Cercador de resolucions, dictàmens i informes

La normativa de protecció de dades no impedeix comunicar a la persona reclamant la informació que sol·licita, relativa als accessos a la seva història clínica, inclosa la identitat  dels professionals que hi han accedit, en relació amb el període sol·licitat.

D’acord amb l’article 24.3 LTC la resolució de la sol·licitud d’accés a la història clínica de la persona sol·licitant s’havia de tramitar d’acord amb l’RGPD i l’eventual reclamació s’ha de tramitar davant l’Autoritat Catalana de Protecció de Dades, autoritat competent per conèixer de les reclamacions en relació amb el dret d’accés previst a l’article 15 RGPD.

Revelació de dades de salut al pare de la persona denunciant, major d'edat en el moment dels fets.

El denunciant es queixa del fet que li van fer enviar documentació mèdica per email i que això propiciaria l'accès a dades mèdiques per part del personal administratiu no sanitari. Es dicta RA atès que es tractava d'un enviament excepcional ja que el pacient va demanar assistència urgent per telèfon per a la prescripció de medicació pel dolor i com el darrer informe mèdic encara no constava en el HC3, atès que havia estat emès aquell mateix dia en un altre centre mèdic, se li va demanar que l'envies per correu electrònic per tal de poder dur a terme la prescripció mèdica. Aquests correus els gestiona el personal administratiu que té encomanades aquestes funcions i, a més, la gestió no implica accedir a la documentació mèdica; únicament si esdevé imprescindible per a la realització de les seves funcions. Art. 16 Llei 41/2022.

Es prepara RA atès que la persona denunciant va ser la que en un entorn de feina, va revelar els seus resultats de COVID (i els de la seva dona) a altres companys. Ho va fer a efectes organitzatius. Alhora, el seu cap va comunicar els resultats (i els de la seva esposa) a una companya encarregada de dur a terme funcions organitzatives. Tot i que no era necessari revelar les dades sobre els resultats de la seva esposa, resultaria desproporcionat fer responsable d'aquest fet a l'entitat denunciada, quan va ser el propi denunciant qui va revelar la informació en un entorn voluntari, de confiança entre companys. Així mateix, cal ressaltar que el responsable denunciat va confirmar que havia efectuat una auditoria d'accessos i va confirmar que no s'havia produït cap accés a les dades del denunciant.

El responsable del tractament ha d'implementar les mesures adequades per garantir que les converses mantingudes entre el seu personal i les persones pacients, no puguin ser escoltades per terceres persones no autoritzades. És necessari efectuar una anàlisi de riscos per determinar les mesures de seguretat aplicables.

El pacient, a la vista de la legislació estudiada (legislació d’autonomia del pacient i legislació de transparència, en connexió amb l’article 6.1.c) RGPD), ha de poder conèixer la identitat de les persones que han accedit a la seva història clínica i, si escau, els accessos indeguts que s’hagin pogut produir. Tot i que no forma part del dret d’accés previst a l’RGPD, la normativa de protecció de dades no impedeix que la persona titular de la història clínica pugui accedir a  informació sobre el caràcter degut o indegut dels accessos a la historia clínica, si el responsable disposa d’aquesta informació.

L'ICS, en el marc del present procediment de tutela de drets i en resposta a la sol·licitud d'accés de la persona aquí reclamant, en la que demanava concretament l'obtenció del registre dels professionals sanitaris que van accedir a la seva història clínica d'atenció primària (ECAP) des del 09/08/2021 al 15/12/2021, li ha tramès en data 21/02/2022 una relació dels accessos dels accessos a la seva història clínica realitzats en el referit període, informant- la també que tots ells tenien una finalitat merament assistencial. El reclamant, consultat per aquesta Autoritat, no ha presentat cap al·legació contrària a considerar-se satisfet amb la informació obtinguda, motiu pel qual es declara extemporània la resposta de l'ICS sense que calgui dur a terme cap altre pronunciament sobre el fons de la reclamació.

La normativa de protecció de dades no impedeix l’accés a informació referida únicament a les condicions laborals de la pròpia reclamant, ni a les dades merament identificatives de les persones encarregades d’establir el seu calendari laboral. Pel que fa a la sol·licitud relativa a “l’incident hostil”, la reclamant té dret a accedir a tota la informació sobre la seva persona que figuri en la documentació, incloent l’origen de la informació (identitat de les persones que l’hagin facilitat), llevat que del tràmit d’audiència resultés alguna circumstància que justifiqui la limitació de l’accés. Caldria excloure de l’accés les dades de salut de terceres persones que la reclamant no hagués conegut prèviament per les seves funcions assistencials, i la resta d’informació sobre terceres persones que no sigui rellevant. La normativa de protecció de dades no impedeix comunicar a la persona reclamant la informació relativa als accessos a la seva història clínica.

Per una banda, mitjançant el certificat digital vinculat a una persona treballadora de l'entitat -que li permetia l'accés al fitxer d'HC3 del Departament de Salut- una persona o persones no identificades va/varen accedir a les HC3 de les persones denunciants, totes elles treballadores de l'entitat; fet que es considera constitutiu d'una vulneració del principi de licitud vinculat al tractament indegut de categories especials de dades.
D'altra banda, el certificat digital vinculat a una de les persones treballadores de l'FSFA, que com s'ha dit permetia l'accés al fitxer d'HC3, fou instal·lat en diversos ordinadors als quals tenien accés distintes persones també treballadores de l'entitat. Així, en la mesura que totes aquestes persones podien utilitzar el mateix certificat per accedir a la base de dades d'HC3, no es podia garantir la identificació de forma inequívoca i personalitzada de la persona que efectivament hi accedia, ni en conseqüència, tampoc analitzar la justificació d'aquests accessos. Aquest fet es considera constitutiu d'una infracció de mesures de seguretat.