El derecho a saber el recorrido de tu historia clínica
Deben de poder corroborar accesos indebidos y constatar posibles irregularidades, según la Autoridad Catalana de Protección de Datos.
El acceso al registro de entradas a la historia clínica no puede ser denegado al paciente.
“El derecho a la protección de datos de las personas que hayan accedido (a la historia clínica) no justificaría la denegación del acceso al (paciente) reclamante al registro de accesos a su propia historia clínica; en concreto, conocer la identidad de los profesionales que han accedido a ella. En cualquier caso, recordemos que el principio de minimización de datos (artículo 5.1.c del Reglamento General de Protección de Datos-RGPD), exige que el acceso se limite a los datos estrictamente necesarios para alcanzar la finalidad pretendida”, concluye un informe jurídico de la Autoridad Catalana de Protección de Datos (Apdcat).
“Conocer la identidad y, en su caso, el cargo, categoría o perfil de los profesionales que acceden a la historia clínica y otros datos vinculados al acceso (fecha y hora, lugar, motivo etc.), resultaría proporcionado, ya que permite dar cumplimiento a la finalidad explicitada por el reclamante de conocer las personas que han consultado su historia clínica y comprobar, en su caso, accesos indebidos de los que tiene sospecha”, añade.
Esta autoridad autonómica ha analizado en un informe jurídico, emitido a petición de la Comisión de Garantía del Derecho de Acceso a la Información Pública, si poner en manos de un paciente el registro de profesionales que acceden a su historia clínica puede afectar a los derechos de esos profesionales o no. Es su respuesta a la reclamación presentada por un ciudadano contra una entidad pública por la denegación de acceso a un informe de trazabilidad de los accesos a su historia clínica durante los dos años anteriores.
“Tengo sospechas fundadas”
El paciente relataba en su reclamación que “en mayo del 2021 pedí informe de trazabilidad de mi historial clínico a mi centro de primaria de referencia (CAP). Hasta la fecha de hoy no he recibido respuesta. He hecho una queja en la página del Servicio Catalán de la salud (CatSalut) y me han respondido al mes y medio que esta información la puedo encontrar en la aplicación de la (carpeta digital) La meva salud (Mi salud). Esta función de la aplicación lleva meses sin funcionar y, si se diera el caso de que sí, no te da la información que necesito porque quiero saber las personas que han consultado mi historia clínica en los últimos dos años. El motivo es que tengo sospechas fundadas que han habido irregularidades de tratamiento de mi historia en este sentido”.
Situada la reclamación en estos términos, “es necesario partir de la base de que la normativa de protección de datos se aplica a los tratamientos que se lleven a cabo sobre cualquier información sobre personas físicas identificadas o identificables (art. 4.1 RGPD). El artículo 4.2 del RGPD considera “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”, recuerda la agencia en su informe.
Información en poder de la Administración
Y destaca también que la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTC), reconoce a las personas el derecho de acceso a la información pública, entendiéndose como tal “la información elaborada por la Administración y la que ésta tiene en su poder como consecuencia de su actividad o del ejercicio de sus funciones, incluida la que le suministran los demás sujetos obligados de acuerdo con lo que establece esta ley” (artículo 2.b y 18 LTC).
La información relativa a la asistencia sanitaria que recibe la persona reclamante por parte de la red pública de salud (en concreto, desde los servicios de la entidad competente y del CAP que habría atendido en el reclamante) es “información pública” a efectos del artículo 2.b de la LTC, que establece, como criterio general, que el derecho de acceso a la información pública sólo puede ser denegado o restringido por las causas expresamente establecidas por las leyes (artículo 20 y ss. LTC). También señala esta autoridad la Ley 21/2000, de 29 de diciembre, sobre los derechos de información concerniente a la salud y la autonomía del paciente.
Como pone de manifiesto en su informe jurídico, la persona reclamante, de entrada, tiene derecho de acceso respecto a su propia información personal, en los términos previstos en el artículo 15.1 RGPD. Y, a los efectos que interesan (acceso también al registro de profesionales que han entrado en su historia), subraya que el RGPD reconoce el derecho de la persona afectada o interesada en solicitar y obtener del responsable del tratamiento una copia de sus datos personales sometidos a tratamiento, incluida determinada información sobre este tratamiento, como, por ejemplo, los destinatarios a quienes se haya comunicado o se prevea comunicar estos datos (art. 15.1.c RGPD).
De entrada, matiza que los accesos realizados por el propio personal asistencial o de otros perfiles (por ejemplo, personal administrativo) de la entidad no pueden considerarse como una información que forme parte del derecho de acceso previsto en la normativa de protección de datos (art. 15.1.c) RGPD). Pero, analizado el caso concreto -“El motivo es que tengo sospechas fundadas de han habido irregularidades de tratamiento de la mi historia en este sentido”-, dice que “está claro que la finalidad pretendida responde en este caso a la voluntad del propio titular de la historia clínica de comprobar posibles accesos indebidos para, en su caso, constatar irregularidades de las que tiene sospechas. Esto debería permitirle, si procede, ejercer alguna acción o reclamación relacionada con este acceso indebido o con las consecuencias que esto haya podido tener para sus intereses y derechos como paciente”.
Y apunta que, específicamente, el artículo 9.4 de la Ley 21/2000 dispone lo siguiente: “Los centros sanitarios deben tomar las medidas técnicas y organizativas adecuadas para proteger los datos personales recogidos y evitar su destrucción o pérdida accidental, y también el acceso, la alteración, la comunicación o cualquier otro procesamiento que no sean autorizados”.
Por otra parte, a los efectos de la ponderación necesaria, reconoce que es necesario analizar la posible afectación que el acceso a la información pública solicitada podría comportar para los derechos de las personas afectadas (los profesionales de la entidad que hayan accedido a la historia clínica del reclamante, los datos de los que puedan constar en el registro de accesos a efectos de trazabilidad). Pero determina que “no parece que un trabajador pueda tener las mismas expectativas cuando utiliza estas mismas herramientas para acceder a información de un tercero (el paciente), a la que sólo debería acceder para cumplir determinadas tareas que tiene asignadas en relación con la prestación de asistencia sanitaria al paciente”.
Es un interés legítimo
El Consorcio Sanitario y Social de Cataluña (CSC), una asociación patronal que agrupa a a consorcios públicos (con participación de la Generalitat, ayuntamientos y otros), ha analizado el informe de la Autoridad Catalana de Protección de Datos (Apdcat) y ha destacado que “la peculiaridad de este caso radica en que la trazabilidad de los accesos a la historia clínica del reclamante abarca un conjunto de información que va más allá de lo que se puede entender como datos meramente identificativos relacionados con la organización, el funcionamiento o la actividad pública del responsable del tratamiento. En otros términos, aparte de la información sobre la identidad, el cargo, categoría o perfiles de los profesionales de la entidad que hayan accedido, también se pide la fecha y lugar de los accesos o, en su caso, el motivo por el que se accede a la historia clínica. Este ejercicio de acceso ha requerido, por tanto, un ejercicio de ponderación previa de la Apdcat entre el interés público en la comunicación de la información y los derechos de las personas afectadas”.
Y que, en definitiva, la Apdcat, “resuelve la consulta planteada concluyendo que cualquier paciente puede tener un interés legítimo en conocer qué accesos se han producido en su historia clínica como mecanismo para dar efectividad a sus derechos de información y de reclamación que la legislación sanitaria y la normativa en protección de datos le reconoce. Asimismo, el reclamante debe poder acceder a determinada información sobre los accesos a su historia clínica, a fin de poder corroborar o no las sospechas de accesos indebidos, y constatar posibles irregularidades en lo que se refiere a las medidas que la normativa exige al responsable”. Carme Fernández (DM)