Infracción grave por extraviar una historia clínica

historia_clinica_5

Por Daniel A. López Carballo

Los hechos ocurrieron en 2009, cuando la denunciante solicitó al Hospital Clínico de Valladolid su historial clínico y tuvo constancia de que la información había sido extraviada, recibiendo contestación por parte de la dirección del centro hospitalario mediante carta, en la que se decía “que su historial clínico ha sido reconstruido y archivado para su utilización en sucesivas ocasiones, a la espera de su próxima localización. El hospital se encuentra inmerso en un proceso de digitalización de la historia clínica, que evitará en un futuro situaciones como la que usted relata en su escrito”.

En su resolución R/02182/2010, La Agencia Española de Protección de Datos, en relación a la conservación de la historia clínica, tal y como se recoge en el artículo 18 de la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, expone que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado para cada caso y, como mínimo, cinco años, desde la fecha de alta de cada proceso asistencial”, continuando citando el artículo 19 de la Ley, por el que se establece que “el paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas”.

El artículo 14 de la citada Ley define historia clínica como conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro. Estableciendo que cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal atribuye al responsable del fichero, o en su caso el encargado de tratamiento, la responsabilidad de adoptar cuantas medidas, técnicas y organizativas, fueren necesarias para garantizar la seguridad de los datos, evitando así su pérdida, alteración o acceso no autorizado, independientemente de que los riesgos provengan de la acción humana o del medio físico o natural.

El Reglamento de desarrollo de la Ley Orgánica de protección de datos, en su articulo 5.1.g) dispone que se entenderá por “datos de carácter personal relacionados con la salud: las informaciones concernientes a la saluda pasada, presente y futura, física o mental, de un individuo”. Conforme a la clasificación de niveles de seguridad recogidos en la norma, a los datos referentes a la salud pasada, presente o futura de las personas deberán aplicarse la medidas de nivel alto. El artículo 81.3.a) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que “además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual”.

Además de la carencia de medidas de seguridad en cuanto a su localización, la acción del Hospital pone de manifiesto otras irregularidades en el cumplimiento normativo en materia de protección de datos, como son el inventariado de soportes, o el registro de personas que acceden a la información, entre otros, cuya correcta llevanza habría facilitado la localización del historial clínico y su entrega a la paciente solicitante. La resolución sancionadora de la Agencia Española de Protección de Datos califica los hechos como infracción grave, en virtud al artículo 44.3.h) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”.

La resolución, de diciembre de 2010, no lleva aparejada sanción económica por tratarse de una administración pública, pero si sienta un precedente aplicable a cualquier centro de trabajo, y con mayor relieve a aquellos que tratan datos especialmente protegidos, la falta de celo profesional o el descuido en las medidas de seguridad, puede conllevar un riesgo en la confidencialidad de la información de la que somos responsables, el extravío de la misma lleva consigo la posibilidad de que un tercero no autorizado pudiera acceder a la misma y, utilizarla con fines no autorizados, pudiendo poner en riesgo el honor e intimidad del afectado.

En relación a las medidas de seguridad, cabe recordar las expuestas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, artículos 101 y siguientes en lo relativo a datos informatizado y, 111 y siguientes en lo referente a datos en formato papel; además de las referentes a los niveles medio y básico.