Anàlisi de l'informe jurídic de l'apdcat sobre la denegació d'accés, per part d'una entitat pública, a un informe de traçabilitat dels accessos a la seva història clínica durant els dos anys anteriors
Anàlisi de l'informe jurídic de l'apdcat sobre la denegació d'accés, per part d'una entitat pública, a un informe de traçabilitat dels accessos a la seva història clínica durant els dos anys anteriors
Recentment, l’Autoritat Pública de Protecció de Dades de Catalunya (“APDCAT”) ha emès un informe jurídic a petició de la Comissió de Garantia del Dret d’Accés a la Informació Pública, en relació amb la reclamació presentada per un ciutadà contra una entitat pública, per la denegació d’accés a l’informe de traçabilitat dels accessos a la seva història clínica durant els dos anys anteriors.
El ciutadà, davant el silenci del seu CAP a la petició presentada el 20 de maig de 2021 per consultar la traçabilitat dels accessos a la seva història clínica durant els dos anys anteriors, va presentar una reclamació a la Comissió de Garantia del Dret d’Accés, el passat 14 de gener de 2022. La seva sol·licitud es fonamenta en sospites fundades del ciutadà, qui al·lega que hi ha hagut irregularitats de tractament en la seva història clínica.
Entrant en matèria, cal recordar que la Llei 19/2014, del 29 de desembre, de transparència, accés a la informació pública i bon govern (LTC), reconeix a les persones el dret d’accés a la informació pública (article 2.b LTC) i que la informació relativa a l’assistència sanitària també es considera informació pública als efectes de l’LTC. En conseqüència, aquesta informació queda supeditada al dret d’accés a la informació pública, el qual només pot ser denegat o restringit per causes expressament establertes per les lleis.
La peculiaritat d’aquest cas rau en el fet que la traçabilitat dels accessos a la història clínica del reclamant abasta un conjunt d’informació que va més enllà del que es pot entendre com a dades merament identificatives relacionades amb l’organització, el funcionament o l’activitat pública del responsable del tractament. En altres termes, a banda de la informació sobre la identitat, el càrrec, la categoria o els perfils dels professionals de l’entitat que hi hagin accedit, també es demana la data i lloc dels accessos o, si escau, el motiu pel qual s’accedeix a la història clínica. Aquest exercici d’accés ha requerit, per tant, un exercici de ponderació prèvia de l’APDCAT entre l’interès públic en la comunicació de la informació i els drets de les persones afectades.
A efectes de la ponderació, l’APDCAT té present que la finalitat pretesa amb l’exercici del dret d’accés, en aquest cas, respon a la voluntat del mateix titular de la història clínica de comprovar els possibles accessos indeguts per, si fos el cas, contrastar irregularitats de les quals té sospites. Aquesta comprovació li hauria de permetre, si escau, exercir alguna acció o reclamació relacionada amb aquest accés indegut o amb les conseqüències que això hagi pogut tenir pels seus interessos i drets com a pacient.
D’entrada, qualsevol pacient, d’acord amb l’article 2 de la Llei 21/2000¹ i l’article 4 de la Llei 41/2002² que configuren els drets d’informació, ha de poder disposar de tota la informació referida als diferents aspectes que repercuteixen en el seu tractament i a la seva salut.
En aquest sentit, l’APDCAT assenyala que el dret d’informació en la seva vessant àmplia englobaria, entre altres, conèixer quins professionals atenen un pacient i, per extensió, es pot considerar que inclouria conèixer quins professionals han accedit a la història clínica per dur a terme o participar en aquesta atenció, o per realitzar les funcions previstes en la legislació d’autonomia del pacient. A més, s’ha de tenir en compte que les pròpies legislacions reguladores de la història clínica i dels drets del pacient mencionades anteriorment estableixen els límits d’accessos a les històries clíniques dels pacients. Consegüentment, atès que la història clínica és l’instrument principal per a prendre decisions sobre l’assistència que rep el pacient, l’APDCAT descriu com a innegable que el titular de la història clínica, sota el seu propi interès legítim, pugui comprovar si s’han produït accessos indeguts.
D’altra banda, també cal fer menció als articles 5 i 24 del Reglament (UE) 2016/679 General de Protecció de Dades (”RGPD”)³ , ja que obliguen el responsable del tractament a adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades personals tractades, inclosa la protecció contra el tractament no autoritzat o il·lícit. En els mateixos termes, l’article 77 del RGPD reconeix a l’afectat el dret de presentar una reclamació davant l’Autoritat -més enllà de poder emprendre les accions legals que consideri oportunes - quan estimi que s’ha produït un incompliment o una infracció de la normativa de protecció de dades que pot afectar el tractament de les seves dades personals, com seria el cas d’haver-se produït un accés indegut a les dades de la seva història clínica.
Alhora, s’ha fet menció, anteriorment, de l’interès legítim de l’interessat. En aquest context, cal tenir en compte la disposició addicional desena de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels drets digitals (“LOPD”) quan disposa el següent:
"els responsables enumerats en l’article 77.1 d’aquesta llei orgànica podran comunicar les dades personals que els siguin sol·licitades per subjectes de dret privat quan comptin amb el consentiment dels afectats o apreciïn que concorre en els sol·licitants un interès legítim que prevalgui sobre els drets i interessos dels afectats d’acord amb el que estableix l’article 6.1.f) del RGPD."
¹ Llei 21/2000, de 29 de desembre, sobre els drets d’informació concernents a la salut i l’autonomia del pacient, i la documentació clínica.
² Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínic.
³ Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades.
Aquesta disposició preveu una habilitació per a la comunicació segons l’interès legítim de tercers, en aquest cas, del mateix reclamant. En el supòsit que ens ocupa, l’ADPCAT determina aquesta habilitació fonamentada en l’interès legítim, amb l’objectiu de poder contrastar que aquests accessos s’ajusten a les previsions de la legislació estudiada i comprovar les sospites d’irregularitats que el reclamant detalla.
Arribats a aquest punt, únicament cal analitzar si l’accés a la informació pública sol·licitada pot afectar els drets dels professionals de l’entitat que hagin accedit a la història clínica del reclamant. Al final, les dades d’aquests professionals també són dades personals protegides pels principis i garanties de la normativa de protecció de dades. Si bé és cert que els professionals poden fer un cert ús privat dels recursos informàtics o de les eines de treball, segons el que disposin les polítiques d’ús aprovades en les entitats que treballin, aquest ús privat genera en els treballadors una certa expectativa de privacitat. No obstant això, l’APDCAT argumenta que no sembla que un treballador pugui tenir les mateixes expectatives quan utilitza aquestes mateixes eines per accedir a la informació d’un tercer, i menys quan l’accés a aquestes eines té una clara finalitat, com és en aquest cas, la prestació d’assistència sanitària al pacient.
A això cal afegir que, segons l’article 11 de la Llei 21/2000, qualsevol accés a les històries clíniques ha de ser necessàriament gestionat, protocol·litzat i supervisat pel responsable. Per tant, la traçabilitat dels accessos a les històries clíniques resulta una mesura necessària per a assegurar la protecció de la informació que s’hi conté. Ara bé, quin tipus de dades dels professionals s’hauran de comunicar? D’acord amb el principi de minimització de les dades (article 5.1.c) del RGPD), l’APDCAT estima com a dades necessàries per a assolir la finalitat pretesa: la identitat, el càrrec, la categoria o perfil dels professionals i altres dades vinculades a l’accés com ara la data, l’hora, el lloc o el motiu de l’accés. L’APDCAT considera proporcionat que el reclamant conegui aquestes dades perquè pugui clarificar qui ha accedit a la seva història clínica i determinar si es tracta d’accessos indeguts.
En definitiva, l’APDCAT resol la consulta plantejada concloent que qualsevol pacient pot tenir un interès legítim a conèixer quins accessos s’han produït a la seva història clínica com a mecanisme per a donar efectivitat als seus drets d’informació i de reclamació que la legislació sanitària i la normativa en protecció de dades li reconeix. Així mateix, el reclamant ha de poder accedir a determinada informació sobre els accessos a la seva història clínica, per tal de poder corroborar o no les sospites d’accessos indeguts, i constatar possibles irregularitats pel que fa a les mesures que la normativa exigeix al responsable. A partir d’aquí, si escau, podrà emprendre les accions legals pertinents per a la defensa dels seus drets i interessos. Per tot això, i un cop resolta que l’expectativa de privacitat dels professionals assistencials que hagin accedit a la mencionada història clínica no ha quedat vulnerada, d’acord amb el principi de minimització, es donaran les dades mínimes i necessàries dels professionals perquè el reclamant pugui valorar la interposició de les reclamacions i/o accions legals pertinents. Entre aquestes dades, l’APDCAT declara acceptable la comunicació del nom i cognoms del professional, el càrrec, categoria o perfil professional, la data, hora i motiu de l’accés a la història clínica i el centre des d’on s’ha produït.
Per acabar, tot i que l’APDCAT no en fa menció en el seu informe, no es pot oblidar que l’accés il·legítim a la història clínica és una acció que perjudica el pacient i que lesiona el seu dret a la intimitat. Sentències recents del Tribunal Suprem, com ara la del 17 de març de 2021, núm. 2463/2021 confirmen que l’accés indegut a dades de salut de la història clínica és un delicte de descobriment de secrets, tipificat en l’article 197.2 del Codi Penal espanyol. Sobre això, el jutge dictamina aquesta decisió perquè l’acusada no tenia autorització per accedir a aquestes dades, va fer ús d’un programa informàtic i es va aprofitar de la seva professió per aconseguir aquest accés.
A més a més, aquest tipus de delicte és de caràcter semipúblic i, per tant, pot ser perseguit penalment per la fiscalia, l’acusació popular, però també per l’acusació particular. És per això que també és altament rellevant que es proporcioni tota la informació necessària a l’interessat, perquè, en cas que hi hagi hagut algun accés il·legítim, pugui adoptar les accions pertinents.