Historia clínica, secreto profesional y protección de datos

Publicado en la Revista del Ilustre Colegio Oficial de Médicos de Segovia, 10 de diciembre de 2012.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, en su artículo 14, establece la definición y criterios de archivo de la historia clínica, concretamente en sus apartados 1º y 2º, que,

1. La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.

2. Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

Dicha información sanitaria tiene la finalidad de facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud.

El acceso a los datos de salud, deberá realizarse atendiendo al principio de proporcionalidad, debiendo limitarse los datos necesarios, no pudiendo extenderse a otros no vinculados a la finalidad por la que se accede a los mismos. A mayor abundamiento, el artículo 2, en sus apartados 1º y 7º de la citada Ley 41/2002 al enumerar los principios generales aplicables, fija que,

1. La dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica.

7. La persona que elabore o tenga acceso a la información y la documentación clínica está obligada a guardar la reserva debida.

En su artículo 7 prosigue, refiriéndose al derecho a la intimidad,

1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley

2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.

Así mismo el artículo 16, en sus apartados 3º y 5º, al establecer los usos de la historia clínica, afirma que,

3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

5. El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.

En este sentido, es importante recordar el secreto profesional en el ámbito sanitario, como el deber que tiene el personal sanitario de no descubrir a terceros los hechos que conocido en ejercicio de su profesión, es por tanto la obligación debida a las confidencias que recibe de sus pacientes, en ejercicio de sus funciones, realizadas dentro de la práctica sanitaria.

Nuestra Carta Magna, establece el derecho a la intimidad de los ciudadanos en su artículo 18, más concretamente en el apartado 1º del mismo artículo al referirse al derecho a la intimidad personal y familiar, otorgándole el mayor grado de protección al incluirlo entre los derechos fundamentales y, remitiendo la regulación del secreto profesional a una ley especifica. La Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar, considera en su artículo 7.4 intromisión ilegitima, catalogada como falta grave, al revelación de datos privados de una persona o familia conocidos a través de la actividad profesional y oficial de quien los revela:

Tendrán la consideración de intromisiones ilegítimas en el ámbito de protección delimitado por el artículo segundo de esta Ley:

4. La revelación de datos privados de una persona o familia conocidos a través de la actividad profesional u oficial de quien los revela.

La Constitución establece en su artículo 20 que, la Ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades, para proseguir en el artículo 24.2 que, la Ley regulará los casos en que, por razón de parentesco o de secreto profesional, no se estará obligado a declarar sobre hecho presuntamente delictivos.

La doctrina constitucional, admite de forma unánime la estrecha relación del secreto médico y la intimidad, siendo esta el objeto de protección penal en los delitos que castigan la revelación de secretos, cítese a modo de ejemplo, el Auto del Tribunal Constitucional 660/1989 y la Sentencia del alto Tribunal 37/1989, en las que se establece que el secreto profesional, en cuanto justifica, por razón de una actividad, la sustracción al conocimiento ajeno de datos o informaciones obtenidas que conciernen a la vida probada de las personas, está estrechamente relacionado con el derecho a la intimidad que el artículo 18.1 de la Constitución garantiza, en su doble dimensión personal y familiar, como objeto de un derecho fundamental, reconociendo que el fundamento del secreto profesional médico es la intimidad del paciente, único titular para oponerse al uso de su historia clínica.

En el mismo sentido se pronuncia el artículo 16.6 de la citada Ley 41/2002: 6. El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.

Dicho deber de secreto encuentra, además, su fundamento en las normas éticas y corporativas, tales como el Juramento de Hipócrates, y si en mi práctica médica, o aun fuera de ella, viese u oyere, con respeto a la vida de otros hombres, algo que jamás deba ser revelado al exterior, me callaré considerando como secreto todo lo de este tipo; o, en el Código de ética y deontología médica del Consejo General de Colegios de Médicos de España, que en su capítulo IV, los artículos 14 y 17, recogen:

Artículo 14

1. El Secreto médico es inherente al ejercicio de la profesión y se establece como un derecho del paciente a salvaguardar su intimidad ante terceros.

2. El secreto profesional obliga a todos los médicos, cualesquiera que sea la modalidad de su ejercicio.

3. El médico guardará secreto de todo lo que el paciente le haya confiado y de lo que él haya conocido de la profesión.

4. La muerte del paciente no exime al médico del deber de secreto.

Artículo 15

1. El médico tiene el deber de exigir a sus colaboradores discreción y observancia escrupulosa del secreto profesional. Ha de hacerles sabes que ellos también están obligados a guardarlo.

2. En el ejercicio de la medicina en equipo, cada médico es responsable de la totalidad del secreto. Los directivos de la institución tienen el deber de facilitar los medios necesarios para que esto sea posible.

El citado Código ético prosigue, en su artículo 17:

1. Los sistemas de informatización médica no comprometerán el derecho del paciente a su intimidad.

2. Los sistemas de informatización utilizados en las instituciones sanitarias mantendrán una estricta separación entre la documentación clínica y la documentación administrativa.

3. Los bancos de datos sanitarios extraídos de historias clínicas estarán bajo la responsabilidad de un médico.

4. Los bancos de datos médicos no pueden ser conectados a una red informática no médica.

5. El médico podrá cooperar en estudios de auditoría (epidemiología, económica, de gestión (…), con al condición expresa de que la información en ellos utilizada no permita identificar ni directa ni indirectamente, a ningún paciente en particular.

Preceptos, estos, que obligan a todos los médicos en el ejercicio de su profesión, cualquiera que sea la modalidad que practiquen, al ser el citado Código sancionado por una Entidad de Derecho Público, tal y como recoge el artículo 2 del mismo.

El secreto profesional en el ámbito sanitario abarca, no sólo la información que el paciente refiere, sino también la que el facultativo recoge a partir de pruebas diagnósticas o de cualquier otro tipo que se produzcan. A mayor abundamiento, entendemos a tenor de la legislación citada en el presente escrito, que el profesional sanitario, debe poner todos los medios necesarios para garantizar una custodia de los datos contenidos en la historia clínica del paciente.

En este sentido recordar la Sentencia, ya citada, del Juzgado de Primera Instancia nº 7 de Torrejón de Ardoz (Sentencia 51/11), que en referencia a los datos de salud establece que, solo se pueden entregar a la paciente, o en su caso a la autoridad judicial, si ésta lo solicita (…) atendiendo a toda la normativa sanitaria que trata de proteger la intimidad y los datos del paciente, como a la legislación en protección de datos.

La revelación del secreto profesional la encontramos tipificada en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que en su artículo 199 recoge:

1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses.

2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años.

Esta preocupación del legislador, por salvaguardar del derecho a la intimidad de las personas, aprobando la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que, al igual que su predecesora de 1992, tiene por objeto, tal y como recoge su artículo 1, la protección del derecho al honor y a la intimidad personal y familiar.

En el artículo 10 de la citada Ley Orgánica se recoge, al referirse al deber de secreto, que:

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 5.1.g) entiende por datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.

En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. En referencia a la seguridad de los datos, recoge el artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

El acceso a los datos de salud contenidos en la historia clínica del paciente, deberá entenderse, según lo establecido en el artículo 16, en sus apartados 3º y 5º, de la Ley 41/2002, de 14 de noviembre, ya citados al inicio de este artículo.

Dicho acceso, regulado en la normativa sanitaria deberá realizarse, atendiendo al principio de proporcionalidad en el tratamiento de los datos, recogido en el artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

A mayor abundamiento, citar la contestación del Abogado del Estado de la Agencia Española de Protección de Datos, en relación a la consulta planteada por el Ilustre Colegio Oficial de Médicos de Navarra, sobre el acceso a las historias clínicas por parte de la Agencia Tributaria (nº referencia 211067/2010), sobre los usos y accesos a las historias clínicas.

Por lo tanto, de los apartados 3 y 5 del artículo 16 de la Ley 41/2002, y siempre previa la ponderación de la proporcionalidad (…) , se deduce la existencia de tres supuestos en los que será posible el uso o acceso a la historia clínica con fines distintos de los medico-asistenciales, estableciendo la Ley especialidades distintas en cada uno de los supuestos.

– Así, en primer lugar, el acceso para “fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia”, deberá someterse a una previa disociación de los datos contenidos en la historia clínica “de manera que como regla general quede asegurados el anonimato”, a menos que el interesado haya prestado su consentimiento para ello, en los términos que impone el artículo 7.3 de la Ley Orgánica 15/1999.

– Por otra parte, en caso de que el acceso se solicite por una autoridad judicial y la identificación del paciente sea necesaria para la tramitación del proceso en que los datos se solicitan, se estará en los términos de la correspondiente Resolución judicial, quedando el acceso “limitado estrictamente a los fines específicos de cada caso”.

– Por último, el acceso por parte de los órganos de la inspección sanitaria se regula independientemente de los anteriores, limitándose la Ley a reconocer dicho acceso siempre que su finalidad sea la “comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria”.

Cabe hacer una somera reseña a las medidas de seguridad establecidas Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, entre otras, las recogidas en sus artículos 91 y 113 sobre el acceso a la información: Artículo 91: control de acceso.

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 113: acceso a la documentación.

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.

2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

La legislación en materia de protección de datos recoge otras medidas, que vienen a procurar una mayor seguridad, no sólo en el tratamiento y en el acceso a la información, si no también, en la salvaguarda de su integridad y custodia, la trazabilidad de la información, delimitación de responsabilidades y garantizar la confidencialidad de todos aquellos que, por cuenta propia o mediante la prestación de un servicio, acceden o pueden acceder potencialmente a los datos de salud.