En este blog ya hemos hablado en alguna que otra ocasión sobre el acceso a los historiales clínicos. Todos los ciudadanos, como usuarios de la Sanidad, tanto pública como privada, tenemos derecho a acceder a nuestros datos personales, entre ellos, los datos concernientes a nuestra salud. Sin embargo, ¿Qué sucede si queremos saber quién ha tenido acceso a esos datos? ¿Podemos conocer el nombre del facultativo que ha revisado nuestro historial?
Para dar respuesta a estas preguntas, hoy vamos a analizar la reciente Sentencia de la Audiencia Nacional 7/2024 (nº de recurso 223/2022) de 10 de enero de 2024, a través de la cual se dilucida si un usuario que ejercita un derecho de acceso a la Consejería de Sanidad de Valencia puede también incluir la entrega, no solo de su historial clínico, sino también del personal que ha podido acceder a dicho historial.
Comenzamos relatando los hechos que dan lugar a que una reclamación acabe en la Sala de lo Contencioso Administrativo de la Audiencia Nacional. En sus fundamentos de derecho se describen los antecedentes facticos relevantes que han hecho posible en enjuiciamiento de la controversia:
1.- El demandante presento en su momento dos reclamaciones ante la Conselleria de Sanidad y Salud Publica de Valencia donde solicitaba el acceso a los datos personales de su historia clínica. Así, el Hospital General Universitario de Valencia le remitió un listado con la información de los accesos a su historia clínica durante el periodo solicitado por el demandante.
2.- Asimismo, presentó otra reclamación frente al Servicio Aragonés de Salud solicitando que, además de la información de los accesos a su historia clínica, le entregaran también un listado con el personal que había accedido a la misma. La contestación de la Direccion de Gerencia del Servicio Aragonés de Salud le contesta lo siguiente:
“En contestación a la solicitud de los nombres de las personas que han accedido a su Historia Clínica electrónica, informarle que, consultada la Agencia Española de Protección de Datos (en adelante AEPD) en una situación similar a ésta, emitió un informe, con fecha 24 de abril de 2012, en el que se señala lo siguiente: «el derecho de acceso es uno de los derechos de las personas en relación con los datos de carácter personal que aparece regulado en el Título III de la LOPD. Dentro del mismo, el artículo 15.1 LOPD indica: El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.”
3.- Considera así la Direccion de Gerencia del Servicio Aragonés de Salud que de conformidad con dicha definición el derecho de acceso abarca el conocimiento de los datos sometidos a tratamiento, su origen y sus posibles cesiones. Pero no incluye la determinación de qué personas, en el tratamiento de los datos, han tenido acceso a la información.
Continua la Gerencia manifestando que el derecho concedido al interesado por la Ley únicamente abarcaría el conocimiento de la información sometida a tratamiento, pero no qué personas, dentro del ámbito de la organización del responsable del fichero han podido tener acceso a dicha información, tal y como hace referencia la Agencia Española de Protección de Datos al resolver cuestiones similares a la planteada en el presente supuesto.
4.- Así las cosas, posteriormente el actor interpone dos reclamaciones ante la AEPD, frente a la Conselleria de Sanidad de Valencia y frente al Servicio Aragonés de Salud. La Agencia finalmente inadmite las reclamaciones lo que será el desencadenante de la presente causa, ya que el demandante impugna dicha resolución de inadmisión.
Ya en vía judicial, la parte demandante alega como motivo de impugnación de la resolución de inadmisión a las reclamaciones anteriormente mencionadas y dictada por nuestra autoridad de control, las siguientes consideraciones:
- El actor manifiesta que la resolución objeto de conflicto da una única respuesta a dos reclamaciones presentadas por el actor ante la AEPD, que tienen, según la consideración del reclamante, un contenido muy diferenciado. Con la reclamación interpuesta ante la Conselleria de Sanidad Valenciana se adjuntan dos denuncias presentadas ante la Fiscalía Provincial de Valencia (por accesos ilegítimos a su historia clínica).
- Continúa argumentando el demandante que la AEPD da una respuesta generalista, sin hacer referencia alguna a las alegaciones formuladas en la reclamación, desconociendo absolutamente la documentación presentada, que acredita las denuncias interpuestas y que justificaría la admisión de la reclamación y el inicio por parte de la AEPD de un expediente de investigación, de conformidad con el artículo 65 de la LOPDGDD.
- Expone que, a pesar de lo manifestado por la Agencia, la concurrencia de indicios racionales de la existencia de una infracción queda acreditada con las denuncias ante la Fiscalía de Valencia, donde dice que se detalla la alteración de los datos contenidos en su Historia Clínica y el acceso indebido a tales datos por parte de personas desconocidas no implicadas en el diagnóstico y tratamiento de su enfermedad.
- Por tanto, señala que la queja presentada por uso ilegitimo de los datos de historia clínica está dentro del marco competencial de la AEPD y que su decisión de inadmitir deviene, conforme a su criterio, inmotivada y arbitraria.
En conclusión, la parte demandante alega una vulneración del derecho a la tutela judicial efectiva, al privarle de la información necesaria para articular las correspondientes denuncias por intromisión ilegítima en su historia clínica.
Así las cosas, los Magistrados de la Sala entienden que el recurso contencioso-administrativo que están dirimiendo se sustenta, básicamente y según su criterio, en la vaguedad y generalidad de la respuesta dada por la AEPD a la inadmisión de la reclamación del demandante. Por ende, el reclamante considera que, por ese motivo, es lesiva del derecho a su tutela judicial efectiva.
La Sala, en su fundamento de derecho tercero, indica que la resolución impugnada tras invocar con carácter general el tratamiento de los datos de salud, hacer referencia a la historia clínica del paciente, a los responsables de su custodia y a los derechos de rectificación, supresión y oposición, con especial referencia al derecho de acceso a tal historia clínica, concluye razonando de manera escueta lo siguiente:
“(…) tras el análisis realizado sobre los documentos aportados y las circunstancias concurrentes, no se aprecian indicios racionales de la existencia de una infracción en el ámbito competencial de la AEPD, por lo que, de acuerdo con lo previsto en el artículo 65.2 de la LO 3/2018, de 5 de diciembre, SE ACUERDA inadmitir la reclamación.”
El Tribunal también reconoce que la Agencia efectúa tal pronunciamiento, sin llevar a cabo actuación ni investigación ninguna, limitándose a analizar las dos denuncias presentadas por el actor y la documentación adjuntada con las mismas dictando, sin más, una resolución de inadmisión.
No obstante, la Sala considera:
1.- De un lado, que esta última posibilidad se encuentra contemplada en el artículo 65 de la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, de adaptación al ordenamiento jurídico español del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril, a cuyo tenor: “La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción”. Precepto que prevé una inadmisión de oficio y en un momento inicial, sin analizar el fondo de la posible controversia planteada y sin necesidad de ninguna otra actuación en los supuestos, entre otros, en que no se aprecien indicios racionales de existencia de infracción.
2.- Por otra parte, el Tribunal hace hincapié en la configuración del derecho de acceso, el cual no es una vía para obtener información en torno a la identidad de un tercero que, dentro de la organización responsable de tratamiento, pudiera haber tenido acceso a la historia clínica.
Por lo expuesto, la Sala considera procedente desestimar la demanda.
Analizada la anterior Sentencia, ¿Qué conclusiones podemos deducir de la misma en cuanto a protección de datos?
En primer lugar, del pronunciamiento podemos concluir lo que se considera derecho de acceso y lo que no. El derecho de acceso lo encontramos en el artículo 15 RGPD en el cual se dispone literalmente lo siguiente:
“1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas (…)”
Si observamos el articulo detenidamente y de forma literal, el derecho de acceso a obtener tus datos personales no hace referencia a la comunicación al interesado que ejercita este derecho sobre las personas que acceden a sus datos sino a las personas o entidades terceras a las que se cedieran. De este modo, se ciñen estrictamente a lo estipulado en este artículo.
En segundo lugar, la Sentencia deja claras las líneas rojas del derecho de acceso alegando que no es una vía para obtener información en torno a la identidad de un tercero. Asimismo, tampoco un progenitor no puede acceder a los datos de su hijo mayor de edad sin el consentimiento de este, por mucho vínculo familiar que exista. De este último caso hemos hablado en el blog, puedes pinchar aquí y aquí para leerlos.
Por tanto, si ejercitas un derecho de acceso a la obtención de tus datos personales ten en cuenta que en la documentacion que te entreguen solo podrán facilitarte los datos personales que ciertamente te pertenezcan sin tener acceso a datos de terceras personas. Os dejamos dos informes al respecto de la AEPD y de la Agencia Catalana de Protección de Datos.