El dret a saber qui consulta la historia clínica. És l’hora de legislar?
Roc Mas Vélez
Delegat de Protecció de Dades de l’Hospital del Mar
El passat 30 de juliol l’Autoritat Catalana de Protecció de Dades (APDCAT) i la Comissió de Garantia del Dret d’Accés a la Informació Pública (GAIP) van aprovar, conjuntament, els criteris interpretatius sobre l’aplicació de les normes reguladores i la tramitació de les reclamacions d’accés de les persones a la traçabilitat de la seva història clínica.
Aquesta qüestió ha viscut una evolució interpretativa força curiosa. El criteri de l’APDCAT era que l’accés al registre d’accessos, és a dir, l’accés a la informació sobre qui havia accedit a la història clínica, queda fora de l’abast del dret d’accés previst a la normativa de protecció de dades. Aquesta postura es fa palesa en diversos dictàmens sobre la matèria emesos per aquesta Autoritat. Dins d’aquesta línia cal destacar que el Codi de Conducta per al tractament de dades en l’àmbit sanitari, aprovat per l’APDCAT a finals de l’any 2020, recull, respecte d’aquesta qüestió, que l’accés al registre d’accessos es limitarà als perfils dels professionals que hagin accedit a la història clínica, la data i hora de l’accés i la informació consultada. També es preveia la comunicació de la identitat d’aquelles persones de qui l’accés s’hagués considerat indegut per part del centre sanitari.
Aquest criteri de l’APDCAT configurava un règim general en què se salvaguarda el dret dels professionals a la protecció de les seves dades, alhora que reconeix el possible interès legítim de les persones usuàries dels serveis sanitaris a conèixer la identitat d’aquells professionals que hagin accedit a la seva informació de salut de manera il·legítima, de manera que disposin de la informació necessària per tal de poder exercir les accions que considerin oportunes per defensar els seus drets.
Posteriorment, la mateixa APDCAT va tenir oportunitat de pronunciar-se novament sobre la qüestió en diversos dictàmens, incorporant a la seva doctrina la possibilitat de conèixer la identitat de les persones que havien accedit a la història clínica a l’empara de la Llei de Transparència i Accés a la Informació Pública. El posicionament de l’Autoritat passava per entendre que era possible accedir a la informació del registre d’accessos, incloent-hi la identitat de les persones que havien accedit a la història clínica, en base a l’esmentada llei de transparència.
Entre aquests dictàmens es pot destacar l’emès en relació amb una consulta sobre la qüestió formulada en ocasió del pronunciament del Tribunal de Justícia de la Unió en l’assumpte C-579/21, Pankki S, que valorava la possibilitat de facilitar al client d’un banc la identitat de les persones treballadores de l’entitat que havien accedit a la seva informació econòmica. El Tribunal europeu denegava l’accés a aquesta informació en considerar, de manera coincident amb l’APDCAT, que aquesta informació quedava fora de l’abast del dret d’accés previst a la normativa de protecció de dades. Així, la qüestió que es plantejava a l’Autoritat era si el criteri del Tribunal de Justícia de la Unió suposava un canvi de criteri per part de l’Autoritat en relació amb el dret del pacient a conèixer la identitat de les persones que havien accedit a la seva història clínica. La resposta de l’Autoritat va ser negativa. Argumentava l’APDCAT que l’accés a aquesta informació era possible no pel fet d’estar reconegut a la normativa de protecció de dades, sinó pel fet que la normativa de transparència i d’accés a la informació pública permetia que les persones usuàries dels serveis de salut poguessin accedir a aquesta informació. En llenguatge de protecció de dades, la Llei de transparència, accés a la informació pública i bon govern legitimava aquest accés d’acord amb el previst a l’article 6.1.c del Reglament General de Protecció de Dades (el tractament de les dades és necessari per complir amb una obligació legal).
Aquesta interpretació, reforçada pel dret del pacient a conèixer la identitat de les persones que participen en el seu procés assistencial previst a la Llei d’ordenació de les professions sanitàries, suposa la necessitat d’aplicar els procediments previstos a la pròpia normativa de transparència, que inclouen el tràmit d’audiència a les persones afectades o la necessària ponderació dels drets i interessos en joc. Sobre aquesta ponderació no és sobrer indicar que la pròpia ADPCAT, a l’esmentat dictamen, ja indicava que “les expectatives de privacitat dels treballadors no suposen, en aquests casos, un motiu per a la denegació general de l’accés dels pacients al registre d’accessos a la seva HC”.
D’aquelles noces, aquests confits. La interpretació que basa la possibilitat d’accedir a aquesta informació en virtut de la normativa d’accés a la informació pública ha comportat que les reclamacions en relació amb aquesta qüestió hagin caigut en l’àmbit de la Comissió de Garantia del Dret d’Accés a la Informació Pública (GAIP). A la pràctica, però, la GAIP derivava aquestes qüestions a l’APDCAT per l’impacte que les mateixes tenien en l’àmbit de les dades personals.
Finalment, amb l’aprovació d’aquest criteri interpretatiu conjunt, tant la GAIP com l’APDCAT es reconeixen competències en la matèria i entenen que aquestes sol·licituds es poden resoldre aplicant qualsevol dels dos règims, però consideren que la normativa de protecció de dades, interpretada d’acord amb el que preveu la normativa en matèria d’autonomia del pacient, com la normativa d’aplicació preferent.
Entén l’APDCAT que el dret d’accés al registre d’accessos sí ha de formar part del contingut del dret d’accés previst a l’article 15.1 del Reglament General de Protecció de Dades, tot i que no d’una manera estrictament genuïna. Així, considera l’Autoritat que el dret d’accés previst a la normativa de protecció de dades “s’ha d’interpretar d’una manera que no comporti buidar de contingut el dret a la protecció de dades personals, i que permeti a la persona afectada disposar d’un veritable poder de control sobre les seves dades”. Per aquest motiu, a parer de l’APDCAT, “l’article 15.1 del Reglament General de Protecció de Dades i la ponderació de l’interès legítim han de donar resposta a les sol·licituds que es plantegin”. Així, la base de legitimació d’aquest tractament passa a ser, segons aquest criteri, la prevista a l’article 6.1.f del Reglament General de Protecció de Dades, és a dir, l’interès legítim de la persona que sol·licita l’accés a aquesta informació, que ha de subjectar-se al degut exercici de ponderació.
És just valorar l’encomiable compromís de l’Autoritat Catalana de Protecció de Dades en la cerca d’instruments que permeti als pacients accedir a la informació del registre d’accessos a la seva història clínica. Cal tenir present que aquest instrument és dels pocs que resulten efectius en el descobriment dels accessos il·legítims que afecten un dels àmbits en què resulta més perjudicial la pèrdua de confidencialitat de la informació. La percepció que els accessos indeguts a la història clínica queden emparats en una suposada expectativa dels professionals a la seva privacitat pot resultar en una pèrdua de confiança de la ciutadania no només en els propis professionals i en els centres sanitaris, sinó en el sistema en el seu conjunt. Més encara quan la utilització de les dades per a usos secundaris guanyarà rellevància en els propers anys, així com el fet que aquesta reutilització només serà democràtica, ètica i confiable si es du a terme de manera transparent.
Des d’una perspectiva més individual, la vulneració de la privacitat que afecta un àmbit tan íntim com la salut també mereix una especial protecció. No en va, aquest bé jurídic queda protegit, també, en l’àmbit penal. Impedir a les persones conèixer la identitat d’aquells qui, de manera il·legítima, han accedit a la seva informació de salut és un obstacle a la persecució d’aquest delicte, tenint en compte que aquesta persecució només es pot produir prèvia denúncia de la víctima.
D’altra banda, la interpretació actual de l’APDCAT, que basa la possibilitat d’accedir a la informació del registre d’accessos en l’interès legítim de la persona sol·licitant, presenta una fortalesa que no ha de ser considerada menor. Que l’accés a la informació es basi en l’accés a la informació pública suposa que no resulti possible accedir a aquesta informació en el marc de la prestació de serveis sanitaris per part de centres de caràcter privat no subjectes a aquesta regulació. La interpretació basada en l’interès legítim abastaria també aquest àmbit privat, si bé el mateix no cau en l’àmbit competencial de l’Autoritat Catalana de Protecció de Dades. Per tant, ens podem preguntar què passarà si l’Agència Española de Protecció de Datos (AEPD) adopta un criteri diferent per als centres de titularitat privada.
Més enllà de l’encertada o desencertada que cadascú pugui considerar cadascuna de les interpretacions que poden sorgir entorn de la qüestió, el que resulta innegable és que aquesta dificultat en el reconeixement de l’exercici d’un dret emana, principalment, d’una deficiència normativa. Una deficiència que podria ser resolta amb relativa facilitat pel legislador. En termes de dret comparat, la Llei 3/2005, de 8 de juliol, d’informació sanitària i autonomia del pacient d’Extremadura inclou el dret “a conocer en todo caso quién ha accedido a sus datos sanitarios, el motivo del acceso y el uso que se ha hecho de ellos, salvo en el caso del uso codificado de los mismos, previo pago, en su caso, de las exacciones que se hallen legalmente establecidas”. Ras i curt, a Extremadura han resolt per via normativa allò que a Catalunya se sosté a partir d’una interpretació conjunta de l’APDCAT i la GAIP, que podria resultar igualment en una dualitat de règims: el de la història clínica dels centres públics, i el de la història clínica de centres privats.
Aquesta solució establiria una regulació autònoma del dret de manera clara i amb seguretat jurídica. Així mateix, garantiria una aplicació menys desigual entre la diversa casuística i eliminaria la discrecionalitat que, en major o menor mesura, pot presentar l’exercici de ponderació que exigeix el reconeixement d’un interès legítim. A la vegada, fomentaria la transparència i la confiança en el sistema per part dels pacients, a la vegada que reforçaria el paper del registre d’accessos com un element dissuasiu front aquelles persones que poden trobar-se temptades de fer algun accés injustificat.
Així, aquesta problemàtica que, des de fa temps, es manifesta de manera recurrent, quedaria resolta mitjançant una regulació que reconegui i faciliti l’exercici d’un dret a tots els pacients. Ara que s’ha iniciat una nova legislatura al Parlament de Catalunya amb una majoria suficient per investir un President, potser els diputats i diputades del Parlament i el nou Govern podrien valorar posar fi a aquest debat jurídic amb una reforma de la Llei 21/2000, de 24 de desembre, que incorpori, com a dret, la possibilitat de saber quines persones han accedit a la història clínica.
Barcelona, 19 d’agost 2024
Comments (0)