¿Puede el derecho de acceso a la historia clínica suponer, también, acceder a los datos de los profesionales que han accedido a la misma?
El Consejo de Transparencia y Protección de Datos de Andalucía se ha pronunciado sobre la procedencia de facilitar al paciente información relativa a la identidad de los profesionales sanitarios que hayan materializado el acceso a su historia clínica, cuando ejercita su derecho de acceso, reconocido en el Reglamento General de Protección de Datos (RGPD).
En su análisis, el Consejo parte de la base de que el derecho de acceso a la información contenida a la historia clínica está regulado en la Ley 41/2002, que no incluye que se pueda "conocer los datos identificativos de los profesionales asistenciales que hubieran accedido a este archivo”.
La pregunta en este punto sería: ¿lo permite el RGPD cuando regula el derecho de acceso desde un punto de vista de protección de datos?
Para dar respuesta a la cuestión, el Consejo se refiere a la Sentencia de 22 de junio de 2023, del Tribunal de Justicia de la Unión Europea, en el asunto C-579/21 y que tiene origen en un procedimiento iniciado por un particular que pretendía conocer, a partir del ejercicio del derecho de acceso, los datos de consulta de sus datos desde su entidad bancaria.
El TJUE, en esta sentencia, concluyó en las siguientes interpretaciones del derecho de acceso:
- Tanto el concepto de “información” como el concepto de “tratamiento” en el RGPD y, en concreto, en la regulación del derecho de acceso, deben ser interpretados de forma amplia, abarcando “todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean “sobre la persona en cuestión””.
- Consecuencia de lo anterior, se entiende que el derecho de acceso reconoce al interesado la facultad de recabar un “amplio alcance de información” sobre el tratamiento de sus datos personales. Teniendo en cuenta que el derecho de acceso tiene por objeto, de entrada, permitir al interesado conocer y verificar la licitud del tratamiento, limitar su ejercicio significa limitar la posibilidad del interesado de valorar la licitud del tratamiento de sus datos y, en consecuencia, la posibilidad de ejercer las prerrogativas previstas en la normativa.
- El derecho de acceso incluye la información de los destinatarios de la información personal, si bien los empleados del responsable del tratamiento (en este caso, el personal sanitario) no puede ser considerado como “destinatarios” en aplicación de los conceptos del RGPD. No obstante, podría constituir información que le permitiría verificar la licitud del tratamiento de que fueron objeto sus datos y, en particular, asegurarse de que las operaciones de tratamiento se han realizado efectivamente bajo la autoridad del responsable del tratamiento y de conformidad con sus instrucciones.
- En caso de conflicto entre, por un lado, el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y, por otro, los derechos y libertades de otros, procede efectuar una ponderación entre los derechos y libertades en cuestión.
Tras las anteriores consideraciones, el TJUE finaliza considerando que: el derecho de acceso “no consagra en principio el derecho a que el paciente pueda obtener del responsable del tratamiento de su historia clínica la información relativa a la identidad de los profesionales asistenciales que llevaron a cabo operaciones de consulta de dicho historial, a menos que esa información sea indispensable para permitir al paciente el ejercicio efectivo de los derechos que le confiere el RGPD y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de quienes efectuaron las referidas consultas.” Por ejemplo, podría prevalecer el derecho de acceso en los casos de sospecha de acceso a la historia clínica por parte de personal no autorizado o para finalidades ilícitas en aplicación de los principios de protección de datos.