El Consejo de Transparencia y Protección de Datos de Andalucía ha dictaminado que la información de la identidad de los profesionales sanitarios que acceden a la historia clínica no se incluye en el derecho de acceso en materia de protección de datos, salvo que este acceso sea “imprescindible” para que el interesado pueda ejercer sus derechos. Éste es el resultado de una consultada planteada por un particular que preguntaba por el derecho a acceder a esta información cuando esos accesos a la historia clínica “generaban dudas sobre su legitimidad”.
La autoridad de control señala que el artículo 15 del Reglamento General de Protección de Datos (RGPD) establece el derecho de acceso a los datos personales, indicando que comprende información como “los fines del tratamiento y los destinatarios de los datos”. Si bien, la información sobre quién ha accedido a una historia clínica “no se encuentra entre el contenido mínimo exigido por la Ley de autonomía del paciente” y, por tanto, no forma parte del régimen especial de acceso.
En este sentido, el Consejo hace referencia a un reciente fallo del Tribunal de Justicia de la Unión Europea (TJUE) que determina “la posibilidad de conocer las fechas y finalidades de las consultas de la historia clínica” como parte del derecho de acceso, pero “no necesariamente la identidad de los profesionales que las realizaron”.
Compartiendo juicio con el órgano de control andaluz, el Tribunal precisa que esta identidad sólo debe revelarse si es “esencial” para que el paciente pueda ejercer los derechos que le confiere el RGPD, y siempre considerando los derechos y libertades de los trabajadores sanitarios afectados.
A este respecto y cuando exista conflicto entre el derecho de acceso y la privacidad del personal sanitario, será necesario buscar soluciones que protejan ambas partes. Ejemplo de ello podría ser el hecho de proporcionar información suficiente para verificar la licitud del tratamiento sin revelar la identidad del personal.
Los responsables del tratamiento deben garantizar un equilibrio de derechos, implementando procesos que permitan a ambas partes expresar su opinión, pudiendo realizar las alegaciones o aportar la documentación que estimen oportuno. Además, tendrán que disponer de medidas para garantizar que la privacidad del personal sanitario se mantenga, a menos que sea imprescindible divulgar su identidad para resolver cuestiones legítimas planteadas por los pacientes.
Recomendaciones
El Consejo recomienda que el personal sanitario esté informado sobre cómo su identidad puede ser comunicada a los pacientes en el marco del ejercicio de sus derechos de acceso. Además, se debe recordar a los pacientes que, al recibir datos personales del personal sanitario, se convierten en responsables del tratamiento de estos datos y están sujetos a la normativa de protección de datos.
De igual forma, la autoridad andaluza subraya la importancia del principio de minimización de datos, de manera que incluso en casos donde sea necesario revelar la identidad de quién ha accedido a la historia clínica, “no se deben proporcionar más datos de lo estrictamente necesario”, como pueden ser el número de DNI o datos de contacto del personal sanitario.
Acceso al dictamen.