
Acceder a un historial clínico sin autorización no es una curiosidad ni una consulta menor: es un tratamiento de datos personales especialmente protegidos. Los datos de salud están dentro de las categorías especiales del artículo 9 del RGPD y solo pueden tratarse cuando existe una base jurídica clara y una finalidad legítima.
El caso que dio origen a este artículo recordaba una idea esencial: entrar en una historia clínica por motivos personales, por amistad, por conflicto o por simple curiosidad puede generar responsabilidades disciplinarias, administrativas e incluso penales. En sanidad no basta con “tener usuario y contraseña”; el acceso debe estar vinculado a una función asistencial, administrativa o legal concreta.
En este artículo vamos a tratar...
Por qué el historial clínico exige una protección reforzada
La historia clínica contiene diagnósticos, tratamientos, pruebas, antecedentes, informes y otros datos que pueden revelar la vida íntima de una persona. La AEPD recuerda que los datos de salud son datos especialmente protegidos y que su tratamiento está prohibido salvo que concurra una excepción prevista en el RGPD.
Además, la Guía para pacientes y usuarios de la sanidad insiste en que el paciente tiene derechos sobre su información sanitaria y que los centros deben custodiarla con medidas adecuadas.
Cuándo puede accederse a una historia clínica
El acceso debe limitarse a quienes lo necesitan para prestar asistencia sanitaria, gestionar el servicio, cumplir obligaciones legales o atender derechos del paciente. Un profesional no debería consultar expedientes de familiares, conocidos, compañeros o expacientes si no participa en su atención o gestión.
Para una empresa sanitaria, clínica, consulta o centro asistencial, esto exige aplicar el principio de minimización: cada persona debe acceder solo a los datos necesarios para su trabajo y durante el tiempo imprescindible.
Medidas que deben implantar clínicas y centros sanitarios
- Perfiles de acceso por funciones, evitando usuarios genéricos o permisos excesivos.
- Registro de accesos para saber quién entra, cuándo y a qué información.
- Revisión periódica de permisos, especialmente tras cambios de puesto o bajas.
- Formación específica sobre confidencialidad y datos de salud.
- Protocolos de respuesta ante accesos indebidos o sospechas de brecha.
Qué hacer si se detecta un acceso indebido
La organización debe investigar el acceso, conservar evidencias, limitar el daño, documentar la incidencia y valorar si existe una brecha de seguridad que deba notificarse. Si afecta a datos de salud, el análisis debe ser especialmente cuidadoso por el riesgo para los derechos y libertades de la persona afectada.
También conviene revisar si el contrato con proveedores tecnológicos o de gestión clínica está correctamente documentado. En estos casos puede ser necesario actualizar el contrato de encargado de tratamiento y las medidas de seguridad asociadas.
Conclusión
El acceso a un historial clínico debe estar justificado, registrado y limitado. La confianza del paciente depende de que sus datos sanitarios no circulen dentro de la organización por curiosidad o conveniencia. Para clínicas, consultas y centros sanitarios, revisar permisos y trazabilidad no es una formalidad: es una medida básica de cumplimiento y de confianza.
