Quién accede a las Historias Clínicas

Una vez más, hay volver sobre el asunto de la información contenida en las Historias Clínicas, sobre quién accede a ella, sus motivos y la información a la que puede acceder el paciente interesado.

Quién se ocupa del asunto: Tribunales y AEPD

Los profesionales de la privacidad creemos tener este asunto relativamente claro, pero nunca está de más que llegue una sentencia y que nos aclare definitivamente las cosas. Si, además, hay un Informe 2021-0003 de la misma Agencia Española de Protección de Datos (AEPD), pues, todavía mejor.

La sentencia en cuestión es la STS del 25/09/2020, 476/2020 que resuelve un asunto peculiar.

Qué pasó

En primer lugar, contemos los hechos. Dos enfermeros acceden a la Historia Clínica de un tercero, compañero de profesión, mientras éste está de baja. El acceso no estaba motivado ni por el consentimiento del interesado, ni por motivo asistencial alguno. Hasta donde yo sé, la sentencia no se mete en averiguar los motivos de este fisgoneo (ni falta que hace). Yo tampoco tengo especial interés, la verdad.

Acto seguido, el interesado (el enfermero de baja) tiene conocimiento del acceso a su propia historia clínica por parte de los compañeros de profesión y denuncia los hechos como un posible delito, incluido en el Título X, Capítulo I, del Código Penal («Del descubrimiento y revelación de secreto«).

Cómo termina

En segundo lugar, el desenlace: la cosa termina mal, la cosa termina mal para los dos enfermeros curiosos. Queda probada la comisión del delito prevista en el art. 197.2 del Código Penal.

Una de las conclusiones posibles de este hecho puede ser el siguiente:

Finalmente, nos podremos preguntar: «Entonces, como pacientes, ¿tenemos derecho a saber quién ha accedido a nuestras historias clínicas?«

 

No tan rápido, vaquero…

Personal Data

El registro de accesos a las Historias Clínicas

La AEPD, a través el mencionado informe, aclara las cosas, haciendo una clara distinción entre la acción penal y la aplicación de las dos legislación concurrentes en este caso, a saber:

Por un lado:

  • La legislación en materia de privacidad y protección de datos personales:
    • Reglamento Europeo de Protección de Datos, 2016/679 (que aquí siempre llamaremos GDPR);
    • Ley Orgánica 3/2018, de protección de datos (y derechos digitales, de los que, algún día, habrá que hablar; de momento, llamémosla LOPD, más que nada, para mantener viva la tradición);

Por otro:

  • La legislación en materia de Autonomía del Paciente:
    • Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica;
    • Todo el resto del corpus jurídico autonómico, de desarrollo de la mencionada ley.

«Entonces, ¿sí o no?»

Pues, no. La legislación en materia de protección de datos, donde se regula, entre otras cosas, el Derecho de Acceso, no faculta al interesado (en este caso, al paciente) a obtener de la unidad asistencial (el hospital, Responsable del Tratamiento) el listado de quién accedió a su historia clínica.

El paciente sí tiene derecho a acceder (y hasta solicitar una copia) de la información médica contenida en ese documento tan importante para nuestra salud.

Por contra, si el paciente tuviera sospechas sobre un uso indebido de esa información, o sobre un acceso no justificado por motivos asistenciales, entonces, debería presentar la correspondiente denuncia penal.

«Y el hospital ¿qué?»

Aquí abrimos otro melón… Esta frase muy poco técnica es para subrayar la obligación imputable al hospital o, mejor dicho, a la unidad asistencial, pública o privada, que trate datos personales de adoptar las medidas de seguridad que aseguren:

  • Confidencialidad: la información sólo puede ser tratada por usuarios autorizados, cuya actividad debe ser monitoreada (medida preventiva) y registrada (medida reactiva);
  • Integridad: la información sólo puede ser modificada por usarios autorizados y los cambios deben quedar registrados;
  • Disponibilidad: la información debe estar disponible para los usuarios de manera que éstos puedan realizar prontamente su trabajo.

Resumen

  1. Los usuarios sólo pueden acceder a la información necesaria para el desarrollo de su trabajo;
  2. Contravenir esta norma puede tener hasta repercusiones penales;
  3. El interesado (paciente) no puede obtener información sobre quién accedió a su historia clínica, si funda su solicitud en la legislación en materia de protección de datos;
  4. En el caso de sospechas fundadas, el interesado puede denunciar sus sospechas a la Fiscalia. Ésta sí puede tener acceso a los registros completos de accesos.

 

Es una pena que la Sentencia no se haya pronunciado sobre la responsabilidad del hospital, por no haber prevenido los accesos indebidos a las historias clínicas.