adecuadamente ni contar con base legal, afectando tanto a pacientes como a empleados.
Multan a una clínica dental con 1.200 euros por grabar a pacientes y empleados con cámaras y sonido dentro del gabinete médico
La Agencia considera especialmente grave la captación de sonido en entornos sanitarios, ya que allí se tratan datos de categoría especial (salud, diagnósticos, tratamientos). Grabar conversaciones sin consentimiento explícito supone una intromisión desproporcionada en la intimidad, aunque las grabaciones no se usen o se conserven poco tiempo.
La AEPD deja claro que las cámaras con audio en clínicas no son legales salvo casos excepcionales y muy justificados, lo que no ocurría aquí. Además, la clínica no realizó una evaluación de impacto ni informó correctamente a las personas afectadas.
El caso sirve como advertencia: la videovigilancia en centros médicos exige máxima cautela, evaluación previa, información clara y, en la práctica, excluye la grabación de sonido. Más allá de la multa, el impacto reputacional refuerza que el cumplimiento del RGPD no es opcional y que la privacidad en el ámbito sanitario es un límite infranqueable.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.