Resoluciones

Resolución del Defensor del Pueblo de Navarra (13/262/S) por la que se recomienda al Departamento de Salud que ponga en conocimiento de la Agencia Española de Protección de Datos la infracción a la Ley Orgánica de Protección de Datos Personales denunciada por los autores de la queja, a efectos de que pueda dictar, si lo estima oportuno, la correspondiente resolución estableciendo las medidas que proceda adoptar para que se corrijan los efectos de la infracción.

Sanidad

Tema: Entrada no autoriazada en historias clínicas.

Sanidad

Consejera de Salud

Excma. Sra.:

1. Con fecha 22 de marzo de 2013 tuvo entrada en esta institución un escrito presentado por don […] y otras personas, formulando una queja frente al Departamento de Salud por el acceso no autorizado a sus historias clínicas por parte del médico don […].

   Exponían en el escrito de queja que:

   1. Solicitada al Servicio de Atención al Paciente del Servicio Navarro de Salud/Osasunbidea la relación de los accesos realizados a sus Historias Clínicas, encontraron una irregularidad que coincide en los tres casos. Concretamente, las entradas en sus historiales clínicos por parte de don […], que ejerce como Médico de empresa en […] (empresa en la que trabajan los tres), a la vez que lo hace como funcionario del Servicio Navarro de Salud/Osasunbidea en el Centro de Salud de San Juan, desde donde ha accedido a sus Historias Clínicas.

   2. El Dr. […] no tiene ningún tipo de relación asistencial como médico del Servicio Navarro de Salud/Osasunbidea con ninguno de los tres trabajadores.

   3. Entendían que las entradas a sus historiales clínicos por parte del citado médico son indebidas y carecen de amparo legal alguno, habiéndose vulnerado sus derechos, según la Ley Foral 17/2010, de 8 de noviembre, por lo que, con fecha de 4 de julio de 2012, presentaron la correspondiente denuncia al Servicio Navarro de Salud/Osasunbidea.

   4. La contestación del Servicio Navarro de Salud/Osasunbidea a la denuncia presentada, de 31 de enero de 2013, admite que dichas entradas están registradas y las valora como ilícitas, pero manifiesta que tales actuaciones ya no son sancionables por vía administrativa al haber prescrito los plazos para su denuncia y sanción. En dicha contestación si bien se reconocen las entradas a los historiales clínicos antes citadas, nada se les dice sobre qué investigación se ha hecho por parte del Servicio Navarro de Salud/Osasunbidea para averiguar los motivos que llevaron al facultativo a realizarlas, ni tampoco sobre el uso que ha hecho de las informaciones a las que ha accedido ilícitamente el médico de empresa, no constando en la contestación ninguna conclusión ni consideración a este respecto.

2. Recibida la queja, me dirigí al Departamento de Salud para que informara sobre la misma.

   Con fecha de 4 de junio de 2013, tuvo entrada en esta institución el informe emitido.

3. El artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, califica los datos de salud como especialmente protegidos y, al respecto, precisa en su apartado 3 que los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. Así pues, los datos de salud disfrutan de un estatuto jurídico particular dada su calificación de datos especialmente protegidos.

   La referida Ley Orgánica reconoce el derecho a acceder a la información contenida en las historias clínicas, sin necesidad de consentimiento del paciente, exclusivamente a los profesionales asistenciales que realicen el diagnóstico y el tratamiento (art. 16.1). Por tanto, han de ser facultativos vinculados asistencialmente con el paciente. Para el acceso por otros facultativos del centro sanitario o de otros centros no vinculados asistencialmente al paciente, es imprescindible obtener el previo consentimiento del interesado.

   Ha de concluirse, pues, como también lo ha hecho el Departamento de Salud a tenor de lo informado, que el acceso de don […] (médico de atención primaria del Servicio Navarro de Salud-Osasunbidea y médico de empresa de […]) a las historias clínicas de los autores de la queja sin obtener su previo consentimiento, toda vez que no estaba vinculado asistencialmente con los mismos, ha vulnerado su derecho fundamental a la protección de sus datos personales (artículo 18.4 CE), en este caso relativos a salud, que están especialmente protegidos.

4. El referido médico, al acceder a los datos de salud de los autores de la queja sin obtener previa autorización, habría incurrido en hechos tipificados como una infracción calificada como falta grave en el artículo 44 de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

   Sin embargo, el artículo 46.2 de dicha ley Orgánica establece que cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública, como es el presente caso, el órgano sancionador (Agencia Española de Protección de datos) podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran, añadiendo este precepto legal que el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

   Pues bien, el procedimiento disciplinario a aplicar al médico infractor es el Reglamento de Régimen Disciplinario de los Funcionarios de la Administraciones Públicas de Navarra, aprobado por Decreto Foral 117/1985, de 12 de junio. Y, en efecto, este reglamento fija un año para la prescripción de las faltas graves contado a partir de la fecha de su comisión, por lo que, en este caso, ha prescrito la responsabilidad disciplinaria en la que incurrió el referido médico.

5. No obstante, también conviene advertir que el citado artículo 46 de la Ley Orgánica de Protección de Datos, establece que cuando las infracciones fuesen cometidas en ficheros de titularidad pública, el órgano sancionador (Agencia Española de Protección de Datos) dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se ha de notificar al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

   No se trata de una resolución sancionadora, sino de una decisión administrativa de requerimiento imperativo de las medidas a adoptar para evitar este tipo de infracciones, que se ha de notificar al responsable del fichero y a los afectados.

   Analizando el alcance de la normativa citada, la Sentencia del Tribunal Supremo, de 2 diciembre 2011 -RJ/2012/2585-, ha precisado que la Agencia Española de Protección de Datos es una Administración Pública que se inserta dentro del poder ejecutivo, y que como tal Administración es titular de importantes potestades de intervención: puede declarar respecto de los ficheros públicos no solo la existencia de una infracción sino también la imposición de correcciones e incluso de promover responsabilidad disciplinaria de los funcionarios públicos que aparezcan como responsables de la infracción; puede inspeccionar los ficheros públicos y recabar cuantas informaciones precise para el cumplimiento de su cometido, pudiendo solicitar al efecto la exhibición o envío de documentos y datos o examinarlos en el lugar en que se encuentran depositados, así como inspeccionar los equipos físicos o logísticos utilizados en el tratamiento de datos, accediendo a los locales donde se hallen instalados. También puede en el ejercicio de esas funciones requerir a los responsables y los encargados del tratamiento la adopción de las medidas que estime necesarias para la adecuación de los tratamientos de datos a las disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones (art. 37, 1,f) LOPD).

   Así pues, constatada una infracción a la Ley Orgánica de Protección de Datos cometida en un fichero de titularidad pública, como lo es el registro telemático de historias clínicas del Servicio Navarro de Salud-Osasunbidea, parece oportuno que por parte de los responsable del fichero de historias clínicas se dé conocimiento a la Agencia Española de Protección de Datos de los hechos, así como de la identidad del infractor, a efectos de que pueda dictar la referida resolución.

6. Según la información recibida, es un hecho cierto que los responsables del fichero electrónico de historias clínicas no han conocido el acceso irregular que se produjo en los años 2006 y 2007 a los datos de salud de los autores de la queja, hasta que estos presentaron las denuncias en el año 2012.

   Pues bien, con el objeto de controlar los accesos a los datos de salud por terceras persona, el artículo 103 del Reglamento de la Ley Orgánica de Protección de Datos, aprobado por Decreto 1720/2007, de 21 de diciembre, establece que De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

   A su vez, el informe de la Agencia Española de Protección de Datos, 0584/2009, interpretando el artículo 103, señala que el control de los accesos deberá efectuarse de la forma más detallada posible, a fin de conocer efectivamente quién ha podido en cada momento conocer los datos incorporados al sistema, es decir, a qué datos o recursos se ha accedido, sin que puedan efectuarse meros controles genéricos, por referencia al sistema en conjunto. Por consiguiente, el responsable del fichero debe contar con las aplicaciones informáticas necesarias que permitan cumplir con las exigencias establecidas en el artículo 103 del Reglamento, de una forma inmediata y eficaz.

   A lo anterior hay que añadir la circunstancia de que los datos de salud deben estar especialmente protegidos, y de que existen datos de salud que pueden perjudicar la vida social o laboral de la persona, particularmente la laboral (datos genéticos, orientación sexual, psiquiátricos, trasplante de órganos, enfermedades cardiovasculares u otras patologías, enfermedades infecciosas, etcétera), se han diseñado técnicas para la disociación de los datos de salud, la creación de perfiles profesionales de acceso, la determinación de módulos de datos de especial custodia, etcétera, con el objeto de hacer efectivo ese plus de protección que requieren los datos de salud, particularmente los muy sensibles.

   La incorporación de todas las aplicaciones informáticas necesarias al sistema de archivo electrónico de historias clínicas para alcanzar los objetivos señalados, además de su propio diseño, exige la elaboración y aprobación de la correspondiente normativa reglamentaria que obligue jurídicamente a su utilización, que dé seguridad jurídica en su uso, y que su aplicación pueda ser seguida y controlada por el responsable del fichero, por los propios centros sanitarios, y por los pacientes y afectados.

7. En razón de todo lo anteriormente expuesto, me ha parecido oportuno formular al Departamento de Salud, con un propósito de mejora de los servicios públicos en beneficio de los derechos constitucionales de los ciudadanos, la siguiente recomendación:

   Recomendar al Departamento de Salud que ponga en conocimiento de la Agencia Española de Protección de Datos la infracción a la Ley Orgánica de Protección de Datos Personales denunciada por los autores de la queja, a efectos de que pueda dictar, si lo estima oportuno, la correspondiente resolución estableciendo las medidas que proceda adoptar para que se corrijan los efectos de la infracción.

De conformidad con lo dispuesto en el artículo 34.2 de la Ley Foral 4/2000, de 3 de julio, el Departamento dispone del plazo máximo de dos meses para comunicarme, como es preceptivo, si acepta, la anterior recomendación y, en su caso, las medidas a adoptar al respecto.

A la espera de su respuesta, le saluda atentamente,

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea