fbpx

En este breve artículo se analizan a raíz de una reciente STS y el posterior informe de la Agencia Española de Protección de Datos, las implicaciones del acceso indebido a la historia clínica tanto desde la perspectiva penal, como desde la perspectiva de la legislación de protección de datos personales

El Tribunal Supremo y la Agencia Española de Protección de Datos: Criterio sobre accesos ilegítimos a la historia clínica y el derecho a conocer la identidad del infractor

Tribuna
Historial clinico_imagen

Sumario: I. Introducción. II Tribunal Supremo: accesos indebidos de profesionales sanitarios a la historia clínica de otro compañero sanitario. 1. Los hechos. 2. Argumentos de los enfermeros condenados. 2.1. Nulidad de pruebas por haber sido obtenidas de forma ilícita. 2.2 El simple acceso indebido a la historia clínica no es delito. 3. Respuesta del Tribunal Supremo. 3.1 El derecho a ser informado de la existencia de accesos indebidos a su historia clínica. 3.2. Sobre la legalidad de las pruebas obtenidas. 3.3. Sobre si el simple acceso indebido a la historia clínica es delito. III. AEPD: Derecho a conocer la identidad de la persona/s que ha accedido indebidamente a su historia clínica. 1. Normativa aplicable. 2. La legislación básica estatal no prevé el derecho a conocer quién ha accedido a la historia clínica. 3. El criterio de la AEPD.

 

I. Introducción.

Recientemente el Tribunal Supremo -STS de 25-09-2020, nº 476/2020, rec 366/2019-, y la Agencia Española de Protección de Datos después – Informe del Gabinete Jurídico de la AEPD nº de ref 0003/2021- han analizado desde perspectivas distintas cuestiones conexas relacionadas con el derecho a la protección de datos personales en el ámbito sanitario y, en particular, sobre los accesos indebidos de profesionales sanitarios a la historia clínica de otro compañero igualmente sanitario. (STS)

II. Tribunal Supremo: accesos indebidos de profesionales sanitarios a la historia clínica de otro compañero sanitario.

1. Los hechos.

Entre los meses de mayo a julio de 2013, dos enfermeros, Ruperto y Emma, ésta última enfermera interina en sustitución del afectado, también enfermero, Teodulfo, accedieron durante el período en el que éste se encontraba en situación de baja laboral a su historia clínica.

Para ello, y siendo conscientes del compromiso de confidencialidad contraído, accedieron con sus claves informáticas personales sin el consentimiento ni conocimiento de Teodulfo, y sin que mediara entre éste y los infractores relación asistencial que pudiera justificar el acceso.

Por tales hechos ambos enfermeros fueron condenados por la comisión de un delito de descubrimiento y revelación de secretos. La sentencia de instancia fue recurrida por considerar que la forma de proceder de Teodulfo para averiguar si se accedió indebidamente a su historia clínica no se habría ajustado al protocolo establecido para este tipo de casos.

2. Argumentos de los enfermeros condenados:

2.1. Nulidad de pruebas por haber sido obtenidas de forma ilícita.

Los dos condenados entienden que el acceso de Teodulfo a la base de datos del centro sanitario se hizo contraviniendo los protocolos de obligado cumplimiento, cuando lo correcto hubiera sido ponerlo en conocimiento de la Gerencia de Atención Primera y de la Agencia de Protección de Datos, y sólo después de estos trámites presentar la denuncia.

Según la declaración de hechos probados que recoge la sentencia, la víctima tuvo conocimiento de los hechos pero no como resultado de una petición dirigida a la Gerencia (responsable del tratamiento), sino mediante la consulta directa realizada por el mismo.

En definitiva, lo que se censura no es tanto que el denunciante accediera a su historia clínica (aspecto que la sentencia de instancia considera irrelevante), sino que accediera al historial de las personas que habían consultado o visualizado su historia clínica, sin que exista derecho alguno al conocimiento de esos datos, y sin observar los requisitos procedimentales.

Por tal motivo lo que se pretende es que la obtención de esta prueba incriminatoria se declare nula, y por ende, se extienda dicho efecto a las restantes pruebas que son consecuencia de la inicial obtención de los datos sobre accesos no autorizados a la historia clínica.

2.2 El simple acceso indebido a la historia clínica no es delito.

Se alega asimismo, con cita de la STS nº 532/2015, de 23 de septiembre, que los hechos enjuiciados no son punibles porque el simple acceso a la historia clínica de una persona no integra el tipo previsto en el artículo 197.2 del Código Penal, ya que se debería probar la comisión de algún perjuicio para el afectado como consecuencia de dicha intromisión.

3. Respuesta del Tribunal Supremo:

3.1 El derecho a ser informado de la existencia de accesos indebidos a su historia clínica.

La STS se pronuncia sobre el derecho del afectado a ser informado de los accesos indebidos que se hubieran producido, y lo hace en los siguientes términos:

“En el artículo 15.1.c) y f) del Reglamento UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, al que se remite la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (EDL 2018/128249) y garantía de los derechos digitales, el interesado tiene derecho a conocer los destinatarios a los que se hayan comunicado los datos personales y tiene derecho a formular una denuncia por falta de seguridad del sistema ( artículos 64 y 73 de la Ley Orgánica 3/2018, de 5 de diciembre y artículo 32 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (EDL 2016/48900)), por lo que parece lógico que si se han producido accesos no autorizados se informe de ello al interesado, si éste lo solicita, para que pueda formular la pertinente denuncia”.

Es decir, si la Gerencia tiene constancia de que se han producido este tipo de accesos indebidos, lo que debería hacer es informar a la persona afectada para que sea ésta la que presente la denuncia; todo ello habrá que entenderlo sin perjuicio de que, a su vez, la Administración (sanidad pública) en el marco de la instrucción del correspondiente procedimiento disciplinario, ponga los hechos en conocimiento de la fiscalía conforme a lo dispuesto en el art. 71.4 del Estatuto Marco.

Dos son las cuestiones que cabría plantearse:

a) Si dicha información debería incluir la identidad de la persona/s que habrían accedido a la historia clínica, o bien dicha comunicación debería limitarse a informar de la existencia de un acceso indebido. Al respecto se ha pronunciado el Gabinete Jurídico de la AEPD a través de un informe que se analizará en el siguiente apartado.

 

b) Si se hubiese procedido a la apertura de expediente disciplinario con la posterior comunicación de los hechos presuntamente constitutivos de delito de descubrimiento y revelación de secreto (expedientes disciplinarios a personal estatutario por accesos indebidos a historias clínicas), si resultaría o no imprescindible para su tramitación por Fiscalía que previamente se hubiese presentado en el juzgado la denuncia del propio agraviado conforme a lo previsto en el art. 201 del CP.

Dicho precepto legal establece:

Para proceder por los delitos previstos en este Capítulo será necesaria denuncia de la persona agraviada o de su representante legal. Cuando aquélla sea menor de edad, persona con discapacidad necesitada de especial protección o una persona desvalida, también podrá denunciar el Ministerio Fiscal. o una persona desvalida, también podrá denunciar el Ministerio Fiscal”.

Ahora bien, el apartado segundo de este mismo artículo establece:

“No será precisa la denuncia exigida en el apartado anterior para proceder por los hechos descritos en el art. 198 de este Código, ni cuando la comisión del delito afecte a los intereses generales o a una pluralidad de personas”.

Cabría plantearse que la comisión de estos delitos de descubrimiento y revelación de secreto afectarían a los intereses generales, y en este sentido resulta muy clarificadora la STS  27-09-2017, nº 638/2017, rec. 878/2017, que a este respecto señala lo siguiente:

En los casos del artículo 198 o de afectación de intereses generales, puede entenderse que, al lado de la intimidad o de la autodeterminación informativa, como manifestación de aquella, se sitúan otros bienes jurídicos, que no son disponibles por el sujeto pasivo concretamente afectado en tanto que afectan a intereses generales. Esta Sala ya señaló en la STS nº 534/2015, de 23 de setiembre, que "se ha excluido la posibilidad del perdón cuando el hecho afecte a intereses generales, casos en los que es preciso incluir aquellos previstos en el artículo 198, en los que el delito es cometido por una autoridad o funcionario público prevaliéndose de su cargo, pues es claro que tal clase de conductas afectan a intereses generales concretados en la necesidad de un comportamiento correcto y respetuoso con las leyes por parte de los servidores públicos. Estas consideraciones explican también que cuando así ocurre no sea precisa la denuncia del agraviado o de su representante legal, según el artículo 201.2 del Código Penal. La cuestión fue examinada por esta Sala en un caso similar en la STS nº 725/2004, de 11 de junio en la que se afirmó que "es claro que el perdón del ofendido no opera respecto de los casos que se subsumen bajo el art. 198 CP. Tal como lo hemos expuesto con anterioridad, estos supuestos comprenden una doble infracción de deberes: la del deber de respetar la intimidad y la implícita en el abuso del cargo público. Esta última no es disponible para el sujeto pasivo y por la misma razón que el art. 201.2 CP no exige la denuncia del perjudicado en estos casos, tampoco es posible extender a ellos el perdón del ofendido, dado que es de la esencia del perdón que sólo puede recaer sobre actos que hayan lesionado derechos o bienes propios"."

3.2. Sobre la legalidad de las pruebas obtenidas:

El TS admite las pruebas así obtenidas en atención a las siguientes razones:

a) El hecho de conocer o identificar a las personas que han consultado una historia clínica no supone lesión alguna del derecho a la protección de datos.

En este sentido el acceso del profesional sanitario a sus propios datos no sería equiparable al acceso a datos sanitarios de terceros, pues:

“La irregularidad de su conducta se limitó a no haber utilizado el cauce reglamentariamente previsto. En cambio, los condenados accedieron al sistema no sólo al margen de los cauces previstos legamente, sino para conocer una información ajena, que no les era permitido conocer, cometiendo un delito. Las conductas descritas no son equiparables y en el caso de los recurrentes no hubo lesión alguna de su derecho a la protección de datos”.

b) La actuación del denunciante fue previa al inicio de las investigaciones policiales, y absolutamente desconectada de éstas ya que estaba orientada simplemente a obtener información.

c) A lo anterior añádase, según recoge la Sentencia, que “tampoco apreciamos la existencia de un riesgo cierto de propiciar, con la admisión de la prueba controvertida, prácticas que comprometan pro futuro la efectividad del derecho fundamental en juego en el ordenamiento jurídico español”.

3.3. Sobre si el simple acceso indebido a la historia clínica es delito.

Los hechos declarados probados, en tanto que describen accesos no consentidos a la historia clínica de un tercero, son legalmente constitutivos del delito previsto en el artículo 197.2 del Código Penal.

Cuestión distinta es si cabe o no aplicar conjuntamente los tipos previstos en el artículo 197.2 y 197.6 (actualmente 5) del Código Penal, lo que solo sería posible si se acreditase que al margen de la lesión del derecho a la intimidad derivada del acceso a datos especialmente sensibles (salud) se haya actuado en perjuicio o causando perjuicios diferenciados. Si no se da esa circunstancia se produciría una doble incriminación por el mismo hecho.

“En este caso no se han producido esos perjuicios. En el relato fáctico de la sentencia no se refiere ningún perjuicio adicional a la propia injerencia y en el fundamento jurídico sexto, en el que se fija la indemnización por daños morales, se indica expresamente que al margen de la lesión del derecho a la intimidad, derivada del acceso no permitido a datos sensibles, "no se ha acreditado que como consecuencia directa del delito se hayan causado otro tipo de perjuicios al denunciante".

Se añade que "no se ha objetivado que por el acceso indebido a sus datos se haya producido un agravamiento de su estado de salud - no existen informes médicos en tal sentido- ni que los cambios en su puesto de trabajo deriven de dicho acceso- consta que los problemas laborales eran previos al acceso y que ya se había iniciado alguna actuación disciplinaria en su contra-".

III. AEPD: derecho a conocer la identidad de la persona/s que ha accedido indebidamente a su historia clínica.

La consulta planteada a la AEPD versa sobre si desde la perspectiva del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, (LOPDGDD), y teniendo en cuenta la Sentencia del Tribunal Supremo nº 476/2020 de 25 de septiembre, el contenido del derecho de acceso a la historia clínica, comprende la información sobre quién ha accedido a la misma.

  1. Normativa aplicable.

En primer término la AEPD aclara que para dar respuesta a este tipo de consultas, la normativa de referencia debe ser la sanitaria, en concreto “la LAP por ser la norma que, por razón de la materia y especialidad, se aplica al derecho de acceso a la historia clínica”.

  1. La legislación básica estatal no prevé el derecho a conocer quién ha accedido a la historia clínica.

La AEPD constata que de la lectura de la LAP “no se infiere que incluya la relación de las personas que han accedido a la misma”, lo que no impide que existan normas autonómicas en las que sí se prevé que el contenido del derecho de acceso a la historia clínica comprenda también, conocer quien ha accedido a la misma.

  1. El criterio de la AEPD.

La AEPD reitera su criterio manifestado en informes anteriores, contrario a que el derecho de acceso a la historia clínica pueda comprender conocer la información sobre quién ha accedido a la misma, “pues ni forma parte de la historia clínica y además hace referencia datos personales de terceros”.

A continuación la Agencia toma en consideración la STS de 25 de septiembre de 2020, que a su juicio no permite llegar a una conclusión distinta, pues “la Sentencia analiza un caso concreto desde la perspectiva de la legalidad de la obtención de las pruebas y su afección al proceso judicial y a los derechos de los acusados llegando a la conclusión indicada. Lo que no significa que con la Sentencia se esté legitimando o “legalizando”, desde el punto de vista de la LAP, ni de la LOPDGDD, que dentro del derecho de acceso a la historia clínica, deba comprenderse también, conocer quién ha accedido a la misma”.

Por todo ello la conclusión final a la que llega la AEPD es que:

No debe entenderse incluido dentro del derecho de acceso a la historia clínica al amparo del artículo 18 de la LAP, la información referida a si ha habido accesos y a la identidad de las personas que han accedido, salvo que en la normativa autonómica aplicable o en otras normas se prevea expresamente esa posibilidad.”

En Castilla-La Mancha, al art. 19.2 del Decreto 24/2011, de 12/04/2011, de la documentación sanitaria en Castilla-La Mancha, niega claramente este derecho al establecer:

“El derecho de acceso del paciente a los datos de su historia clínica no comprende la información sobre los datos personales de las personas que, dentro del ámbito de organización del responsable del fichero, han podido tener acceso a la misma en el ejercicio de sus funciones.”