Pasar al contenido principal
Ir a inicio de Agencia Española de Protección de Datos
  • Sede electrónica
  • Preguntas frecuentes
  • Inicio
  • La Agencia
    • Bienvenida
    • En qué podemos ayudarte
    • Datos Abiertos
    • Transparencia
    • Plan Estratégico 2025-2030
    • Responsabilidad social corporativa
    • Participación
    • Pacto digital
    • Premios recibidos
    • Empleo público
    • Contacto
  • Derechos y deberes
    • Conoce tus derechos
    • Cumple tus deberes
    • Modelos y formularios
  • Áreas de actuación
    • Canal prioritario
    • Internet y redes sociales
    • Reclamaciones de telecomunicaciones
    • Publicidad no deseada
    • Educación y menores (Canal joven)
    • Videovigilancia
    • Innovación y tecnología
    • Violencia de género
    • Salud
    • Administraciones públicas
  • Publicaciones y resoluciones
  • Internacional
    • Comité europeo
    • Proyectos europeos
    • Red Iberoamericana
    • Supervisión de grandes sistemas
  • Prensa y actualidad
    • Agenda
    • Boletín informativo
    • Blog
    • Notas de prensa
    • Redes sociales
  1. Home
  2. Publicaciones y resoluciones
  3. Criterios jurídicos
  4. Acceso a la información de trazabilidad en datos de salud con relación al Reglamento del Espacio Europeo de Datos de Salud

Acceso a la información de trazabilidad en datos de salud con relación al Reglamento del Espacio Europeo de Datos de Salud

7 de Julio de 2026

Los resúmenes que se recogen a continuación no pueden ser considerados como la publicación oficial de un documento público.

El contenido oficial, completo y vinculante se publica en la sección Resoluciones

La resolución íntegra a las que hace referencia este texto puede consultarse en este enlace:

PD-00068-2026

  • La interpretación tradicional de la AEPD del derecho de acceso no incluía, con carácter general, la identificación de las personas que acceden a los datos, algo que confirma la sentencia más reciente del Tribunal Supremo.
  • El Reglamento (UE) 2025/327 introduce un derecho específico a conocer los accesos a datos de salud electrónicos, aplicable a partir de marzo de 2027.
  • La AEPD adopta un criterio interpretativo evolutivo que anticipa este estándar en línea con la evolución del Derecho de la Unión.

Primero. El derecho de acceso reconocido en el artículo 15 del RGPD ha sido tradicionalmente interpretado, tanto por la Agencia Española de Protección de Datos (AEPD) como por la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), como un derecho dirigido a permitir a la persona interesada conocer si sus datos son objeto de tratamiento y verificar su licitud, sin que ello implicara, con carácter general, la comunicación de la identidad concreta de las personas físicas que hubieran accedido a dichos datos. En este sentido, de acuerdo con la jurisprudencia del TJUE, recogida en la STJUE de 22 de junio de 2023 (C-579/21), y asumida por esta Agencia, se ha venido afirmando que dicho derecho “no es un derecho absoluto y que, con carácter general, no implica necesariamente la comunicación de la identidad de las personas físicas concretas (…) pudiendo satisfacerse mediante la indicación de categorías de destinatarios”.

Este enfoque ha constituido la posición tradicional sostenida por la AEPD, en equilibrio con los derechos de terceros y las exigencias organizativas del tratamiento, particularmente en el ámbito sanitario. En este contexto, la reciente sentencia del Tribunal Supremo de 24 de junio de 2026 (núm. 789/2026, Sala de lo Contencioso-Administrativo) se pronuncia en este mismo sentido, confirmando que la identificación individual de quienes acceden a los datos no constituye una exigencia general del artículo 15, sino que debe valorarse en función de su necesidad y de la ponderación con otros derechos. 

Más específicamente, y ante la posibilidad de que una persona que, aun siendo empleado del responsable, haya accedido a dichos datos sin actuar efectivamente bajo la autoridad y de conformidad con las instrucciones del responsable del tratamiento, el TJUE, en su sentencia citada C-579/21, deja abierta la posibilidad para el interesado de acceder a dicha información, pues esta sería entonces “indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere” el RGPD (apartado 83), lo que es a su vez acogido por el Tribunal Supremo (fundamento jurídico Segundo) al señalar, sensu contrario, que ese derecho a conocer a los empleados que accedieron a los datos clínicos no se da “si en los protocolos internos del responsable del tratamiento constan las personas que llevaron a cabo las consultas y se constata que lo hicieron conforme a las instrucciones del responsable”. Luego, a contrario, si dichas circunstancias no concurren, sí existiría dicho derecho de acceso.

No cabe olvidar, por último, que existen abundantes ejemplos jurisprudenciales en que el acceso a los datos personales de un paciente se produce por un empleado del responsable sin atenerse a sus instrucciones, en cuyo caso se ha condenado a personas por revelación de secretos. Así, Sentencia del Tribunal Supremo nº 317/2024 (16 de abril de 2024; Rec. 1252/2022), que confirma la condena de una trabajadora sanitaria que accedió a la historia clínica de la nueva pareja de su exmarido. Sentencia del Tribunal Supremo nº 532/2015 (Sala Segunda, 23 de septiembre de 2015; Rec. 648/2015), que condena a un médico que accedió reiteradamente, sin autorización y sin relación asistencial, a las historias clínicas de compañeros. O la Sentencia del Tribunal Supremo nº 476/2020, de 25 de septiembre (Rec. 366/2019).

Segundo. Debe subrayarse que la sentencia de 24 de junio de 2026 (núm. 789/2026, Sala de lo Contencioso-Administrativo) comentada se dicta en el marco normativo previo a la plena aplicabilidad del Reglamento del Espacio Europeo de Datos de Salud.

En efecto, el Derecho de la Unión ha evolucionado con la aprobación del Reglamento (UE) 2025/327, relativo al Espacio Europeo de Datos de Salud (EHDS). Cabe recordar que su artículo 9 reconoce expresamente un derecho específico de acceso a la información sobre los accesos a los datos de salud electrónicos en los siguientes términos:

Artículo 9. Derecho a obtener información sobre el acceso a los datos. .1. Las personas físicas tendrán derecho a obtener información, también a través de notificaciones automáticas, sobre cualquier acceso a sus datos de salud electrónicos personales a través del servicio de acceso de los profesionales sanitarios obtenido en el contexto de la asistencia sanitaria, incluido el acceso proporcionado de conformidad con el artículo 11, apartado 5.

2. La información a que se refiere el apartado 1 se proporcionará, de forma gratuita y sin demora, a través de los servicios de acceso a datos de salud electrónicos y estará disponible durante al menos tres años a partir de la fecha de acceso a los datos. Esa información incluirá, al menos, lo siguiente:

a) información acerca del prestador de asistencia sanitaria o cualquier otra persona que haya accedido a los datos de salud electrónicos personales;

b) la fecha y hora de acceso;

c) los datos de salud electrónicos personales a los que se ha accedido.

3. Los Estados miembros podrán prever limitaciones al derecho a que se refiere el apartado 1 en circunstancias excepcionales, cuando existan indicios concretos de que la divulgación pondría en peligro los derechos o intereses vitales del profesional sanitario o la asistencia prestada a la persona física.”

Este precepto configura un auténtico derecho autónomo a la trazabilidad de los accesos, basado en un modelo de transparencia reforzada y control efectivo por parte del paciente. El Reglamento entró en vigor en 2025, si bien su aplicación general —y, por tanto, la exigibilidad plena de este derecho— se establece a partir del próximo 26 de marzo de 2027.

Tercero. En este contexto normativo, la AEPD ha adoptado un criterio interpretativo en su resolución de 2026 (PD-00068-2026) en la que, partiendo de la doctrina del TJUE, introduce expresamente la relevancia del EHDS. Así, señala que este Reglamento “introduce un estándar reforzado de transparencia respecto de los accesos a los datos de salud electrónicos que marca una nueva senda que ha de tenerse presente en esa interpretación” y que, aun cuando “estas obligaciones no son exigibles a día de hoy (…) el Reglamento (…) ha entrado en vigor”.

Sobre esta base, la AEPD formula un criterio claro y explícito, afirmando que “la interpretación más conforme con el Derecho de la Unión exige entender que, como regla general, el derecho de acceso (…) incluye la identificación de las personas que han accedido a dichos datos”. En coherencia con ello, precisa que “no resulta conforme (…) una interpretación que excluya de forma general y automática la comunicación de la identidad”, de modo que cualquier limitación deberá ser excepcional y debidamente justificada, correspondiendo al responsable acreditar que “la limitación del acceso se encuentra debidamente fundada”.

Este planteamiento supone una evolución significativa del criterio tradicional, en línea con el modelo previsto en el EHDS, apostando por un sistema en el que la transparencia sobre los accesos constituye la regla general en el ámbito sanitario, reforzando el derecho del interesado a controlar el uso efectivo de sus datos, especialmente tratándose de categorías especiales de datos.

Así, de un lado, la sentencia del Tribunal Supremo de 24 de junio de 2026 aplica el marco vigente del RGPD y confirma la interpretación tradicional y la posición histórica de la AEPD. De otro lado, la Agencia, en su resolución de 2026, asume ese punto de partida y lo proyecta hacia el nuevo contexto europeo, utilizando el Reglamento del Espacio Europeo de Datos de Salud como criterio interpretativo relevante. En este sentido, la AEPD anticipa de forma fundada el estándar que será plenamente exigible a partir de marzo de 2027. De este modo, ambas posiciones conviven de manera natural y coherente, reflejando la transición hacia un modelo reforzado de transparencia y control en el acceso a la información de trazabilidad en el ámbito de los datos de salud.

Resoluciones

PD-00068-2026 (98.13 KB)
Portal de la Agencia Española de Protección de Datos

Contacto →

  • Twitter
  • YouTube
  • LinkedIn
  • Instagram
  • Enlaces de interés
  • Preguntas frecuentes
  • Mapa Web
ILUNION Accesibilidad, Certificación WCAG-WAI AA (abre en nueva ventana)
Unión Europea, Fondo Europeo de Desarrollo Regional. Una manera de hacer Europa
  • Accesibilidad
  • Política de cookies
  • Gestión de cookies
  • Política de privacidad y aviso legal
  • Aviso de seguridad
  • Requisitos técnicos
  • Traductor automático