Resumen de las principales reclamaciones en materia de salud recibidas por la AEPD

20 de julio de 2022

 

• OBJETO

Con motivo de la reciente publicación por la Agencia Española de Protección de Datos relativa a las principales reclamaciones en materia de salud, esta nota legal tiene por objeto hacer un resumen de las reclamaciones más destacadas, con la finalidad de que los clientes puedan detectar y evitar situaciones o actuaciones que pueden ser sancionadas por la autoridad de control en caso de producirse.

 

• ASPECTOS A DESTACAR

 

1. Acceso a las historias clínicas de pacientes fallecidos

De acuerdo con la AEPD, se ha observado un aumento del número de reclamaciones de acceso a la historia clínica por parte de familiares directos de pacientes fallecidos.

• Ejemplo resolución de expediente de tutela

 

TD-00250-2020: la reclamante indica que solicitó a la residencia donde estaba ingresada su difunta madre el derecho de acceso a los datos personales de su madre. La residencia denegó dicho derecho por no ser la reclamante la persona que firmó el ingreso en la residencia.

La AEPD estima la reclamación formulada por la hija e insta a la residencia a que atienda el derecho de acceso proporcionando entre otra información la historia clínica, habida cuenta que el art. 18.4 de la Ley 41/2002 de 14 de noviembre, básica reguladora de la Autonomía del Paciente (LAP), regula el hecho de que los centros sanitarios y los facultativos de ejercicio individual faciliten el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas, salvo que el fallecido hubiese prohibido expresamente y así se acredite. En este caso no existía prohibición expresa por parte de la difunta.

 

1. Accesos indebidos a historias clínicas

La AEPD ha recibido reclamaciones por accesos a historias clínicas por parte de profesionales sanitarios de centros y clínicas sin contar con la legitimación y autorización para ello. En estos supuestos, la AEPD una vez verifica que existen dichos accesos, solicita información sobre las actuaciones efectuadas al responsable del tratamiento.

En el supuesto de que el responsable una vez verificado el acceso por parte de un profesional sanitario sin justificación, inicia actuaciones disciplinarias contra la persona que accedió ilegítimamente, la AEPD puede archivar el procedimiento habida cuenta que estima que el responsable tenía medidas de seguridad adecuadas para poder rastrear los accesos y ha tomado medidas de cara a sancionar dichos accesos indebidos.

• Ejemplos de procedimientos sancionadores:

 

• PS-00250-2022: Acceso a una historia clínica por parte de una enfermera que carecía de autorización para ello. Dichos accesos quedaron acreditados por un certificado emitido por el Servicio de Salud, tramitándose una querella por revelación de secretos.

El Centro de Salud fue apercibida al entender la AEPD que las medidas de seguridad no fueron suficientes y que se había producido una vulneración de la confidencialidad de la historia clínica del reclamante.

• PS-00266-2015: La reclamante denunciaba que su exmarido (profesional sanitario) pero sin haber sido atendida por él, por numerosos accesos a su historia clínica (496 veces). Se sancionó al servicio de salud donde trabajaba su exmarido con una multa de 2.500 euros al considerar que dicho centro no tenía medidas de seguridad adecuadas al no detectar un número de accesos desproporcionados a una historia clínica.

 

• Supresión de los datos personales

La AEPD ha recibido también reclamaciones relacionadas con la supresión de datos en historias clínicas. Dichas solicitudes van dirigidas en especial a la supresión de datos relacionadas con salud mental, o enfermedades que pueden generar reproche social.

• Si la solicitud se ha contestado por parte del responsable del tratamiento en tiempo y forma, la AEPD desestima la reclamación.
• Si la solicitud no se contesta, se estima la reclamación por la AEPD y si ordena al responsable a que conteste la petición de supresión de forma motivada.
• De acuerdo con la AEPD siempre es el profesional sanitario el que decide si un dato personal es relevante o no y si ha de mantenerse o puede suprimirse sin que afecte a la historia clínica, teniendo en cuenta que dicha historia clínica debe contener toda la información necesaria para prestar asistencia sanitaria al paciente.

 

• Ejemplo expediente de tutela

TD-00267-2020: En este supuesto la parte reclamante ejercicio el derecho de supresión respecto a los datos su padre fallecido. Sin embargo la petición no fue atendida por el centro y la AEPD instó a dicho centro para que diese respuesta a la petición de supresión, motivando las causas por las que no procedía considerar el derecho.

 

1. Criterios sobre la responsabilidad del tratamiento de datos de pacientes

La AEPD distingue entre tres supuestos para dilucidar la condición de responsable del tratamiento de datos de los pacientes por parte del profesional sanitario:

• Supuesto nº1: profesional sanitario que toma todas las decisiones sobre la atención sanitaria de sus pacientes, pero presta sus servicios en un centro o clínica mediante el arrendamiento de una consulta. En este supuesto donde la relación con el hospital o clínica se limita al arrendamiento de una consulta, siendo el profesional sanitario el que decida sobre la conservación y custodia de la historia clínica, éste actúa en calidad de responsable del tratamiento.
• Supuesto nº2: Profesional sanitario contratado por una clínica u hospital. En este supuesto el hospital actúa en calidad de responsable del tratamiento, siendo por tanto el encargado de suministrar instrucciones al empleado sobre cómo actuar respecto a la historia clínica, las medidas de seguridad a adoptar, o qué hacer si los pacientes solicitan el ejercicio de sus derechos en materia de protección de datos.

 

• Ejemplo procedimiento sancionador:

PS-00391-2020: Se reclamo por parte del profesional sanitario al centro de salud donde éste había prestado los servicios, reclamando una copia de la historia clínica de los pacientes que éste había atendido al considerarse que era el responsable del tratamiento de los datos, alegando que era “titular” de la historia clínica de dichos pacientes, habida cuenta que éste era empresario autónomo.

La AEPD tras una prueba minuciosa durante la instrucción del procedimiento constató que el profesional no reunía ninguno de los requisitos para ser considerado responsable del tratamiento, al no decidir sobre los fines ni medios del tratamiento.

 

• Supuesto nº3: Supuesto donde la relación profesional sanitario y el centro o clínica es difuso, especialmente en aquellos supuestos donde el profesional sanitario atiende a sus propios pacientes en una clínica o hospital que compagina con la atención de clientes pacientes del centro sanitario. En este supuesto habrá que determinar respecto a qué pacientes el personal sanitario o centro son responsables del tratamiento o si estamos ante un supuesto de corresponsabilidad.

Por último, en todo caso, en el ámbito público, el responsable del tratamiento siempre será la autoridad sanitaria pues es quien tiene encomendadas las competencias sanitarias lo que le permite determinar los fines y medios del tratamiento.