Principales reclamaciones en materia de salud

Reclamaciones sobre el ejercicio de derechos y, en particular, de acceso a la historia clínica

En relación con el ejercicio de derechos a las historias clínicas, conviene mencionar que en la Agencia Española de Protección de Datos se reciben múltiples solicitudes de tutela de derechos sobre el acceso a dichas historias.

Acceso a historias clínicas

Se han recibido muchas solicitudes relacionadas con solicitudes de acceso a datos de clínicas dentales que formaban parte de cadenas o franquicias, y que han cerrado de forma precipitada.

Los pacientes solicitan el acceso a sus historias clínicas para poder continuar el tratamiento en otras clínicas y se encuentran, en muchas ocasiones, que no les contestan ni se facilita la documentación solicitada.

Las historias clínicas son recogidas por los servicios de salud de las Comunidades Autónomas que va facilitando las historias clínicas a los solicitantes. En el último cierre de una cadena con numerosas clínicas dentales, se han producido distintas situaciones. Algunas de estas clínicas han sido adquiridas por entidades privadas que han continuado los tratamientos dentales y han facilitado las historias clínicas a los solicitantes. Las historias clínicas de las clínicas que no han sido adquiridas, las están conservando y facilitando el ejercicio de los derechos de acceso los administradores concursales.

Sobre el derecho de acceso, se puede citar como ejemplo, el expediente de tutela que se resume a continuación y cuya resolución completa se puede consultar en la web de la AEPD

• TD-00205-2021: Acceso a una clínica dental, que pertenece a una cadena de clínicas dentales que ha cerrado. No se contesta. A través del administrador concursal han empezado a atender el ejercicio de los derechos de acceso.

También se han recibido reclamaciones relacionadas con las medidas de seguridad de responsable de los tratamientos en esa cadena de clínicas dentales, en lo referido a la conservación de las mismas y a la capacidad de garantizar la disponibilidad de las mismas en un plazo determinado.

Acceso a la historia clínica de pacientes fallecidos

Se ha observado, asimismo, un aumento del número de reclamaciones de acceso a la historia clínica de pacientes fallecidos que vivían en residencias, por parte de sus familiares directos.

En estos casos, se aprecia un cierto desconocimiento por parte de estos establecimientos. En algún caso, contestaron a la hija de la fallecida que van a solicitar autorización a ver si se le pueden facilitar esa historia clínica; sin recibir contestación posterior.

En otro supuesto, se le denegaba el acceso a la historia clínica de su madre fallecida a una de sus hijas por no haber sido ella la que firmó el contrato al ingresar en la residencia.

Sobre el derecho de acceso a la historia clínica de fallecidos, se pueden citar como ejemplos, los expedientes de tutela que se resumen a continuación y cuya resolución completa se puede consultar en la web de la AEPD

• TD-00033-2021: La reclamante expone que solicitó el derecho de acceso a los datos personales de su difunta madre (historia clínica, historial sociosanitario, psicológico, contrato, documentación sobre el traslado...) ante la residencia en la que estuvo ingresada durante un tiempo. La reclamante recibe por respuesta que se va a solicitar autorización para ver si se le pude entregar la documentación.
  Se estimó la tutela ya que no acreditaron haber contestado a la reclamante ni contestaron nada a la AEPD.
• TD-00250-2020: La reclamante indica que, en reiteradas ocasiones, solicitó a la residencia en la que estuvo ingresada su difunta madre, el derecho de acceso a sus datos personales (historia clínica, de la trabajadora social, psicológica...). Se denegó el acceso por no ser la reclamante la firmante del contrato de ingreso de su madre.
  La respuesta de la directora de la residencia está en el mismo sentido, que no le dan la información que solicita porque su hermana, que fue quien ingresó a la madre, dice que no se le de nada. Dicen que incluso ahora tras informarle de esta reclamación de la agencia de protección de datos. No se atiende el derecho.
  Se estimó ya que tiene derecho de acuerdo con el artículo 18.4 de la LAP. Su madre no se opuso a que se obtuviese su historia clínica al fallecer.
  También se ha recibido alguna reclamación por tratar de cobrar la copia de alguna de las pruebas realizadas y que forman parte de la historia clínica, en concreto las radiografías; así como que se ha facilitado parte de la historia clínica pero no la totalidad de la misma.
  La Ley de autonomía del paciente determina toda la documentación que forma parte de la historia clínica, y al solicitarla ha de facilitarse en su totalidad, con la excepción de las anotaciones subjetivas y aquello que puede perjudicar a un tercero.

Accesos indebidos a historias clínicas

La AEPD ha recibido algunas reclamaciones por accesos a historias clínicas por parte de profesionales que no tenían legitimación para ello. No son muy numerosas, pero si se siguen produciendo.

En la mayoría de las reclamaciones recibidas los accesos son a historias clínicas de compañeros de trabajo o de familiares.

Las investigaciones que se realizan al recibir este tipo de reclamaciones van dirigidas a verificar tales accesos y su irregularidad, solicitando información al Servicio de Salud de la Comunidad Autónoma en el que se haya producido, en primer lugar.

Una vez se ha verificado que existen accesos realizados por profesionales sanitarios que carecen de justificación, se solicita información sobre las actuaciones realizadas por el responsable de los tratamientos.

Si el responsable del tratamiento ha rastreado todos los accesos a la historia clínica de la persona reclamante, han constatado los motivos de estos accesos, han verificado que hay algún acceso sin ningún motivo justificado (en los centros hay perfiles de accesos y motivos de los mismos: consulta médica, cambio de cita, estudio epidemiológico etc., y otros que permite el acceso indicando el motivo), se han dirigido al profesional para que aclare los motivos de los accesos y, en caso de que no se justifiquen, han iniciado actuaciones disciplinarias contra la persona que accedió ilegítimamente, el procedimiento iniciado se archiva puesto que el responsable tiene medidas de seguridad adecuadas para rastrear los accesos y verificar los motivos de los mismos, y ha tomado las medidas necesarias para sancionar esos accesos indebidos.

• A título ilustrativo, se puede citar que se sancionó a un servicio de salud porque una médica de asistencia primaria había accedido a la historia clínica de la persona que había contratado para cuidar a su madre anciana, aunque no era una paciente suya. Al comprobar que estaba a tratamiento médico por depresión la despidió inmediatamente. La cuidadora denunció los hechos en el centro de salud y al comprobar la veracidad de los hechos se sanciono al Servicio de salud correspondiente.
• PS-00250-2021. Otro procedimiento resuelto por esta Agencia, cuya resolución es de fecha 21 de junio de 2021, es consecuencia del acceso a la historia clínica del reclamante por parte de una enfermera que no tenía legitimación para ello; quedando acreditados estos accesos por un certificado emitido por el Servicio de salud correspondiente que se envió a un Juzgado de Instrucción en el que se tramitaba una querella por revelación de secretos. Se ha sancionado al Servicio de salud al entender que las medidas de seguridad no eran suficientes y se había producido por ello una vulneración de la confidencialidad de la historia clínica del reclamante.
• PS-00266-2015. La Agencia tramitó dos expedientes sancionadores consecuencia de la misma reclamación. Una señora denunciaba a su ex marido, que no era su médico, por numerosos accesos indebidos a su historia clínica durante un año. Se constató que en la historia clínica de la reclamante se habían accedido 609 veces en un año (tenía una grave enfermedad), de los cuales 496 veces los accesos los hizo su exmarido. Se sancionó al servicio de salud donde trabajaba el exmarido al determinar que no tenía medidas de seguridad adecuadas y no detectar un número de accesos tan desproporcionado a una misma historia clínica.
• AP-00029-2015. Por otro lado, se sancionó al médico que había accedido a la historia clínica de su exmujer entendiendo que no contaba con el consentimiento de la misma y era responsable de esos accesos al separarse de las instrucciones que le había dado el servicio de salud para el que trabajaba y decidir un uso y finalidad diferente. La Audiencia Nacional, a la que recurrió el médico sancionado, estimó el recurso planteado al entender que si tenía el consentimiento de la reclamante ya que había enviado una carta a la agencia indicando que quizás su marido pudo entender que si tenía consentimiento al interesarse, a través de sus hijos, por su salud. También se aportaron en juicio algunos WhatsApp intercambiados entre los excónyuges en los que se trataban los temas de salud de la reclamante.

Supresión de datos

La AEPD ha recibido también solicitudes de relacionadas con la supresión de datos en las historias clínicas. Las solicitudes van dirigidas a supresiones de datos referidos a salud mental, especialmente, o a determinadas enfermedades que generan reproche social.

En el caso de que las solicitudes hayan sido contestadas con indicación de los motivos por los que se deniega, se desestima la reclamación. Siempre es el profesional sanitario el que decide si el dato es relevante y ha de mantenerse, o si se puede suprimir sin que afecte a la esencia de la historia clínica.

Si la solicitud no se ha contestado, se estima la reclamación en el sentido de que se ordena al responsable a que conteste motivadamente al reclamante. El profesional sanitario es el que debe determinar si se puede suprimir el dato o datos requeridos o no, teniendo en consideración que la historia clínica debe contener toda la información necesaria para prestar asistencia sanitara al paciente; pero además la historia clínica tiene otros usos que deben tenerse en consideración antes de proceder a la supresión de algunos datos;  por ejemplo, se utiliza para fines epidemiológicos, judiciales, de docencia, investigación y salud pública (artículo 16 de la Ley de autonomía del paciente).

Sobre el derecho de supresión, se puede citar como ejemplo, el expediente de tutela que se resume a continuación y cuya resolución completa se puede consultar en la web de la AEPD:

• TD-00267-2020: la hija de un paciente fallecido en una Residencia solicita la supresión de un informe que consta en la historia clínica de su padre y le contestan que no pueden proceder a dicha supresión al no haber transcurrido 5 años desde que se elaboró, que es el plazo mínimo de conservación que exige la Ley de Autonomía del paciente.

Reclamaciones que sientan criterios sobre la responsabilidad respecto del tratamiento de datos de pacientes

Respecto a las reclamaciones en las que se debe dilucidar la condición de responsable del tratamiento de datos de pacientes, en los casos en los que el profesional sanitario es el que toma todas las decisiones sobre la atención a los mismos y al tratamiento de sus datos, aunque preste la asistencia sanitaria en un hospital, nos encontramos con tres supuestos:

El primer supuesto se refiere a un profesional sanitario que toma todas las decisiones sobre la atención sanitaria de sus pacientes, incluyendo el tratamiento de sus datos personales, pero presta sus servicios en un hospital o en una clínica, mediante el correspondiente arrendamiento de una consulta.

En este caso, donde la relación con el hospital o la clínica se limita al arrendamiento de un local, de un lugar, donde se presta la asistencia sanitaria: el profesional sanitario es el responsable del tratamiento de los datos personales de sus pacientes. El profesional sanitario es quien decide sobre los fines y medios del tratamiento. Esto es, y en relación sobre la historia clínica de la que tienen la guarda y conservación de la misma, decide cómo suministra la información relativa a la protección de datos a sus pacientes, correspondiéndole la elaboración del RAT, la realización de la correspondiente EIPD y la implantación de las medidas de seguridad adecuadas, etc. O sea, se le atribuyen como responsable del tratamiento todas las obligaciones derivadas del RGPD en relación con el tratamiento efectuado.

Existe un segundo supuesto donde un profesional sanitario, si bien toma todas las decisiones sobre la atención sanitaria de los pacientes, se encuentra contratado para ello por el hospital o la clínica.

En este caso, donde los pacientes son del centro sanitario, el profesional sanitario es un empleado de la clínica u hospital; este último es, como responsable del tratamiento, quien tiene encomendadas todas las obligaciones en materia de protección de datos. Por ello, será el encargado de suministrar instrucciones a su empleado sobre cómo debe actuar en relación con la historia clínica, la cumplimentación de la misma, la determinación de las medidas de seguridad a seguir o qué hacer si solicitan los pacientes el ejercicio de uno de los derechos previstos en los artículos 15 a 22 del RGPD, entre otras cuestiones.

Un ejemplo de ello lo encontramos en el PS-00391-2020 dirigido contra IDCQ HOSPITALES Y SANIDAD, S.L.U. y que finalmente se archivó.

Se reclamó por el profesional sanitario contra el centro de salud donde había prestado servicios, reclamándoles copia de la historia clínica de los pacientes que había atendido durante la vigencia de su contrato. Dado que el contrato no era laboral, sino mercantil, consideraba que “la titularidad de los datos personales de las historias clínicas de los pacientes que he atendido en dicho centro hospitalario que incluye historias clínicas, no pueden mantenerse en el sistema informático del reclamado y deben ser custodiados y almacenados por el dado que el reclamado me considera empresario autónomo”.

Sin embargo, tras una práctica de prueba muy minuciosa durante la instrucción del procedimiento, se constató que el reclamante no cumplía requisito alguno para poder ser considerado responsable del tratamiento, al no decidir ni sobre los fines ni sobre los medios del tratamiento.

En relación con el ejercicio de derechos, estos deben ser atendidos por el responsable del tratamiento: en el primero de los supuestos referenciados deberá atenderlos el profesional sanitario, mientras que en el segundo le corresponderá al centro sanitario.

Por último, en raras ocasiones nos solemos encontrar con un tercer supuesto donde la relación jurídica entre el profesional sanitario y la clínica u hospital se desdibuja. En tales ocasiones acontece que el profesional sanitario atiende a sus propios pacientes en una consulta de la clínica u hospital, que compagina con la atención a los pacientes pertenecientes al centro sanitario; habrá que determinar en tales supuestos respecto de qué pacientes el personal sanitario o el centro de salud respectivamente son responsables del tratamiento o si comparten la determinación de los fines /o los medios del tratamiento, en cuyo caso nos encontraremos ante un supuesto de corresponsabilidad.

Para dilucidar en todos estos supuestos quién es el responsable en cuanto al tratamiento de los datos personales, se ha de atender al caso concreto y  al concepto funcional de responsable del tratamiento, tal y como deviene del Informe 2020-0064 del Gabinete Jurídico de la AEPD que  ha expresado con rotundidad que 

“…los criterios sobre cómo atribuir los diferentes roles siguen siendo los mismos (apartado 11), reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos deba atenderse a las circunstancias del caso concreto (caso por caso) atendiendo a sus actividades reales en lugar de la designación formal de un actor como "responsable" o "encargado" (por ejemplo, en un contrato), así como de conceptos autónomos, cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado 24) que la necesidad de una evaluación fáctica también significa que el papel de un responsable del tratamiento no se deriva de la naturaleza de una entidad que está procesando datos sino de sus actividades concretas en un contexto específico…”.

En este mismo sentido se manifiestan las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD.

Debemos matizar que en el ámbito público el responsable del tratamiento será siempre la autoridad sanitaria, pues es quien tiene encomendadas por mor de la normativa las competencias sanitarias, lo que le permite determinar los fines y medios del tratamiento.  

Y todo ello sin perjuicio de las obligaciones de secreto profesional que en todo cabo tienen que mantener los profesionales sanitarios respecto de los datos de salud que conozcan en el ejercicio de su profesión.