Las reclamaciones por responsabilidad civil y la preservación de la protección de datos

Javier López y García de la Serrana Abogado y Doctor en Derecho
Socio-director de HispaColex Secretario General de la Asociación Española de Abogados Especializados en Responsabilidad Civil y Seguro

Editorial Dykinson. Julio-Diciembre 2019.

Acceso al contenido de la publicación

1.- Introducción

Todos somos conscientes de la importancia que tiene conocer los antecedentes médicos de las víctimas de accidentes, a la hora de valorar la incidencia que dichos antecedentes tienen en las posibles secuelas que puedan quedarle. Pero el acceso a los antecedentes médicos, que son datos incluidos en la historia clínica, constituye una modalidad de ejercicio del derecho de acceso regulado por el artículo 15 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y art. 13 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, aplicable a partir de mayo de 2018  (LOPDPGDD), siendo, como consagra la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, parte del contenido esencial del derecho fundamental a la protección de datos y, en consecuencia, parte esencial de un derecho de la personalidad del afectado.

Y es que la confidencialidad de los datos médicos es un aspecto clave de la relación entre médico y paciente, pues conlleva la confianza de este último de que la información que facilita va a quedar preservada, al igual que todos los datos de su historia clínica. Javier Antomás Osés y Susana Huarte del Barrio, en su trabajo “Confidencialidad e historia clínica: Consideraciones ético-legales” ponen de relieve que “al ser la historia clínica el documento donde la relación con el paciente queda reflejada, requiere de una protección extraordinaria por la naturaleza especialmente sensible de la información en ella contenida”. En dicho trabajo se hace un estudio histórico sobre el secreto profesional en el ejercicio de la medicina, pues desde tiempos inmemoriales se ha tenido un especial cuidado en mantener la reserva de la información médica recabada. De hecho, ya en el año 460 a.C. se formula el “Juramento Hipocrático” que entre sus cinco obligaciones incluye la siguiente: “Guardaré silencio sobre todo aquello que en mi profesión, o fuera de ella, oiga o vea en la vida de los hombres que no deban ser públicos, manteniendo estas cosas de manera que no se pueda hablar de ellas”. Este punto del juramento, presente en la tradición médica occidental a lo largo de los siglos es recogido y adaptado en los códigos deontológicos de las distintas profesiones sanitarias.

Por su parte, tanto la Declaración Universal de los Derechos Humanos, en su artículo 122, como la Constitución Española, en el artículo 183, tratan la intimidad como un derecho fundamental del individuo. Además de que España suscribió en 1997 el “Convenio para la protección de los derechos humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina”, conocido como el Convenio de Oviedo, que reconoce el derecho de las personas al respeto de su vida privada en asuntos de salud, así como a conocer toda la información obtenida respecto a su salud, salvo las restricciones que establezca la ley.

Asimismo, la Ley General de Sanidad (Ley 14/1986), ya reconocía en su artículo 10.3 el derecho a la intimidad, al igual que posteriormente lo hizo la ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y actualmente el Reglamento General de Protección de Datos (RGPD) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, aplicable a partir de mayo de 2018; pero es la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, la que regula y desarrolla pormenorizadamente esta materia, recogiendo en su artículo 16.1 que la historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente, determinando expresamente en su artículo 17.6, que son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los tratamientos que contienen datos de carácter personal a los efectos de la legislación de protección de datos. Es de destacar que la nueva normativa europea de Protección de Datos Reglamento 2016/679 introduce en su artículo 4 una definición de datos relativos a la salud como: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Por tanto, el uso de los antecedentes médicos incluidos en la historia clínica o en cualquier registro, deberá garantizar el derecho a la intimidad del paciente como derecho fundamental de la persona. Este criterio general que sienta la Ley de Autonomía del Paciente queda matizado en su artículo 16.3 cuando establece que el acceso a la historia clínica con fines judiciales, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, en especial tendríamos que acudir al artículo 6 del Reglamento (UE) 2016/679 que establece el criterio de que todo tratamiento de datos debe ser lícito y leal, para que el tratamiento sea lícito los datos deben ser tratados con el consentimiento del interesado o “sobre alguna otra base legítima establecida conforme a Derecho, que no será preciso según por lo dispuesto en el artículo 9.2.f, cuando el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función.

Luego serán los Jueces y Tribunales quienes pueden, y así lo vienen haciendo, requerir los antecedentes médicos o historia clínica de un lesionado cuando así lo estimen oportuno para los fines judiciales. No obstante, un criterio prudencial aconseja solicitar al juez que defina la relación que pueda existir entre la historia clínica y el objeto del proceso, pues si se acoge dicha petición, se podrán aportar  únicamente aquellos documentos que sean relevantes al caso, garantizando así, en lo posible, la confidencialidad.

A juicio de Forense Guillermo Portero Lazcano, en su artículo “Historia Clínica: Problemática sobre la propiedad”, únicamente pueden disponer de la HC íntegra (salvo consentimiento expreso de los terceros implicados), los médicos que participan en el proceso asistencial al paciente y ello en aras a que el fin primordial de la HC es la salud del paciente, y el otro caso, sería en un proceso penal para la investigación de una presunta mala-praxis médica o la verificación del preceptivo consentimiento informado previo a toda intervención. De lo contrario, entiende este forense, que se vulneraría el derecho a la intimidad de las terceras personas, derecho reconocido constitucionalmente y protegido por nuestras leyes penales y civiles. Además, hay que tener en cuenta que las anotaciones, impresiones subjetivas, comentarios, etc. que el médico refleja en la HC, deben estar sujetas a la misma consideración protectora que la información de las terceras personas, si bien debemos partir de la base de que toda la información recogida en la HC ha de ser relevante y necesaria para el fin que se persigue, y que no es otro, que el beneficio del paciente. Estas anotaciones o comentarios podrían ser mal interpretadas por el paciente y su divulgación sistemática, amén de atentar contra el derecho de confidencialidad del médico, conduciría a un cambio en el proceder del médico cuando elabore la HC y al final, ello redundaría en un perjuicio para el propio paciente. Por último, llama la atención sobre el abuso que desde la Administración de Justicia se hace sobre la petición de HCs completas, coincidiendo por mi parte en este punto cuando dice que “en la mayoría de los casos, con informes clínicos, sería suficiente para solucionar el problema puntual que se pueda plantear”.

Con respecto al posible tratamiento por las Compañías Aseguradoras de los datos de salud de aquellas personas respecto de las que deben prestar asistencia, Luis Sarrato Martínez, magistrado sustituto y gran especialista en Derecho Sanitario, en su artículo “El régimen legal de acceso a la historia clínica y sus garantías” se plantea la cuestión de si es posible que la Compañía Aseguradora obligada a la prestación asistencial pueda conocer los datos del lesionado sin su consentimiento y si es posible que esos datos se los facilite, por ejemplo, el servicio público de salud que haya prestado la correspondiente asistencia.

La Agencia Española de Protección de Datos ha elaborado varios Informes en los que se aborda esta cuestión. En concreto, el Informe 526/2003 de la AEPD, de fecha 11 de agosto, admite que no se exija el consentimiento en el caso de la cesión por los centros sanitarios públicos a las Compañías de Seguros de los datos relativos a la asistencia sanitaria prestada derivada de accidentes de tráfico, por entender que el tratamiento de datos de salud está habilitado legalmente sin el consentimiento del afectado, dado que las Compañías de Seguros son responsables del pago de la asistencia en aplicación de lo previsto por los artículos 16.3 y 83 de la Ley 14/1986, de 25 de abril, General de Sanidad, con dos matices: a) solo se pueden ceder los datos imprescindibles para la facturación, y b) no se prejuzga el criterio a seguirse en el caso de centros privados.

Aquí también podemos citar el Dictamen Ref: CNS 7/2018 de la Agencia Catalana de Protección de Datos con relación a la consulta formulada por una entidad del ámbito de la salud sobre si la aportación de datos médicos a procesos judiciales sin el consentimiento del paciente ni previo requerimiento judicial infringe la normativa de protección de datos de carácter personal. Entes dictamen del 7 de marzo de 2018 se introduce la perspectiva del Reglamento (UE) 2016/679 en este asunto trascendental, citando que:

“Una vez sea aplicable el RGPD, la base jurídica para estos tratamientos está prevista en los artículos 9.2.h) y 9.2.f) del RGPD con los límites establecidos por el artículo 5 del RGPD, en concreto el principio de minimización de los datos. Por lo tanto, esta habilitación estará limitada a aquellos datos mínimos imprescindibles para el cumplimiento de las finalidades pretendidas para aquellos tratamientos.”

De todo lo expuesto hasta el momento, puede observarse la relevancia que tiene la historia clínica como documento médico-legal susceptible de ser utilizado con diferentes finalidades. Sarrato Martínez, reconoce que sin embargo existen cuestiones jurídicas pendientes de ser clarificadas y que deberían ser reguladas con mayor rigor y precisión. Incidiendo en que el acceso a los datos de salud es un tema especialmente sensible, que exige tener muy presentes determinados aspectos, como el derecho a la intimidad de los pacientes, la confidencialidad de la información sanitaria, etc., pero también que el acceso a la historia clínica no sea indebidamente negado a quien está legitimado para ello. Se hace necesario, como dice el mencionado autor, dejar la exposición teórica y bajar a la realidad de cada día y ello para comprobar cómo todo lo que hemos expuesto hasta ahora no responde a una simple elucubración alejada de la práctica, y ello es precisamente lo que haremos a continuación, analizar los distintos casos que se dan en el día a día del ejercicio de nuestra profesión, al objeto de conjugar las compatibilidades entre el derecho de defensa y la protección de datos en materia de responsabilidad civil.

2.- La comunicación de datos relativos a accidentes de tráfico a las compañías aseguradoras o a los abogados defensores de los implicados en ellos

Esta cuestión fue tratada por la Agencia Española de Protección de Datos en su informe de 4 de marzo de 2009 que resuelve la consulta planteada sobre la posibilidad de que, por la Policía Local, puedan ser transmitidos a las compañías aseguradoras o particulares interesados copia de los atestados realizados y los datos contenidos en las diligencias practicadas cuando se produce un accidente de circulación.

Teniendo en cuenta que en los atestados de la Policía Local o de la Guardia Civil constan o pueden constar datos de diversas personas implicadas en el accidente, debe indicarse, con carácter general, que el RGPD establece en su artículo 6.1 los supuestos que legitiman el tratamiento de datos personales: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Por tanto, todo tratamiento de datos personales ha de estar legitimados por alguna de las causas del artículo 6.1 del RGPD anteriormente transcrito.

Fijémonos por tanto en la parte del apartado f) del artículo 6.1 del RGPD “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”

Aquí encontramos ya la justificación para tratamientos por realizado por las autoridades públicas en el ejercicio de sus funciones

Pero en aquéllos casos en que así lo prevea una Ley la Agencia ha tenido ya oportunidad de manifestar, cuando todavía no era de aplicación el RGPD, y teniendo en cuenta que la LOPD establecía la comunicación de datos personales cuando la misma estuviese prevista en una ley: “(…) si la ley contempla el nacimiento de una obligación entre las partes el corolario necesario es que la ley también ha de contemplar la necesidad de conocer las circunstancias necesarias para poder ejercitar los derechos subjetivos que surgen de dicha obligación.”

Por su parte el artículo 8 de la normativa LOPDPGDD cita el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos en los mismos términos que el RGPD.

Al objeto de determinar la existencia de una ley que ampare la cesión de datos objeto de esta cuestión, debe diferenciarse la comunicación de datos a las compañías aseguradoras de la comunicación a los particulares, por fundamentarse ambas en diferentes preceptos legales.

Comenzando por la cesión de datos a la compañía aseguradora, el criterio de la AEPD ha sido puesto de manifiesto en la Resolución de 11 de agosto de 2003 (confirmada por la Sentencia de la Audiencia Nacional de 21 de septiembre de 2005), en la que se señalaba lo siguiente: “La Ley 50/1980, de 8 de octubre, de Contrato de Seguro, incluye en su “Sección 3ª: Obligaciones y deberes de las partes”, el artículo 18 que establece: “El asegurador está obligado a satisfacer la indemnización al término de las investigaciones y peritaciones necesarias para establecer la existencia del siniestro y, en su caso, el importe de los daños que resulten del mismo. En cualquier supuesto, el asegurador deberá efectuar, dentro de los cuarenta días, a partir de la recepción de la declaración del siniestro, el pago del importe mínimo de lo que el asegurador pueda deber, según las circunstancias por él conocidas. Cuando la naturaleza del seguro lo permita y el asegurado lo considera, el asegurador podrá sustituir el pago de la indemnización por la reparación o la reposición del objeto siniestrado”. De dicho precepto se desprende que el asegurador tiene la obligación legal de realizar las investigaciones y peritaciones precisas tanto respecto de la existencia del siniestro, como sobre el importe de los daños si estos se hubieran producido.

Esta obligación tiene una conexión directa con otra obligación de orden legal como es la de satisfacer la indemnización al término de aquellas investigaciones y peritaciones. A su vez, esta última exigencia legal aparece reforzada en la propia norma al imponer al asegurador, en cualquier supuesto, la obligación de efectuar, en un plazo máximo desde la recepción de la declaración del siniestro, el pago de un importe mínimo de lo que se pueda deber, según las circunstancias por él conocidas.

En la cobertura de un seguro de responsabilidad civil el asegurador se obliga a cubrir el riesgo del nacimiento a cargo del asegurado de la obligación de indemnizar a un tercero los daños y perjuicios causados por un hecho previsto en el contrato de cuyas consecuencias sea civilmente responsable el asegurado, conforme a derecho, con la particularidad de que al tercer perjudicado, ajeno a la relación contractual establecida entre el asegurado y el asegurador, se le concede por ley, en concreto por el artículo 76 de la ley 50/1980, de 8 de octubre, de Contrato de Seguro, la posibilidad de acción directa contra el asegurador para exigirle el cumplimiento de la obligación de indemnizar. En este caso la valoración de los daños se refiere a los datos aportados por un tercero ajeno a la relación negocial, pero sin los cuales no es posible conocer el montante de la indemnización y en su caso la parte correspondiente a las provisiones técnicas. El desconocimiento de estos datos hace también imposible el cumplimiento de la obligación por parte de la entidad aseguradora.

Por otra parte, y en relación con los datos aludidos anteriormente, las entidades aseguradoras deben llevar un libro de siniestros en los términos establecidos en el artículo 65 del Real Decreto 2486/1998, de 20 de noviembre por el que se aprueba el Reglamento de Ordenación y Supervisión de los Seguros Privados, en el que deberá constar entre otros datos la valoración inicial consignada y los pagos que se han hecho en relación con el mismo. Para poder determinar el importe de tales conceptos se hará de nuevo mención a datos que no se corresponden a ninguna de las partes que aparecen en el contrato de seguro, sino a los datos del tercer perjudicado y de los daños sufridos por éste, debidamente probados.

Las citadas obligaciones se complementan con las derivadas del control de las entidades aseguradoras. Así, los artículos 70 a 72 de la misma Ley establecen las competencias del Ministerio de Economía en el control de las entidades aseguradoras previendo específicamente que “el control financiero consistirá, en particular, en la comprobación del conjunto de actividades de la entidad aseguradora, del estado de solvencia y de la constitución de provisiones técnicas…” (artículo 71.2) y las sujetan a la Inspección de Seguros (artículo 72.1).

A tal efecto, los Inspectores de Seguros en el ejercicio de sus funciones comprobarán toda la documentación necesaria para verificar la solvencia técnico-financiera de las entidades aseguradoras sometidas a su supervisión, para lo cual solicitarán de las mismas toda la documentación que acredite los cálculos a los que llega la entidad, como determina el artículo 72 de la Ley. Entre estos documentos se encuentran aquellos en los que se base la entidad para el cálculo de la cuantía de las indemnizaciones, como pueden ser los informes médicos cuando el siniestro de lugar a daños personales.

Es por tanto necesario para la Inspección de Seguros tener acceso a los datos del tercer perjudicado para poder dar cumplimiento a las obligaciones de supervisión que tiene asignadas y garantizar que la empresa tiene la solvencia necesaria para afrontar el cumplimiento de las obligaciones asumidas por contrato de seguro.

En definitiva, toda información podrá ser requerida por la Dirección General de Seguros y Fondos de Pensiones en el ejercicio de sus labores de supervisión como así lo dispone el artículo 71.4 de la Ley, de manera que la falta de remisión de la misma podrá ser considerada como infracción muy grave, grave o leve en los términos establecidos en el artículo 40 de la Ley pudiendo dar lugar a la imposición de sanciones administrativas.

De todo lo expuesto se concluye que, tanto desde la perspectiva de las obligaciones del asegurador contenidas en la Ley 50/1980, como desde las derivadas de la Ley 30/1995, las entidades aseguradoras deben recabar y conservar, en su caso, información relativa a la salud de los terceros que deban ser indemnizados como consecuencia de un seguro de responsabilidad civil. Ley 50/1980 del Contrato de Seguro y, en la actualidad, el Real Decreto Legislativo 6/2004, de 29 de octubre, por el que se aprueba el texto refundido de la Ley de ordenación y supervisión de los seguros privados, que deroga la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de seguros privados, ampararían la cesión inconsentida, tal como se señala en la Resolución transcrita, dichas compañías deben recabar y conservar la información necesaria en relación con la indemnización que debe abonarse a terceros como consecuencia de un seguro de responsabilidad civil.

En segundo lugar, se plantea si resulta posible la cesión de los datos referidos al accidente de tráfico a los particulares o a sus representantes legales -los abogados defensores de los implicados en ellos-, por lo que igualmente debe examinarse si existe una norma que ampare la cesión de los datos sin consentimiento de los afectados, y en este sentido, el artículo 76 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro establece que “El perjudicado o sus herederos tendrán acción directa contra el asegurador para exigirle el cumplimiento de la obligación de indemnizar, sin perjuicio del derecho del asegurador a repetir contra el asegurado, en el caso de que sea debido a conducta dolosa de éste, el daño o perjuicio causado a tercero. La acción directa es inmune a las excepciones que puedan corresponder al asegurador contra el asegurado. El asegurador puede, no obstante, oponer la culpa exclusiva del perjudicado y las excepciones personales que tenga contra éste. A los efectos del ejercicio de la acción directa, el asegurado estará obligado a manifestar al tercero perjudicado o a sus herederos la existencia del contrato de seguro y su contenido.”

De la misma manera, el artículo 7.1 del Texto Refundido de la Ley sobre responsabilidad civil y seguro en la circulación de vehículos a motor, aprobado por Real Decreto Legislativo 8/2004, de 29 octubre, dispone que “el asegurador, dentro del ámbito del aseguramiento obligatorio y con cargo al seguro de suscripción obligatoria, habrá de satisfacer al perjudicado el importe de los daños sufridos en su persona y en sus bienes. El perjudicado, o sus herederos, tendrán acción directa para exigirlo. Únicamente quedará exonerado de esta obligación si prueba que el hecho no da lugar a la exigencia de responsabilidad civil conforme al artículo 1 de la presente Ley. Prescribe por el transcurso de un año la acción directa para exigir al asegurador la satisfacción al perjudicado del importe de los daños sufridos por éste en su persona y en sus bienes.”

A la vista de los preceptos transcritos, cabe considerar que la comunicación a la que se refiere la consulta se encontraría habilitada por lo dispuesto en el artículo 6.1.f del RGPD y el artículo 8 de la LOPDPGDD sin precisar el consentimiento del afectado, dado que existen dos normas con rango de Ley que dan cobertura al acceso por el particular a los datos necesarios para exigir, mediante el ejercicio de una acción directa, el abono de la indemnización que proceda.

En la relaciones con la compañía aseguradora, cabe señalar que el artículo 6.1 b) que hay que relacionar con el 9.2 f) del RGPD que citan respectivamente que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales” o que se exceptúa el consentimiento del afectado “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial”

Teniendo en cuenta que, como consecuencia de la producción del siniestro, se genera una relación jurídica entre la compañía aseguradora del causante del daño y el perjudicado, de la que, de una parte, resulta la obligación de aquélla de pagar la indemnización derivada de los daños causados por el siniestro y de otra, otorga al perjudicado una acción directa contra la compañía aseguradora para exigir el pago de dicha indemnización.

3.- Qué datos que pueden comunicarse a través del atestado de la Policía Local o Guardia Civil, además de los datos relativos al nombre y DNI de todos los implicados.

A este respecto, debe tomarse en consideración el informe 411/2010 de la AEPD, el cual deja claro que no solamente los datos relativos a nombre y DNI de los implicados tienen el carácter de datos personales, sino que éste concepto se extiende a otros datos que pudieran estar contenidos en dicho documento. En este sentido, el artículo 4.a) del RGPD, define los datos personales como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Para determinar qué información, de la contenida en el tratamiento al que pertenece el documento que refiere la consulta, debe facilitarse habrá que estar al caso concreto, teniendo en cuenta el principio de minimización de datos recogido en el artículo 5.1 c) del RGPD, según el cual “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.

Quiere ello decir, que la comunicación de datos deberá limitarse a los datos que sean necesarios, en cada caso, en relación con las finalidades, como recoge el artículo citado. Por tanto, aquí si podría haber algún conflicto por la existencia, o no, de proporcionalidad en los datos facilitados por la Policía Local o Guardia Civil al facilitar una copia del atestado.

4.- La utilización del correo electrónico como medio de recepción y de remisión de la documentación solicitada por las compañías aseguradoras.

Esta posibilidad es también analizada en el informe 411/2010 de la AEPD, argumentando que en lo que se refiere a comunicaciones electrónicas, es preciso estar a lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, cuyos artículos 13 y 14 establece lo siguiente:

Derechos de las personas en sus relaciones con las Administraciones Públicas: “A comunicarse con las Administraciones Públicas a través de un Punto de Acceso General electrónico de la Administración.”

“Las personas físicas podrán elegir en todo momento si se comunican con las Administraciones Públicas para el ejercicio de sus derechos y obligaciones a través de medios electrónicos o no, salvo que estén obligadas a relacionarse a través de medios electrónicos con las Administraciones Públicas. El medio elegido por la persona para comunicarse con las Administraciones Públicas podrá ser modificado por aquella en cualquier momento.”

Por consiguiente, para que el correo electrónico pueda ser utilizado como un medio de comunicación con los particulares, es un medio que deberá estar al alcance del ciudadano ya habilitado como tal por el Organismo en referencia a la normativa citada.

Respecto a la posibilidad de facilitar datos identificativos de los implicados en los accidentes a los abogados de las compañías de seguros cuando así lo solicitan por vía telefónica, debe tenerse en cuenta que puede dar lugar a una cesión de datos a personas carentes de la habilitación legal, debiendo tenerse en cuenta, además, que en todo caso será precisa la acreditación de la representación que ostenta quien efectúa la llamada.

En este sentido, la AEPD ha señalado la posibilidad de facilitar datos por vía telefónica cuando el sistema utilizado para acreditar la identidad de la persona que llama impida que terceras personas no autorizadas puedan acceder a la información referida al afectado, procedimientos que normalmente exigen la existencia de una clave de acceso como mecanismo de identificación del interesado.

No podemos dejar de hacer referencia aquí al artículo 32. puntos 1 y 4 del RGPD:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

•             a) la seudonimización y el cifrado de datos personales;

•             b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

•             c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

•             d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”

“El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros”.

5.- Acceso total o parcial a la Historia Clínica con fines judiciales

La Agencia Española de Protección de Datos, tal y como expone Cristina Gómez Piqueras, en su artículo “La historia clínica. Aspectos Conflictivos resueltos por la Agencia Española de Datos”, ya resolvió una consulta sobre si procedía la comunicación a la autoridad judicial de los datos contenidos en la historia clínica que sean solicitados por la misma para su aportación a un proceso o si, por el contrario, es posible oponerse total o parcialmente a dicha aportación, solicitándose del Órgano Jurisdiccional la concreción de los datos que efectivamente son de necesaria aportación, en caso de considerarse por el centro sanitario que la solicitud es genérica. De lo dispuesto en el art. 9.2 f) “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial” se desprende que, con carácter general, siempre que una autoridad judicial considere necesaria la aportación de datos contenidos en una historia clínica, en los términos que el propio Órgano determine, será necesario aportar dichos documentos, pudiendo resultar la decisión de la entidad que se niegue a facilitarlos, o decida facilitarlos parcialmente, contraria a lo dispuesto en el artículo 118 de la Constitución, a cuyo tenor: «Es obligado cumplir las sentencias y demás resoluciones firmes de los Jueces y Tribunales,  así como prestar la colaboración requerida por éstos en el curso del proceso y en la ejecución de lo resuelto».

Por tanto, estamos ante una cuestión delicada, siendo en ejemplo que la propia Agencia Española de Protección de Datos inició un procedimiento de declaración de Infracción de Administraciones Públicas a un Hospital de la Comunidad Autónoma Andaluza, al entender que había cedido datos de historias clínicas de pacientes del servicio de ginecología del citado Hospital que no eran necesarios, ya que el órgano jurisdiccional no las había solicitado. En el último Fundamento de Derecho de la Resolución archivando las actuaciones se indica: «Entrando en el fondo de los hechos denunciados, esto es, si la presentación de documentos de derivación de pacientes procedentes del Distrito de Atención Primaria y reclamaciones del pacientes como parte de la defensa del Hospital Costa del Sol vulnera el secreto profesional y la intimidad de dichos pacientes, se plantea una colisión entre dos derechos fundamentales: el  derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24 de la Constitución, lo que implica para su efectividad la asistencia letrada y representación procesal. Como ha dicho el Tribunal Constitucional, este derecho «comporta de forma esencial el que el interesado pueda encomendar su representación y asesoramiento técnico a quien merezca su confianza y considere más adecuado para instrumentar su propia defensa». En el supuesto examinado, se produce una colisión conexa con el derecho al secreto profesional tutelado en el artículo 24.2 de la Norma Fundamental. »

Para resolver esta cuestión, debe indicarse que, en primer lugar, el propio RGPD permite establecer los límites para la exigencia del consentimiento, dado que su artículo 9 sobre el Tratamiento de categorías especiales de datos personales exige, como regla general, el consentimiento para el tratamiento de los datos «salvo que la Ley disponga otra cosa». A la vista de este precepto, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los, datos incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida.

En efecto, la exigibilidad del consentimiento de los pacientes para el tratamiento le sus datos supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el denunciado pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos o su comunicación a la contraparte, puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de «los medios de prueba pertinentes para su defensa», vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho. Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional (por todas, STC 186/2000, de 10 de julio, con cita de otras muchas): «el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho.»

Pues bien, aplicando la doctrina antedicha al supuesto concreto, debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, que garantiza a los ciudadanos la tutela judicial efectiva de jueces y tribunales, en los término expuestos. Por ello, la AEPD archivó las actuaciones contra el hospital malagueño, indicando expresamente en su resolución: «El Hospital Costa del Sol propuso la práctica de prueba documental (documentos de derivación de pacientes procedentes del Distrito de Atención Primaria y reclamaciones de pacientes) que, a su juicio, evidenciaban la deficiente prestación del servicio del Dr. XXX. Dicha práctica de prueba no fue impugnada por la representación legal del Dr. XXX y fue admitida por el Juzgado, por lo que se presume que el órgano judicial debió considerar conveniente e imprescindible que la documentación aportada no se disociara. Asimismo, habiéndose producido en el presente procedimiento Resolución del Juzgado de Instrucción número 8 de Málaga, al objeto de salvaguardar la prejudicialidad derivada de la intervención de un órgano judicial y respetar, en su caso, la prevalencia de la valoración judicial de los hechos, tal como impone el artículo 137.2 de la Ley 30/1992, procede declarar que no existe responsabilidad del Hospital Costa del Sol por los hechos denunciados.»

Por tanto, no hay inconveniente en mantener un criterio amplio, salvo el caso de solicitar unos documentos concretos y específicos de la historia clínica. No obstante, en el Manual de Casos Prácticos del Área de Bioética y Derecho Sanitario del Servicio Madrileño de Salud figura la siguiente consulta: Se ha recibido en una Gerencia de Atención Primaria un oficio del Juzgado de lo Social, solicitando el historial médico completo de una usuaria para presentarlo en el juicio por una demanda al INSS y a Asepeyo Mutua de Accidentes de Trabajo y Enfermedades Profesionales. ¿Se le puede mandar al Juzgado la copia del historial completo, o como indica la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, en el artículo 16-3: “el acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso”.

El criterio general aparece recogido en el art. 16. 3. de la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, donde se establece el acceso a la historia clínica con fines judiciales, que exceptúa de la obligación general de anonimización a los “supuestos de la autoridad judicial en los que se considere imprescindible la unificación de datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. Hay por lo tanto una obligación de colaboración con la Administración de justicia.

Como ya hemos citado, en el art. 9. 2. f) del RGPD excepciona de la regla general del consentimiento del interesado los supuestos en que “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial”. Dicho lo anterior, el criterio general es el de la proporcionalidad, esto es, debe aportarse al juzgado que lo solicite aquello que sea imprescindible para resolver el asunto de que se trate, ya que en la historia clínica pueden además haber datos incorporados no relacionados con el asunto y cuyo conocimiento no sería preciso por la autoridad judicial.

En consecuencia, lo recomendable sería aportar al juzgado solicitante aquellos datos de la historia clínica relacionados con el proceso de que se trate, haciendo notar que se ampliará la información en caso de que la autoridad judicial así lo determine. Si la solicitud efectivamente se refiriera a la historia clínica completa, como se dice en la consulta, habría dos alternativas, o enviarla efectivamente advirtiendo a la autoridad judicial que el envío del historial clínico completo puede contener anotaciones confidenciales del paciente, quedando a criterio de la autoridad judicial su utilización en el procedimiento, o por el contrario solicitar del juzgado información adicional que permita determinar qué partes de dicha historia serían necesarias para el procedimiento.

6.- Limitaciones de acceso a las anotaciones subjetivas obrantes en las Historias Clínicas

La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos de Tutelas de Derechos consecuencia de no haber facilitado al reclamante su historia clínica o la de la persona fallecida con la que le unían relaciones familiares o de hecho. En un procedimiento en el que una señora solicitaba a un psiquiatra su historia clínica, éste argumentó que dada la patología de la solicitante v el contenido de sus anotaciones y diagnóstico, estimaba que sería contraproducente para su estado de salud facilitarle tal documentación. La Tutela de Derechos se resolvió estimando la reclamación de la paciente e instando al facultativo a que facilitara la historia clínica, a excepción de sus anotaciones subjetivas, pero sin matizar el alcance de las mismas.

En una entrevista realizada por Diario Médico al que fuera en su día Director de la Agencia Española de Protección de Datos, éste señaló, acerca de las anotaciones subjetivas, lo siguiente: «Como regla general, es el propio profesional de la medicina el que debe poner todos los medios a su alcance para favorecer la objetivación, en la medida de lo posible, de las anotaciones subjetivas… Por lo demás, corresponde a los centros sanitarios la regulación del procedimiento que garantice este derecho, con pleno respeto del principio de proporcionalidad… Los profesionales de la salud y los centros sanitarios deben esforzarse en delimitar claramente los aspectos subjetivos -derivados de apreciaciones meramente personales y no sustentadas objetivamente en datos clínicos- del resto de la información obrante en el historial médico del paciente, sin menoscabo de la integridad de dicho historial. La determinación de estas anotaciones subjetivas no puede conducir a la extensión indebida del derecho de reserva del médico, dado que dicha práctica, además de suponer una excepción del derecho de acceso a la historia clínica, podría impedir el conocimiento por el afectado de determinados datos que han influido sustancialmente en el diagnóstico y tratamiento médicos.»

La posibilidad de realizar anotaciones subjetivas permite al profesional sanitario que sus comentarios o impresiones personales, que puede reflejar en la historia en un momento determinado, queden excluidos de ese derecho de acceso, comentarios que tienen trascendencia clínica ya que de otra manera no deberían incorporarse a la historia clínica, y que si podrían ser consultados por otros médicos que atiendan al paciente. También este caso es analizado en el Manual de Casos Prácticos del Área de Bioética y Derecho Sanitario del Servicio Madrileño de Salud, donde se ha valorado si en casos de pacientes fallecidos, y cuando la familia pide copia de la historia clínica, se deben entregar las copias de los datos evolutivos médicos y de enfermería. Se plantea la duda de si se trata de documentos con comentarios subjetivos que la ley 41 no obliga a dar, además de por ser de propiedad intelectual, salvo que la persona que lo ha escrito dé la autorización.

Cuando un familiar de un fallecido reclama copia de la historia clínica, ha de tenerse en cuenta que se trata de datos protegidos que pueden afectar, en principio, al derecho fundamental a la intimidad establecido en la constitución y que, en cuanto tales, pueden no ser transmisibles a terceras personas. En cuanto a este tema la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y deberes en materia de información y documentación clínica, dispone que los centros sanitarios sólo facilitaran el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a los mismos, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En relación a esta cuestión relativa al tratamiento de las anotaciones subjetivas, hay que tener en cuenta, según el anteriormente mencionado Manual del Servicio Madrileño de Salud, lo siguiente:

A) El artículo 18.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica dispone, en relación con las anotaciones subjetivas, lo siguiente: “El derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas”.

B) Por lo tanto, las anotaciones subjetivas quedan excluidas del derecho de acceso a la historia clínica por parte del paciente.

C) En caso de reclamación o denuncia, al no ofrecer la citada ley básica criterio alguno, serían en última instancia los tribunales quienes determinarían caso a caso el proceder correcto.

D) Por último, como aportación para intentar la solución de un posible conflicto, se puede citar lo dispuesto en el artículo 14 del Decreto 101/2005, de 22 de diciembre, por el que se regula la historia clínica en la Comunidad de Castilla y León, que dispone lo siguiente: “Al paciente o usuario no se le facilitará el acceso a aquella información que conste en su historia clínica referida a datos aportados por terceras personas, recogidos en interés terapéutico del propio paciente o usuario, ni las anotaciones subjetivas de los profesionales, salvo que aporte la autorización expresa de esas terceras personas o los profesionales no opongan la reserva de sus anotaciones subjetivas”.

7.- Acceso a la historia clínica por compañías aseguradoras

En el ámbito de la actividad aseguradora, el Subdirector General de Inspección de Datos de la Agencia Española de Protección de Datos, Jesús Rubí Navarrete, analizaba en su artículo “El tratamiento de los datos de salud y la legislación sobre protección de datos”, la Resolución de la AEPD de 11 de agosto de 2003, de la que ya hablamos en la introducción, la cual abordó situaciones complejas como es la de si es o no posible el tratamiento de los datos de salud de la víctima de un siniestro, sin su consentimiento, a efectos de las obligaciones inherentes a la entidad aseguradora de responsabilidad civil de vehículos automóviles. Para ello se tiene en cuenta el artículo 6.1 b) que hay que relacionar con el 9.2 f) del RGPD que citan respectivamente que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales” o que se exceptúa el consentimiento del afectado “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial”. En este sentido, es de suma importancia hacer referencia al artículo 9 LOPDPGDD, que recoge que la ley podrá amparar el tratamiento de datos cuando así lo exija la ejecución de un contrato de seguro del que el afectado sea parte. 

Al objeto de determinar la existencia de una ley que ampare la cesión de datos a las aseguradora, realiza un estudio de la normativa de seguros, empezando por la Ley 50/1980, de 8 de octubre, de Contrato de Seguro, la cual establece en el art. 18 que establece: “El asegurador está obligado a satisfacer indemnización al término de las investigaciones y peritaciones necesarias para establecer la existencia del siniestro y en su  caso, el importe de los daños que resulten del mismo. En cualquier supuesto, el asegurador deberá efectuar, dentro de cuarenta días, a partir de la recepción de la declaración del siniestro, el pago del importe mínimo de lo que el asegurador pueda deber, según las circunstancias por él conocidas. Cuando la naturaleza del seguro lo permita y el asegurado lo considera, el asegurador podrá sustituir el pago de la indemnización por la reparación o la reposición del objeto siniestrado.” De dicho precepto se desprende que el asegurador tiene la obligación legal de realizar las investigaciones y peritaciones precisas tanto respecto de la existencia del siniestro como sobre el importe de los daños si estos se hubieran producido. Esta obligación tiene una conexión directa con otra obligación de orden legal como es la de satisfacer la indemnización al término de aquellas investigaciones y peritaciones. A su vez, esta última exigencia legal aparece reforzada en la propia norma al imponer al asegurador, en cualquier supuesto la obligación de efectuar, en un plazo máximo desde la recepción de la declaración del siniestro, el pago de un importe mínimo de lo que se pueda deber, según las circunstancias por él conocidas.

En la cobertura de un seguro de responsabilidad civil el asegurador se obliga a cubrir el riesgo del nacimiento a cargo del asegurado de la obligación de indemnizar a un tercero los daños y perjuicios causados por un hecho previsto en el contrato de cuyas consecuencias sea civilmente responsable el asegurado, conforme a derecho, con la particularidad de que al tercer perjudicado, ajeno a la relación contractual establecida entre el asegurado y el asegurador se le concede por ley, en concreto por el art. 76 de la Ley 50/1980 de 8 de octubre, de Contrato de Seguro, la posibilidad de acción directa contra el asegurador para exigirle el cumplimiento de la obligación de indemnizar. En este caso la valoración de daños se refiere a los datos aportados por un tercero o a la relación negocial, pero sin los cuales no es posible conocer el montante de la indemnización y en su caso la parte correspondiente a las provisiones técnicas. El desconocimiento de estos datos hace también imposible el cumplimiento de la obligación por parte de la entidad aseguradora.

Por otra parte, y en relación con los datos aludidos anteriormente, las entidades aseguradoras deben llevar un libro de siniestros en los términos establecidos en el art. 65 del Real Decreto 2486/1998, de 20 de noviembre, por el que se aprueba el Reglamento de Ordenación y Supervisión de los Seguros Privados, en el que deberá constar entre otros datos la valoración inicial consignada y los pagos que se han hecho en relación con el mismo. Para poder determinar el importe de tales conceptos se hará de nuevo mención a datos que no se corresponden a ninguna de las partes que aparecen en el contrato de seguro, sino a los datos del tercer perjudicado y de los daños sufridos por éste debidamente probados. Las citadas obligaciones se complementan con la del control de las entidades aseguradoras. Así los arts. 70 a 72 de la misma Ley establecen las competencias del Ministerio de Economía en el control de las entidades aseguradoras previendo específicamente que “el control financiero consistirá, en particular, en la comprobación del conjunto de actividades de la entidad aseguradora, del estado de solvencia y de la de la constitución de provisiones técnicas…” (art. 71.2) y las sujetan a la Inspección de Seguros (art. 72.1). En definitiva, toda información podrá ser requerida por la Dirección General de Seguros y Fondos de Pensiones en el ejercicio de sus labores de supervisión como así lo dispone el art. 71.4 j de la Ley, de manera que la falta de remisión de la misma podrá ser considerada como infracción muy grave, grave o leve en los términos establecidos en el art. 40 de la Ley.

Por ello si bien será admisible el tratamiento de datos de salud, en los términos expuestos, sin el consentimiento del afectado, éste debe ser informado en los términos precisos de los art. 14 y 15 del RGPD, y el tratamiento de datos que se realice deberá ajustarse a las exigencias de dicha norma.

También este supuesto es analizado en el Manual de Casos Prácticos del Área de Bioética y Derecho Sanitario del Servicio Madrileño de Salud, donde se formulan diversas cuestiones: ¿La aseguradora, como pagador de la asistencia, tiene derecho a ver esas historias clínicas? ¿Sería necesario el consentimiento expreso de los titulares de las historias? Para resolver estas dudas hay que entender que existen diferentes relaciones. Una es la relación clínica entre el médico y el paciente; otra es la relación entre el asegurado y su compañía; y una última es la relación entre el centro sanitario y los profesionales sanitarios que trabajan en el mismo con la compañía de seguros.

Relación médico-paciente.- En la relación clínica médico-paciente, los datos sanitarios sólo pueden ser cedidos cuando así lo disponga una ley o el paciente consienta expresamente. Dado que en el presente caso no hay una ley específica, sólo es posible la cesión de datos con el consentimiento del paciente. Como es natural, el paciente-asegurado habrá dado dicho consentimiento en el momento de suscribir la correspondiente póliza o en su prórroga, pero esta relación, ajena a la relación médica-paciente, debe respetar lo dispuesto en las normas vigentes (ley 41/2002, de autonomía del paciente y RGPD 2016/649, de la Unión Europea). La forma de solucionar el problema es sencilla: en el momento de realización del acto médico debería informarse al interesado de que los datos relacionados con dicha actuación serán comunicados a la entidad con la que el mismo tenga concertado el correspondiente seguro de asistencia sanitaria, de conformidad con el consentimiento previamente prestado en la póliza. La información podría facilitarse mediante la inclusión de una cláusula informativa en el correspondiente volante que haya de emplearse para la realización de la prestación sanitaria o en el resguarde que resulte de la utilización por el asegurado de la tarjeta a la que se refiere la consulta.

Relación asegurado-entidad aseguradora.- Se trata, como se ha dicho anteriormente, de una relación contractual legítima pero ajena a la relación médico-paciente, sin que haya términos hábiles en las normas vigentes para que se pueda exigir desde la misma los datos sanitarios de los pacientes. Sin embargo, puesto que la ley impone a la entidad aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado, la compañía tiene que conocer cuál será éste, dado que la asistencia se realiza generalmente por terceros ajenos a la propia entidad aseguradora. No obstante, ya ha quedado dicho como se debe solventar el problema.

Relación centro sanitario-entidad aseguradora.- Tampoco esta relación permite la cesión de datos, de conformidad con las normas vigentes. En todo caso, la comunicación de los datos deberá respetar el principio de proporcionalidad, por lo que no podrán ser comunicados, ni solicitados por la entidad aseguradora, más datos de los que resulten adecuados, pertinentes y no excesivos para determinar el importe de la asistencia sanitaria que habrá de ser satisfecha por la aseguradora en virtud del contrato de seguro de asistencia médica.

Por último, en cuanto al acceso a la historia clínica por la compañía de seguros, hay que convenir que ésta no tiene un acceso “directo” a la información. Sin embargo, puede citarse en este punto el artículo 15, del Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica, de la Comunidad Autónoma de Galicia, que dispone: “A las compañías de aseguramiento privado sólo se les facilitarán aquellos datos de la historia clínica electrónica imprescindibles a efectos de facturación, con la finalidad de la justificación del gasto. Cualquier otra información clínica solicitada por la compañía aseguradora requerirá el consentimiento expreso del/de la paciente”. Por lo tanto, correspondería a los centros sanitarios facilitar la citada información, siempre teniendo en cuenta el criterio de la proporcionalidad, en los casos citados por la norma.

En idéntico sentido (en el de reconocer a las compañías de seguros un derecho de acceso no directo y en todo caso proporcionado) se ha pronunciado la Agencia Española de Protección de Datos, en su 526/2003 de la AEPD, de fecha 11 de agosto, admitiendo  que no se exija el consentimiento en el caso de la cesión por los centros sanitarios públicos a las Compañías de Seguros de los datos relativos a la asistencia sanitaria prestada derivada de accidentes de tráfico, por entender que el tratamiento de datos de salud está habilitado legalmente sin el consentimiento del afectado, dado que las Compañías de Seguros son responsables del pago de la asistencia en aplicación de lo previsto por los artículos 16.3 y 83 de la Ley 14/1986, de 25 de abril, General de Sanidad, con dos matices: a) solo se pueden ceder los datos imprescindibles para la facturación, y b) no se prejuzga el criterio que deba seguirse en el caso de centros privados.

Se plantea en este punto la cuestión de las peticiones de documentación clínica que no vienen directamente solicitadas por el juez, pues en principio la petición policial o de cualquier cuerpo y fuerza de seguridad deberá venir necesariamente autorizada por el órgano judicial correspondiente. Si bien hay excepciones, dado que la Policía adscrita a la Coordinación Judicial puede requerir, motivando y concretando los documentos de la historia clínica que le sean precisos para su investigación, al ser este un caso en el que la Policía actúa como comisionada.

8.- Acceso a la historia clínica por parte de los miembros de las fuerzas y cuerpos de seguridad del Estado

En qué casos actúan los Cuerpos y Fuerzas de Seguridad como comisionados y cómo pueden acreditar tal carácter. Los miembros de las Fuerzas y Cuerpos de Seguridad que se personan en los centros sanitarios para la asistencia sanitaria a personas detenidas, actúan como comisionados de los jueces, tribunales y fiscales. Sobre esta cuestión existen sendos pronunciamientos, tanto de la Agencia Española de Protección de Datos, como de la Agencia de Protección de Datos de la Comunidad de Madrid.

Por lo que respecta a la Agencia Española de Protección de Datos, se transcribe la respuesta dada por la citada Agencia a la siguiente consulta: “Solicitudes de datos efectuadas por la Policía Judicial sin mandamiento judicial o previo requerimiento del Ministerio Fiscal. (Año 1999).

Se ha planteado por diversas empresas la posibilidad de acceder a solicitudes efectuadas por miembros de las Fuerzas y Cuerpos de Seguridad, ejerciendo funciones de Policía Judicial, cuando no existe un previo mandato del órgano jurisdiccional o requerimiento del Ministerio Fiscal para que se obtengan los datos, llevando a cabo la actuación por propia iniciativa o a instancia de su superior jerárquico.

En este caso nos encontramos ante el ejercicio por los efectivos de la Policía Judicial de funciones que, siéndoles expresamente reconocidas por sus disposiciones reguladoras, se identifican con las atribuidas, con carácter general, a todos los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, por lo que resultará aplicable en este caso la legitimidad del art. 6 y del 9 del RGPD.

Debe indicarse que, tratándose de actuaciones llevadas a cabo en el ámbito de las competencias consagradas en el apartado a) del artículo 445.1 de la Ley Orgánica del Poder Judicial, la Policía Judicial se encuentra obligada a dar cuenta de los hechos a la Autoridad Judicial y Fiscal de forma inmediata.

Esta finalidad deriva de la actividad de investigación policial reconocida a las fuerzas y cuerpos de seguridad en la Ley Orgánica 2/1986 sobre Fuerzas y Cuerpos de Seguridad del Estado, en concreto en lo previsto en el artículo 11.1 que establece que: “Las Fuerzas y Cuerpos de Seguridad del Estado tienen como misión proteger el libre ejercicio de los derechos y libertades y garantizar la seguridad ciudadana mediante el desempeño de las siguientes funciones: … f) Prevenir la comisión de actos delictivos. g) Investigar los delitos para descubrir y detener a los presuntos culpables, asegurar los instrumentos, efectos y pruebas del delito, poniéndolos a disposición del Juez o Tribunal competente y elaborar los informes técnicos y pericia les procedentes. h) Captar, recibir y analizar cuantos datos tengan interés para el orden y la seguridad pública, y estudiar, planificar y ejecutar los métodos y técnicas de prevención de la delincuencia.

Dichas funciones, de conformidad con lo previsto en el artículo 11.2, serán desempeñadas por el Cuerpo Nacional de Policía en las capitales de provincia y en los términos municipales y núcleos urbanos que el Gobierno determine. La Guardia Civil las ejercerá en el resto del territorio nacional y su mar territorial. Se entiende por tanto que, con carácter general, la investigación policial requiere de actuación urgente y rápida, y es por ello, que el gestor del Centro de Salud no puede entrar en una valoración y análisis de la petición de datos concretos, sino únicamente en comprobar que el solicitante acredita pertenecer a las fuerzas y cuerpos de seguridad y en que quede constancia de la petición policial.

A la vista de la regulación anterior, la cesión de los datos solicitados por parte de la Dirección General de la Policía podrían tener amparo legal y sería conforme con el RGPD, siempre y cuando como recoge el artículo 8 de la LOPDGDD sobre el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos, se haga en los términos previstos en el artículo 6.1.c) y 6.1 e) del Reglamento (UE) 2016/679.

9.- Peticiones de historia clínica de los hijos por parte de cónyuges separados o divorciados

Analizamos en este apartado el supuesto de cuando un padre divorciado dirige una petición al centro sanitario solicitando la copia íntegra de la historia clínica de un hijo suyo, en el caso de que la custodia la tenga la madre y la patria potestad esté compartida.

La separación, la nulidad y el divorcio no eximen a los padres de sus obligaciones para con los hijos. La Ley 15/2005, de 8 de julio, de reforma del Código Civil en materia de separación y divorcio, ha introducido importantes cambios en cuanto a la guarda y custodia y la patria potestad de los hijos. No es lo mismo la guarda y custodia que patria potestad. Lo normal es que la patria potestad se conceda a ambos y sólo se priva de ellos en casos extremos (malos tratos, no prestación de alimentos, etc.). Los cónyuges pueden acordar por convenio, o el Juez decidir, en su caso, que el ejercicio de la patria potestad se atribuya a uno sólo de los cónyuges o a ambos de forma compartida. En este último supuesto se trataría de la figura de la patria potestad compartida.

Esquemáticamente, los derechos y obligaciones de los progenitores respecto a los hijos serían los siguientes, en función de su condición:

Con custodia de los hijos:

A) Derechos: 1.-El disfrute diario de los hijos. 2.-Tomar las decisiones que afectan a los niños en el día a día. 3.-Administrar sus bienes y la pensión alimenticia. B) Obligaciones: 1.-Alimentarles, educarles y darles la compañía y el cariño necesarios. 2.-Facilitar el cumplimiento del régimen de visitas. 3.-Informar al otro progenitor de las incidencias importantes que le sucedan al menor.

Sin custodia (pero con patria potestad):

A) Derechos: 1.-Disfrutar del régimen de visitas acordado. 2.-Ser informado de todas las incidencias importantes. 3.-Ejercer la patria potestad, que sigue siendo compartida, salvo que el juez indique lo contrario. 4.-Acudir al juez en caso de que se produzca algún incumplimiento. B) Obligaciones: 1.-Cumplir con todo lo acordado en el convenio regulador. 2.-Velar por ellos en todo lo que se refiere a salud, educación y desarrollo integral de su persona.

En el presente supuesto que analizamos nos encontramos ante la situación de patria potestad compartida y custodia a cargo de la madre, por lo que en primer lugar, debería ser la madre, la que, de forma voluntaria, ofreciera al padre de la menor la información solicitada sobre los aspectos relativos a su salud. Si ello no fuera así, y debidamente acreditada la situación mediante la aportación de la correspondiente sentencia, debe facilitarse al padre la información que solicita sobre el hijo sobre el que tiene patria potestad, no debiendo existir ningún problema al estar muy claros su derechos.

10.- Acceso a la historia clínica de un paciente fallecido

En este supuesto hay que atender al artículo 3 de la LOPDGDD Artículo 3 sobre los datos de las personas fallecidas, solo podrán acceder a los datos: “Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.”

Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.

En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.

En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

11.- Conclusiones

La AEPD recibe numerosas denuncias referidas a posibles vulneraciones de la normativa de protección de datos en la sanidad pública y privada. Si hoy realizamos una búsqueda en la página web de la Agencia, en el campo de Resoluciones e incluimos como criterio de búsqueda «datos de salud», y señalamos en el apartado «Resoluciones» nos indicará que un porcentaje considerable de las Resoluciones tratan temas relacionados con el tratamiento de datos de salud, lo que acredita la importancia y trascendencia que para nuestra sociedad tiene este asunto.

Tras un estudio detallado de esa Resoluciones dictadas por la Agencia Española de Protección de Datos referidas a datos de salud, se comprueba que las situaciones que más se denuncian son dos: por un lado, un número elevado de Tutelas de Derecho tramitadas son consecuencia de la negativa, por parte de médicos y centros sanitarios, a entregar la historia clínica a los pacientes que lo solicitan, pues se resisten a ello ante la  posibilidad de que la historia clínica se utilice para denunciar al médico por mala praxis o negligencia, desconociendo que se trata de un derecho de los pacientes y que tiene solo las limitaciones reguladas: perjuicio de terceros y anotaciones subjetivas; y, por otro lado, se comprueba que se producen frecuentes vulneraciones del deber de secreto al entregar algún documento que forma parte de la historia clínica a una persona distinta del interesado sin su consentimiento, normalmente a una aseguradora o mutua de accidentes.

Bibliografía

– Antomás Osés, Javier y Huarte del Barrio, Susana. “Confidencialidad e historia clínica: Consideraciones ético-legales”. Anales del sistema sanitario de Navarra, Vol. 34, Nº. 1, 2011, págs. 73-82.

– Gómez Piqueras, Cristina. “La historia clínica. Aspectos Conflictivos resueltos por la Agencia Española de Datos”, dentro del libro “El derecho a la protección de datos en la historia clínica y la receta electrónica” publicado conjuntamente por la Editorial Thonson Reuters y la Agencia Española de Protección de Datos. 2009.

– López y García de la Serrana, Javier. “la aplicación de la ley de protección de datos en relación con el artículo 32 de la LCS. Comentario a la Sentencia del Tribunal Supremo de 25-03-11”, publicado en el nº 6 del año 47 (2011) de la revista RC (Revista de Responsabilidad Civil, Circulación y Seguro) que edita INESE.

– López y García de la Serrana, Javier. “Derecho de defensa y protección de datos”. Editorial del nº 42 de la Revista de la Asociación Española de Abogados Especializados en Responsabilidad Civil y Seguro, correspondiente al 2º Trimestre de 2012.

– Portero Lazcano, Guillermo. “Historia Clínica: Problemática sobre la propiedad”. Revista Latinoamericana de Derecho Médico y Medicina Legal. Junio 2002.

– Rubí Navarrete, Jesús. “El tratamiento de los datos de salud y la legislación sobre protección de datos”. Cuadernos de derecho Judicial de la Editorial del Consejo General del Poder Judicial, Escuela Judicial. Publicado en 2004.

– Sarrato Martínez, Luis. “El régimen legal de acceso a la historia clínica y sus garantías”. Revista Jurídica de Castilla y León nº 17 2009.

– Beltrán Aguirre, Juan Luis. “Protección de Datos Personales y su Secreto Profesional en el Ámbito de la Salud”. Sociedad Española de Salud Pública y Administración Sanitaria.

  Abogados en Granada, Málaga y Jaén