La Agencia Española de Protección de Datos se ha pronunciado sobre la licitud del acceso a las historias clínicas por parte de profesionales sanitarios en el ejercicio de defensa frente a denuncias o reclamaciones ante los tribunales.
A pesar de que los datos relativos a la salud son considerados sensibles y que existe una prohibición general para su tratamiento, la AEPD considera que tanto el artículo 9 del RGPD en su apartado 2.f así como el Considerando 52 y 53 contemplan supuestos que avalan que se levante esta prohibición para facultativos que necesiten defenderse de reclamaciones.
El artículo 2 en su apartado f) estipula que “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;”
El considerando 52, por su parte, dice:
Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.
La ley que regula la historia clínica, la Ley 41/2002 de Autonomía del Paciente, deja claro en su artículo 15. 2 que “la historia clínica tendrá como fin principal facilitar la asistencia sanitaria” y, por tanto, la finalidad del uso de la historia clínica responde a la función asistencial. Sin embargo, en el apartado 3 establece que “el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales”.
Por lo tanto, basándonos en lo estipulado en el RGPD, la consulta de las historias clínicas como parte del ejercicio de defensa en una reclamación judicial tendría un fundamento jurídico.
Sin embargo, hay que tener en cuenta que esta consulta debe seguir los principios generales de protección de datos. Lo datos deben anonimizarse siempre que sea posible, no se debe acceder más que a la información que sea relevante para el caso y siempre por un periodo de tiempo limitado a la resolución de dicho caso. Asimismo, el profesional debe asegurarse de que custodia adecuadamente los datos del paciente de modo que no caigan en manos no autorizadas.
Por lo tanto, sólo en el caso de que se ofrezcan suficientes garantías para el cumplimiento de los principios del tratamiento previstos en el artículo 5 del RGPD se podrá utilizar el supuesto previsto en el artículo 9.2 f) del RGPD.
El facultativo será un encargado de tratamiento en el caso de que trabaje en plantilla de un hospital y ejerza en nombre de este hospital. En caso de que el facultativo actúe en su nombre y sólo use un determinado hospital como lugar físico de trabajo, será responsable de tratamiento de los datos de sus pacientes.
