historial clínico y protección de datos de salud

Acceder a un historial clínico sin autorización no es una curiosidad ni una consulta menor: es un tratamiento de datos personales especialmente protegidos. Los datos de salud están dentro de las categorías especiales del artículo 9 del RGPD y solo pueden tratarse cuando existe una base jurídica clara y una finalidad legítima.

El caso que dio origen a este artículo recordaba una idea esencial: entrar en una historia clínica por motivos personales, por amistad, por conflicto o por simple curiosidad puede generar responsabilidades disciplinarias, administrativas e incluso penales. En sanidad no basta con “tener usuario y contraseña”; el acceso debe estar vinculado a una función asistencial, administrativa o legal concreta.

Por qué el historial clínico exige una protección reforzada

La historia clínica contiene diagnósticos, tratamientos, pruebas, antecedentes, informes y otros datos que pueden revelar la vida íntima de una persona. La AEPD recuerda que los datos de salud son datos especialmente protegidos y que su tratamiento está prohibido salvo que concurra una excepción prevista en el RGPD.

Además, la Guía para pacientes y usuarios de la sanidad insiste en que el paciente tiene derechos sobre su información sanitaria y que los centros deben custodiarla con medidas adecuadas.

Cuándo puede accederse a una historia clínica

El acceso debe limitarse a quienes lo necesitan para prestar asistencia sanitaria, gestionar el servicio, cumplir obligaciones legales o atender derechos del paciente. Un profesional no debería consultar expedientes de familiares, conocidos, compañeros o expacientes si no participa en su atención o gestión.

Para una empresa sanitaria, clínica, consulta o centro asistencial, esto exige aplicar el principio de minimización: cada persona debe acceder solo a los datos necesarios para su trabajo y durante el tiempo imprescindible.

Medidas que deben implantar clínicas y centros sanitarios

  • Perfiles de acceso por funciones, evitando usuarios genéricos o permisos excesivos.
  • Registro de accesos para saber quién entra, cuándo y a qué información.
  • Revisión periódica de permisos, especialmente tras cambios de puesto o bajas.
  • Formación específica sobre confidencialidad y datos de salud.
  • Protocolos de respuesta ante accesos indebidos o sospechas de brecha.

Qué hacer si se detecta un acceso indebido

La organización debe investigar el acceso, conservar evidencias, limitar el daño, documentar la incidencia y valorar si existe una brecha de seguridad que deba notificarse. Si afecta a datos de salud, el análisis debe ser especialmente cuidadoso por el riesgo para los derechos y libertades de la persona afectada.

También conviene revisar si el contrato con proveedores tecnológicos o de gestión clínica está correctamente documentado. En estos casos puede ser necesario actualizar el contrato de encargado de tratamiento y las medidas de seguridad asociadas.

Conclusión

El acceso a un historial clínico debe estar justificado, registrado y limitado. La confianza del paciente depende de que sus datos sanitarios no circulen dentro de la organización por curiosidad o conveniencia. Para clínicas, consultas y centros sanitarios, revisar permisos y trazabilidad no es una formalidad: es una medida básica de cumplimiento y de confianza.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *