La pregunta formulada al títol d’aquest article s’ha plantejat moltes vegades en l’àmbit de la història clínica. Durant molt temps aquesta qüestió ha generat dubtes, però a hores d’ara sembla que la resposta a la pregunta ha de ser clarament afirmativa. I això, sobre la base d'uns pronunciaments recents, tant per part de l’Autoritat Catalana de Protecció de Dades (APDCAT) com de la Comissió de Garantia del Dret d’Accés a la Informació Pública (GAIP).
D’entrada podria semblar que el dret d’accés “a les meves dades”, regulat a l’article 15 del Reglament general de protecció de dades (RGPD), hauria de permetre que les persones físiques poguessin conèixer els accessos que s’han produït a la seva història clínica. Però tradicionalment l’APDCAT no ho ha considerat així.
En efecte, és un criteri consolidat de l’APDCAT considerar que el dret d’accés reconegut per la normativa de protecció de dades no inclou el dret a saber la identitat dels empleats d’un centre sanitari que accedeixen a les dades personals incloses a la història clínica dels pacients.
Aquest dret d’accés “a les meves dades” avui està regulat a l’article 15.1 del RGPD, en el qual es reconeix a totes les persones físiques, com a element essencial del dret fonamental a la protecció de dades personals, el dret a obtenir del responsable del tractament confirmació de si es tracten o no dades personals seves. En cas afirmatiu, la persona té dret a accedir a les dades que són objecte de tractament, i també a un seguit d’informació, com ara la relativa als destinataris de les dades. Aquest dret d’accés té la finalitat de garantir a tota persona física un poder de control sobre les seves dades personals, tal com explicava en un apunt precedent, en què diferenciava aquest dret dels altres drets d’accés.
Com he avançat, entre el conjunt d’informació personal a la qual podem accedir consta la relativa als “destinataris” als qui s’han comunicat les nostres dades personals (art. 15.1.c del RGPD). Però els empleats d’una organització, és a dir, les persones que formen part del subjecte responsable del tractament, no tindrien la consideració de destinataris, de manera que els eventuals accessos duts a terme per aquestes persones no encaixarien en el concepte de “comunicació de dades”.
Per això l’APDCAT ha considerat que, en fer efectiu el dret d’accés regulat per la normativa de protecció de dades, no pertoca incloure la informació sobre els accessos efectuats pel personal del responsable del tractament. En definitiva, la via del dret d’accés “a les meves dades” no permetria conèixer la identitat dels usuaris de l’organització que han accedit “a la meva informació personal”, cosa que impediria conèixer per aquesta via els eventuals accessos duts a terme “a la meva història clínica”.
Aquesta qüestió s’ha plantejat en una reclamació presentada davant la GAIP (reclamació 57/2022). La persona reclamant havia sol·licitat inicialment davant l’Institut Català de la Salut (ICS) un informe sobre els accessos efectuats a la seva història clínica per part del personal del seu centre d’atenció primària, i en concret volia “saber les persones que han consultat la meva història clínica en els darrers dos anys”. A tal efecte invocava el dret d’accés regulat per la normativa de protecció de dades, i en no obtenir aquesta informació concreta va acudir a la GAIP. En el marc de la reclamació tramitada per la GAIP, l’ICS va demanar-ne la inadmissió perquè va considerar que l’assumpte l’havia de resoldre l’APDCAT, atesos els termes en què s’havia plantejat. I, per al cas que la GAIP entrés en el fons de l’assumpte, l’ICS es referia al criteri consolidat de l’APDCAT conformement el dret d’accés a les dades pròpies no permetia conèixer la identitat dels professionals sanitaris que haguessin accedit a la història clínica de la persona titular de les dades.
En el mateix procediment la GAIP va sol·licitar informe a l’APDCAT, i aquesta institució es va pronunciar (IAI 5/2022) en el sentit de reiterar, novament, que la informació relativa als accessos fets pel personal del responsable del tractament no tindrien la consideració de comunicació de dades, en no tenir la condició de destinataris de les dades. En conseqüència, l’APDCAT va concloure que el dret d’accés regulat per la normativa de protecció de dades no emparava el dret a conèixer la identitat dels empleats que havien accedit a la història clínica.
Però, a continuació, l’APDCAT va entrar a analitzar si la pretensió de la persona reclamant es podria vehicular per la legislació de transparència, en virtut del dret d’accés a la informació pública. En efecte, convé invocar en aquest punt el que disposa la disposició addicional primera, apartat 2, de la Llei 19/2014, que assenyala que, si es pretén accedir a una informació que té una regulació especial, cal acudir-hi. Però des del moment en què l’APDCAT nega que el dret d’accés de l’article 15 del RGPD empari l’accés a la informació sol·licitada, pertoca retornar a la legislació de transparència.
Des d’aquesta perspectiva, l’APDCAT parteix de la premissa que la informació sobre la traçabilitat dels accessos a la història clínica encaixaria en el concepte d’informació pública establert a la normativa de transparència, és a dir, qualsevol informació en poder dels subjectes obligats per tal normativa, com seria l’ICS. Atès que en la informació sol·licitada concorre el límit relatiu a dades personals de tercers, concretament de les establertes a l’article 24.2 de la Llei 19/2014, l’APDCAT fa una ponderació entre l’interès públic en la divulgació i els drets de les persones afectades i, a resultes de tal ponderació, conclou que hauria de prevaldre el dret d’accés. Més endavant, en el Dictamen CNS 10/2022, de 21 d’abril, l’APDCAT ha arribat a la mateixa conclusió, i afegeix que, en la ponderació a fer davant la concurrència de límits al dret d’accés, es poden tenir en compte també interessos privats superiors que justifiquin l’accés (art. 22.1 de la Llei 19/2014).
En la ponderació que fa l’APDCAT en els dos pronunciaments esmentats destaca, entre altres circumstàncies, que la persona sol·licitant manifestava tenir sospites de possibles accessos indeguts a la seva història clínica, cosa que li permetria exercir alguna acció, en cas que es confirmés. També es té en compte el dret d’informació regulat a la legislació de l’autonomia del pacient (Llei catalana 21/2000 i Llei estatal 41/2002), configurat en termes molt amplis. Pel que fa als drets de les persones afectades, és a dir els treballadors que haurien accedit a la història clínica, l’APDCAT subratlla que tals accessos els ha de supervisar el responsable del tractament, de manera que l’expectativa de privacitat hauria de ser baixa. Per això, conclou l’APDCAT que el dret a la protecció de dades d’aquests empleats no justificaria la denegació de l’accés reclamat, sens perjudici d’aplicar el principi de minimització (art. 5.1.c del RGPD) i facilitar només les dades estrictament necessàries, com seria el nom i cognom, categoria o perfil professional, així com la data, lloc i hora, lloc i motiu de l’accés.
La resolució de la GAIP 265/2022, de 31 de març, va estimar la reclamació 57/2022, i es va fonamentar en les consideracions de l’APDCAT. En primer lloc, la GAIP subratllava el criteri de l’APDCAT en el sentit que la regulació del dret d’accés a la normativa de protecció de dades no permetia accedir a la informació pretesa, de manera que pertocava resoldre la reclamació sobre la base de la legislació de transparència. A partir d’aquí destacava que l’accés a dades de salut per part de la persona titular d’aquestes dades no permet aplicar el límit de l’article 23 de la Llei 19/2014, referit a dades de salut de persones diferents a la sol·licitant. Sí que resultaria aplicable el límit de les dades personals compreses a l’article 24.2 de la Llei 19/2014, pel que fa al personal de l’ICS. Per tant, es requereix una ponderació entre el dret d’accés i els drets del personal de l’ICS i, en aquest punt, la GAIP assumeix plenament les consideracions de l’APDCAT, perquè entén que “mereix una major protecció el dret de la persona reclamant a conèixer la identitat de les persones que han accedit a la seva història clínica, i així poder conèixer si s’han produït accessos inadequats o improcedents a les seves dades de salut, que el dret de les persones que han accedit a la història clínica de la persona reclamant”, ja que en aquest cas “el perjudici que els pot causar l’accés sol·licitat es projecta únicament al seguiment de la seva activitat professional”. Això sí, tal com havia apuntat l’APDCAT, la GAIP confirma que cal donar el tràmit d’audiència a aquestes persones, de conformitat amb l’article 31.1 de la Llei 19/2014. A aquest respecte, la GAIP ressalta la impossibilitat de dur a terme aquest tràmit, per la manca de col·laboració de l’ICS, i per això dicta la resolució estimatòria, sens perjudici del que resulti de l’audiència a les terceres persones afectades que encomana a l’ICS en la fase d’execució de la resolució.
En definitiva, davant l’eventual sospita que s’ha produït algun accés indegut a la nostra història clínica, podríem conèixer la identitat de les persones treballadores del centre sanitari que han accedit a les nostres dades, sobre base de la legislació de transparència. I, com alternativa a la via de la transparència, sembla que també podríem obtenir la mateixa informació en virtut de la disposició addicional desena de la LOPDGDD, la qual, tal com explicava en un apunt precedent, habilita les entitats del sector públic a comunicar dades personals de tercers, si en la persona que sol·licita les dades s'aprecia un interès legítim que prevalgui sobre els drets i interessos dels tercers afectats. En el cas plantejat, sembla evident que la persona que pretén conèixer la identitat dels treballadors que han accedit a la seva història clínica té un interès legítim, que preval sobre els drets i interessos d'aquests treballadors. Ara bé, en la mesura que tal informació es podria obtenir a l'empara de la legislació de transparència o de la disposició addicional desena de la LOPDGDD, només seria possible respecte dels centres sanitaris públics o privats proveïdors de serveis públics. Per contra, els centres sanitaris privats no proveïdors de serveis públics no estarien obligats a facilitar aquesta informació, ja que no estan sotmesos al dret d’accés a la informació pública, ni al que disposa la disposició addicional desena de la LOPDGDD.
Relacionat amb l’anterior, i a mode d'apunt final, la conclusió que podem saber la identitat dels qui han accedit a la nostra història clínica si sospitem d’irregularitats, seria extrapolable, amb caràcter general, a qualsevol altre sistema d’informació d’entitats del sector públic que contingui dades personals i que tingui implementat un registre d’accessos, sens perjudici de les singularitats establertes a la normativa sectorial que fos aplicable.