LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 04:12:14

LegalToday

Por y para profesionales del Derecho

¿Sabías que puedes denunciar y reclamar indemnización a la Administración Pública por accesos ilícitos a tu historia clínica?

Socia en Umbra Abogados
Delegada de Protección de Datos Certificada

Los hospitales públicos continúan realizando un recorrido lento en el ámbito de la protección de datos personales, lo que da lugar a incidentes que afectan la privacidad de los pacientes. Los casos más comunes de vulneración de la privacidad en el ámbito de la salud pública están asociados con los accesos ilícitos a historiales clínicos realizados por los propios profesionales. El carácter ilícito viene generalmente dado por los fines para los que se visualiza o utiliza la información, en especial cuando éstos no están relacionados con la atención médica al paciente.

Historia clínica

El personal autorizado para acceder a la información clínica de pacientes no puede hacerlo en cualquier momento ni para cualquier finalidad. Esta autorización está limitada a aquellos accesos verdaderamente necesarios para los fines autorizados, como pueden ser la necesidad de prestar servicios médicos a los pacientes o la investigación biomédica cuando se cumplen los requisitos legales para su legitimidad. Los accesos a datos de salud de pacientes por parte del personal autorizado para fines propios pueden acarrear responsabilidades para la entidad y para el propio profesional.

Casos recientes como el del acceso de un médico al historial clínico de sus compañeros por curiosidad, o el acceso de una enfermera a datos de salud de su vecina para divulgar la información en el barrio, han terminado con sanciones de la Agencia de Protección de Datos, y perjuicios económicos para el Hospital por la indeminización solicitada por los afectados. Ello sin hablar de las consecuencias penales que pueden recaer directamente sobre los autores, que incluyen las penas de cárcel.

Los pacientes tienen derecho a ser informados sobre la trazabilidad de accesos que se han realizado a su historia clínica y, por tanto, pueden solicitar a los centros de salud y hospitales esta información cuando lo consideren necesario, especialmente cuando tengan indicios de una posible vulneración de su privacidad. Si de la trazabilidad de accesos se detecta que se han producido accesos desde centros, consultas o especialidades a las que nunca ha acudido, puede solicitar que se justifiquen estos accesos que resulten "raros". Es posible que, si no se ha informado previamente ni solicitado el consentimiento relacionado con los accesos raros, éstos puedan ser ilícitos.

Si se constata el carácter ilícito de los accesos, el paciente puede presentar una denuncia ante la Agencia Española de Protección de Datos, que si bien no lleva aparejada sanción económica cuando se trata de administraciones públicas, si puede corregir la infracción, iniciar actuaciones disciplinarias y amonestaciones a directivos y responsables por su actuación. Además, si se conoce la identificación del profesional que accedió ilícitamente a los datos de salud, podría interponerse una denuncia en la vía penal por comisión del delito de revelación de secretos, que conllevaría penas de multa y hasta cárcel para el autor. A través de estas vías de denuncia el paciente, si bien no obtiene resarcimiento económico, puede ver compensada su afectación en el carácter punitivo de las sanciones.

De igual forma, el paciente tiene derecho a interponer una reclamación de indemnización por responsabilidad patrimonial contra la administración pública que haya vulnerado su privacidad. Esta vía sí permite al paciente obtener una indemnización económica, que no persigue ser una sanción por un comportamiento inadecuado para la administración pública, sino que constituye un mecanismo objetivo de reparación de la lesión moral causada. Además, cuando se trate de accesos ilícitos con posterior divulgación a terceros, el daño moral será generalmente superior, por lo que la cuantía que se reclame también podría ser superior.

La abundante Jurisprudencia del Tribunal Supremo en esta materia ha establecido requisitos para poder declarar la responsabilidad patrimonial de una administración pública. En primer lugar, que no haya transcurrido el plazo de un año desde que el perjudicado pudo ejercitar la acción. En segundo lugar, que exista una lesión sufrida por el particular en sus bienes o derechos que no tenga obligación de soportar. Recordemos que existe lesión en el mero acceso ilícito, pero está lesión causará mayor daño moral en la medida en la que exista un uso posterior o divulgación de la información obtenida. En tercer lugar, que haya existido un funcionamiento normal o anormal del servicio público, entendido como toda actuación ejercida incluso por omisión o pasividad. Por último, que exista una relación de causa-efecto entre el funcionamiento del servicio y la lesión, sin que concurra fuerza mayor.

Todo paciente espera de los servicios públicos de salud que se cumplan los estándares legales de protección a su privacidad regulados por el Reglamento General de Protección de Datos, la Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, la ley 41/2002 reguladora de la Autonomía del Paciente, y resto de normativas aplicables. En caso de que estos estándares de seguridad no se apliquen, o fallen en su funcionamiento, los pacientes pueden ver compensados los posibles daños morales y la afectación psicológica que resulte de este mal funcionamiento de la administración pública a través de la reclamación de indemnización por responsabilidad patrimonial. A menudo estos mecanismos de compensación de daños suelen ser desconocidos para el ámbito de la privacidad, lo que provoca que los afectados soporten daños sin compensación alguna.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.