La societat és cada vegada més conscient de la rellevància de protegir les seves dades personals i, en l’àmbit de les dades de salut, del fet que en poden mantenir l'accés limitat únicament a les persones que estrictament les han de tractar per un motiu legalment previst. L’accés més comú a la història clínica d’un pacient té lloc quan un professional de l’entorn d’un centre mèdic l’ha de consultar per algun motiu relacionat amb les seves funcions. Ara bé, sovint es denuncia aquest fet perquè el pacient considera que la persona que hi ha accedit no estava autoritzada a fer-ho. En aquest context, esdevé interessant tractar diversos casos en què es dona aquesta situació amb l’objectiu d'analitzar si l’accés té lloc de manera legítima.
En primer lloc, cal destacar que les dades de salut estan classificades jurídicament com dades de categoria especial i això implica una protecció més acurada i un règim jurídic restrictiu pel que fa a l'ús. L’article 9.1 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD), estableix que queden prohibits els tractaments de les dades de salut, entre d'altres; és a dir, parteix d’una prohibició general del tractament d’aquest tipus de dades, definides pel Reglament com dades “relatives a la salut física o mental d'una persona física, incloent-hi la prestació de serveis d'atenció sanitària, que revelen informació sobre el seu estat de salut”. En segon lloc, cal tenir en compte l’apartat 2 del mateix precepte, que disposa una sèrie de circumstàncies taxades en què, de manera excepcional, es pot accedir a aquestes dades i tractar-les.
Doncs bé, en el supòsit objecte d’anàlisi, és a dir, perquè sigui legítim l’accés a la història clínica del pacient que assisteix a un centre mèdic per visitar-se per un professional, s’ha de donar una de les condicions de licitud de l’article 6 del RGPD en relació amb l’article 9.2.h, que disposa que el tractament és necessari per fer un diagnòstic mèdic, prestar assistència o tractament de tipus sanitari o gestionar els sistemes i serveis d’assistència sanitària, sempre que siguin establerts pel dret de la Unió o dels estats membres, o per un contracte amb un professional sanitari.
A banda d’aquests supòsits, els professionals dels centres mèdics només poden accedir a les històries clíniques dels pacients quan disposin del consentiment explícit d’aquests i, en tot cas, el personal que hi accedeix és subjecte al deure de guardar-ne el secret.
La configuració jurídica del RGPD ens porta a la conclusió que la intenció del legislador és posicionar les dades de salut en el súmmum de les dades protegides, atès que ens trobem davant d’un dret fonamental regulat a l’article 18 de la Constitució espanyola (CE) amb una protecció jurídica de grau màxim. A més, el legislador deixa la porta oberta als estats membres a introduir-hi condicions addicionals de tractament (art. 9.4 del RGPD).
El dret intern que estableix els casos taxats de l’article 9.2.h del RGPD són la Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica i, en l’àmbit de Catalunya, la Llei 21/2000, del 29 de desembre, sobre els drets d’informació concernent a la salut i l’autonomia del pacient, i la documentació clínica.
Aquestes dues lleis (art. 16 i 11, respectivament) disposen que la història clínica és el conjunt de documents que contenen les dades, les valoracions i les informacions de qualsevol índole sobre la situació i l’evolució clínica d’un pacient al llarg del procés assistencial. Quant als casos en què els professionals dels centres mèdics poden dur a terme accessos a la història clínica, estableixen el següent:
- Primer, els metges poden accedir-hi per efectuar el diagnòstic o el tractament, amb l’únic requisit que es tracti d’una qüestió assistencial; és a dir, el metge pot accedir a les històries clíniques dels seus pacients sempre que el procés de tractament es mantingui actiu, atès que, com assenyala la Llei, la història clínica és un instrument fonamental per a l’assistència adequada del pacient.
- Segon, el personal infermer o auxiliar mèdic, com a personal assistencial, també pot accedir a la història clínica si ha d’assistir el pacient.
- Tercer, el personal administratiu (art. 16.4 de la Llei 41/2002) i sanitari (art. 16.5 de la Llei 41/2002) pot accedir a la història clínica per fer les tasques que tenen encarregades dins del sistema sanitari.
En definitiva, la diferència entre els accessos efectuats pel personal assistencial i els de la resta de personal és, en essència, que el metge i l’equip mèdic que intervé poden accedir de manera reiterada en tant que tenen una tasca continuada en el temps consistent a assistir el pacient, mentre que la resta de personal fa funcions específiques que, per definició, són puntuals i requereixen un motiu específic, que s’ha de fer constar.
Una qüestió diferent és quan entra en joc el consentiment de la persona (art. 6.1.a del RGPD). En aquests casos, ha de ser explícit, és a dir, ha de ser atorgat de manera expressa per a una finalitat concreta. A més, la normativa permet que sigui un consentiment verbal, si bé ha de ser demostrable pel responsable del tractament (art. 7 del RGPD), amb la qual cosa és una realitat que el fet que sigui verbal és una dificultat afegida a l’hora d’acreditar-lo (Resolució del PS 49/2024 de l’APDCAT). El consentiment verbal és molt freqüent quan el professional del centre mèdic té una relació de parentiu (o una relació d’amistat) amb el pacient i, sense que quedi cap prova que el consentiment es va atorgar, el professional accedeix a la seva història clínica. Aquest supòsit no es pot encabir en cap dels supòsits d’accessos previstos per la normativa, per tant, en cas de conflicte, la falta de prova per part del responsable del tractament comportaria que l’accés és il·legítim. La regulació exigeix que el consentiment sigui explícit i demostrable, hi ha d'haver una seguretat adequada de les dades i, en especial, la protecció contra els tractaments no autoritzats, i la càrrega de la prova correspon al responsable del tractament.
També es pot donar el cas que el personal administratiu accedeixi a la història clínica d’un pacient i no quedi constància del motiu de l’accés. Això també podria comportar un problema per al responsable del tractament, ja que, com s’ha vist, la Llei 41/2002 exigeix que hi hagi un motiu específic i que en quedi constància a la història clínica. Davant la falta de justificació, s’ha de considerar indegut atès que, en cas de conflicte, un cop més, s’ha de tenir en compte que la normativa exigeix que la raó de l’accés estigui justificada. El requisit de justificar l’accés sovint ha comportat que els centres mèdics manifestin que es tracta d’una gestió administrativa o de manteniment i actualització del sistema, si bé aquests motius no es poden considerar vàlids sense més, atès que ens faria caure en la fal·làcia de justificar qualsevol accés efectuat pel personal administratiu o sanitari.
Cal tenir en compte que la responsabilitat per tots els accessos considerats injustificats recau sobre el responsable de tractament, atès que així està configurat per la normativa de protecció de dades. Així, malgrat que el fet sigui atribuïble materialment al professional que presta els seus serveis de manera aliena, el sistema de responsabilitat establerts al RGPD i a la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), fa recaure la responsabilitat per les infraccions a la normativa sobre els responsables i els encarregats del tractament, i no sobre el seu personal (art. 70 de la LOPDGDD), sens perjudici de la responsabilitat disciplinària que els pugui correspondre (Resolució del PS 49/2024 de l’APDCAT).
En aquest punt, podem afirmar que treballar en un centre mèdic no autoritza el professional a accedir a qualsevol història clínica de les persones assistides al centre. També que, davant de la manca de prova de la licitud de l’accés per part del responsable del tractament, l’accés s’ha de considerar il·legítim. Cal tenir en compte que si el pacient presenta una denúncia davant d'una autoritat de control implica descartar-ne el consentiment i que el responsable té el deure de demostrar la base jurídica que legitimi l’accés. A més, en els casos en què no ha quedat constatat el motiu de l’accés, l’afectat pot reconèixer-lo com a lícit manifestant que va donar el seu consentiment. Ara bé, no sempre que un accés és desconegut o no reconegut pel titular de la història clínica comporta que sigui un accés indegut (Resolució del PS 88/2022 de l’APDCAT); per exemple, quan el responsable demostra que l’accés deriva d’una petició de traçabilitat del pacient mateix, o quan es presenta una queixa, per donar-hi resposta (Resolució d’arxivament de la IP 332/2021 de l’APDCAT).
Cal destacar que les mesures implementades pels responsables del tractament (normes internes, formacions, instruccions, circulars, etc.) per tal que el seu personal respecti la normativa, són clau per promoure actuacions respectuoses amb la normativa de protecció de dades. Però, per evitar la comissió d’infraccions i d’errors humans, és molt important disposar d’un sistema que tingui en compte l’accés en funció dels perfils professionals sanitaris i els motius dels accessos com a condicions prèvies per accedir-hi.
Per últim, s'ha de ser conscient que en el supòsit analitzat cal conjugar el dret a la salut (art. 43 de la CE) amb el dret fonamental a la protecció de dades (art. 18 de la CE). En aquest context, no podem oblidar que la tasca que fan els professionals sanitaris és vetllar per la salut de les persones, extrem que crec que hem de tenir present en tot moment a l’hora d’analitzar la legitimació dels accessos.
