Según el artículo 14.1 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia informática y documentación clínica (en adelante, LAP), «la historia clínica comprende el conjunto de documentos relativos a los procesos asistenciales de cada paciente». En la historia clínica se incorpora toda la información para conocer estado de salud de los pacientes y para garantizar una asistencia adecuada.
En la historia clínica se incorporan datos de carácter personal relativos a la salud. Así, estos documentos se convierten en información sensible para la que debe aplicarse un nivel de protección especial.
Actualmente, los datos relativos a la historia clínica se están dejando de tratar en formato papel, para tratarse en soporte electrónico. Estos sistemas de información ofrecen grandes ventajas en el sistema sanitario, como una atención más ágil y segura para los pacientes. Es por ello por lo que en estos sistemas debe haber un encargado de custodiar la historia clínica de los pacientes, con la obligación de preservar el contenido de esta. Para salvaguardarla, se deben aplicar una serie de controles de seguridad.
Según el artículo 7.1 de la Ley 41/2002, de 14 de noviembre, (LAP) «toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley»
Es por ello por lo que, de acuerdo con la legislación vigente, solo puede acceder a la historia clínica el personal directamente implicado en la atención sanitaria de los pacientes o el personal de administración y gestión de los centros sanitarios. Más aún, el personal solo puede acceder a los datos relacionados con sus propias funciones.
Hay múltiples normas que ponen de manifiesto la importancia que tiene la protección de la intimidad y datos personales, especialmente sensibles y relevantes en el ámbito de la salud. La violación del deber de secreto o de la intimidad puede conllevar penas de prisión e inhabilitación.
Acceder sin justificación a la historia clínica es un delito que conlleva sanciones penales: penas de prisión de uno a cuatro años, multas e inhabilitación.
Para preservar la protección de la intimidad de los pacientes, el Servicio de Salud tiene la obligación
de mantener un registro de los accesos efectuados a los datos relativos a la Historia Clínica de pacientes por medio de los sistemas que gestionen los datos relativos a su salud, y velar que dichos accesos se hagan al amparo de la ley. Con estos registros, debe llevar a cabo auditorías y aplicar una serie de controles para detectar accesos indebidos a los datos.
Son numerosas las condenas por accesos indebidos a las historias clínicas, por lo que los profesionales sanitarios deben ser conscientes de la gravedad de esas actuaciones. A continuación, se presenta una serie de sentencias relativas a accesos indebidos a historias clínicas:
- Sentencia núm. 5/2015 de 28 enero: acceso informático no consentido, por parte de un médico, al historial clínico de su expareja y al de sus familiares.
- Sentencia núm. 20/2015 de 16 febrero: acceso sin autorización, por parte de un médico, a las bases de datos del Servicio de Salud, para consultar las historias clínicas de sus compañeros y descubrir datos reservados de especial relieve en cuanto a la salud de estas personas.
- Sentencia núm. 532/2015 de 23 de septiembre: acceso, por parte de un médico, a la base de datos del Servicio de Salud de las Islas Baleares para consultar historias clínicas de compañeros.
- Sentencia núm. 372/2016 de 5 diciembre: acceso en repetidas ocasiones, por parte de una enfermera, a la historia clínica de su hijo y a la de la pareja de este, bajo el pretexto de proteger a los hijos menores de los perjudicados, puesto que sospechaba de adicciones a drogas por parte de ambos. No resultó acreditado que la acusada hubiera trasladado la información a terceros o hubiera hecho uso de la misma de cualquier otra manera.
- Sentencia núm.312/2019 de 17 de junio: acceso, por parte de un médico a la base de datos a la que estaba autorizado para consultar un parte de lesiones de su esposa, de la que estaba separado. Lo conocía previamente al haber sido aportado a un proceso judicial. El acusado accedió a una radiografía que había él mismo prescrito, con el fin de preparar el juicio oral por las lesiones causadas a la perjudicada.
- Sentencia núm. 392/2020 de 15 de julio: acceso, por parte de un médico a la historia clínica de un paciente sin su conocimiento ni consentimiento y sin que existiera razón asistencial, para conocer su estado de salud y, en concreto, la existencia o no de una parte de baja por incapacidad temporal laboral.
Decálogo de protección de datos para personal sanitario y administrativo
La Agencia Española de Protección de Datos dio a conocer un decálogo de protección de datos para personal sanitario y administrativo:
- Trata los datos de los pacientes como querrías que tratasen los tuyos.
- ¿Estás seguro de que tienes que acceder a esa historia clínica? Piénsalo. Solo debes acceder si es necesario para los fines de tu trabajo.
- Recuerda: tus accesos a la documentación clínica quedan registrados en el sistema. Se sabe en qué momento y a qué información has accedido. Los accesos son auditados posteriormente.
- Evita informar a terceros sobre la salud de tus pacientes, salvo que estos lo hayan consentido o tengas una justificación lícita.
- Cuando salgas del despacho, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu clave y contraseña; si necesitas un acceso urgente, contacta con el departamento de informática.
- No envíes información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica de comunicación electrónica; si fuera imprescindible, no olvides cifrar los datos.
- No tires documentos con datos personales a la papelera; destrúyelos tú mismo o sigue el procedimiento implantado en tu centro.
- Cuando termines de pasar consulta, cierra con llave los armarios o archivadores que contengan documentación clínica.
- No dejes las historias clínicas a la vista sin supervisión.
- No crees por tu propia cuenta ficheros con datos personales de pacientes; consulta siempre antes con el departamento de informática.
Es por ello que es muy importante recordar que se debe hacer un buen uso de la historia clínica y acceder, únicamente, a aquella información necesaria para llevar a cabo el ejercicio de las funciones laborables.