Partekatu edukia
Datuen babesa
Gaia: La falta de contestación del Departamento de Salud a una pregunta realizada por el autor de la queja relativa al acceso no autorizado a sus datos personales por parte de personal de un Centro de Salud.
Consejero de Salud
Señor Consejero:
1. El 4 de marzo de 2024 esta institución recibió un escrito del señor don (…) mediante el que solicitaba un proceso de mediación con el Departamento de Salud, por el acceso no autorizado a los datos personales suyos y de su mujer por parte de personal del Centro de Salud de Lodosa y por la falta de respuesta certera a una pregunta sobre lo sucedido.
En dicho escrito exponía que:
a) Hace 14 meses informó al Servicio Navarro de Salud-Osasunbidea de que personal del Centro de Salud de Lodosa había accedido en dos ocasiones sin autorización a sus datos personales y en 14 ocasiones a los de su mujer.
b) A este respecto, el Servicio Navarro de Salud-Osasunbidea no le ha dado más que explicaciones vagas que no responden ciertamente a lo que pregunta sobre lo sucedido.
2. Considerando que la cuestión no presentaba la relevancia para el interés general, social o comunitario requerida para las solicitudes de mediación formuladas a título individual por una persona física o jurídica (artículo 20.3 del Reglamento de organización y funcionamiento del Defensor del Pueblo de la Comunidad Foral de Navarra), el 7 de marzo de 2024 esta institución comunicó al interesado que:
a) No procedía estimar su solicitud de mediación;
b) La cuestión planteada podía ser examinada en el marco de un expediente de queja, para lo que resultaba necesario que, en el plazo de 10 días hábiles, manifestara su voluntad de que la solicitud de mediación fuera tramitada como queja.
3. El 8 de marzo de 2024 esta institución recibió un escrito del interesado manifestando su voluntad de que la solicitud de mediación fuera tramitada como queja.
4. Como consecuencia de ello, seguidamente, esta institución se dirigió al Departamento de Salud, solicitando que informara sobre la cuestión suscitada.
El 2 de abril de 2024 se recibió el informe remitido, el que se señala lo siguiente:
“En atención al Paciente de SNS-O se han recibido varios escritos de don (…) en relación a la reclamación que refiere, y tras contactar con responsables del Servicio de Administración Electrónica, Seguridad y Gestión de procesos se le respondió al solicitante.
Según el artículo 31.1 de la Ley Foral 17/2010, de 8 de noviembre, de Derechos y Deberes de las personas en materia de salud en la Comunidad Foral de Navarra (Derecho a la confidencialidad de la información):
Toda persona tiene derecho a la confidencialidad de toda la información relacionada con los datos referentes a su salud y estancias en centros sanitarios públicos o privados. Igualmente, tiene derecho a que nadie que no cuente con su autorización pueda acceder a ellos, salvo cuando así lo autorice por razones de interés general la legislación vigente, conforme a lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y a conocer en todo caso quién ha accedido a sus datos sanitarios, el motivo del acceso y el uso que se ha hecho de ellos, salvo en caso del uso codificado de los mismos.
En el caso de la administrativa del Centro de Salud de Lodosa, solamente accedió a la parte administrativa y no a los datos clínicos, por lo que el acceso no es susceptible de ser justificado.
También se le explicó al señor (…) que podía recurrir, si consideraba oportuno, a otras instancias para presentar denuncia de los hechos, tales como la Policía Foral o en un Juzgado” (énfasis en el original).
5. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), define en su artículo 4 los conceptos de:
a) “Datos personales” como:
“toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (énfasis añadido).
b) “Tratamiento” de los datos personales como:
“cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (énfasis añadido).
Por otro lado, en relación con su tratamiento, el artículo 5.1 del Reglamento exige que aquél se realice de manera lícita, previéndose en el artículo 6 los supuestos exhaustivos en el que, con carácter general, se entenderá lícito el tratamiento que serán los siguientes:
“a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.
Como excepción a esta regla general, se encuentran los datos personales “que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”, cuyo tratamiento está prohibido, salvo cuando concurren alguna de las siguientes circunstancias:
“a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado” (artículo 9.2 del Reglamento).
6. En el caso que nos ocupa, a la vista de esta normativa cabe concluir que:
a) De acuerdo con el artículo 4 del Reglamento, el acceso y consulta por parte de una administrativa de un centro de salud a los datos de un paciente del Servicio Navarro de Salud-Osasunbidea constituye una forma de tratamiento;
b) Dentro de los datos personales de cuyo tratamiento es responsable el Servicio Navarro de Salud-Osasunbidea cabe distinguir dos categorías:
1) Los que el Departamento de Salud viene a denominar en su informe como “datos administrativos”, cuyo tratamiento sería lícito si concurriese alguna de las circunstancias del artículo 6 del Reglamento; y,
2) Los que el Departamento de Salud viene a denominar en su informe como “datos clínicos” y “datos sanitarios”, cuyo tratamiento estaría prohibido, salvo cuando concurra alguna de las circunstancias del artículo 9.2 del Reglamento.
c) De este modo, contrariamente a lo que parece defender el Departamento de Salud en su informe, el acceso a los denominados “datos administrativos” no resulta libre, sino que debe responder a alguna de las circunstancias habilitantes previstas en el artículo 6 del Reglamento.
Teniendo esto en cuenta, en la medida en que el Departamento no alega un motivo que permita permitir evaluar si al acceso y consulta de los “datos administrativos” del autor de la queja y su mujer por parte de la administrativa del centro de salud de Lodosa responde a alguna de las circunstancias habilitantes para ello y, en consecuencia, es lícito, esta institución estima oportuno recomendar al Departamento que investigue lo sucedido y, en caso de que dicho acceso y consulta no estén amparados por las circunstancias habilitantes previstas en el artículo 6 del Reglamento, adopte las medidas disciplinarias necesarias contra la persona que accedió y consultó dichos datos personales.
7. En consecuencia, y en ejercicio de las facultades que le atribuye el artículo 34.1 de la Ley Foral 4/2000, de 3 de julio, la institución del Defensor del Pueblo de Navarra ha estimado necesario:
Recomendar al Departamento de Salud que investigue el acceso y consulta de los datos personales del autor de la queja y su esposa por parte del personal administrativo del centro de salud de Lodosa y, en caso de constatar que el mismo no resulta amparable por la normativa en materia de protección de datos, adopte las medidas disciplinarias necesarias contra la persona que accedió y consultó dichos datos personales.
De conformidad con el artículo 34.2 de la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, procede que el Departamento de Salud informe, como es preceptivo, en el plazo máximo de dos meses, si acepta esta resolución, y, en su caso, las medidas adoptadas para su cumplimiento.
De acuerdo con lo establecido en dicho precepto legal, la no aceptación de la resolución podrá determinar la inclusión del caso en el Informe anual correspondiente que se exponga al Parlamento de Navarra, con mención expresa de la Administración que no haya adoptado una actitud favorable cuando se considere que era posible.
A la espera de su respuesta, le saluda atentamente,
El Defensor del Pueblo de Navarra
Nafarroako Arartekoa
Patxi Vera Donazar
Partekatu edukia