Última revisión
Dictamen de Consejo Consultivo de La Rioja D.069/18 de 2018
Relacionados:
Órgano: Consejo Consultivo de La Rioja
Fecha: 01/01/2018
Num. Resolución: D.069/18
Contestacion
En Logroño, a 17 de julio de 2018, el Consejo Consultivo de La Rioja, reunido en su
sede, con asistencia de su Presidente, D. Joaquín Espert Pérez-Caballero, y de los Consejeros,
D. José María Cid Monreal, D. Enrique de la Iglesia Palacios, D. José Luis Jiménez Losantos
y D. Pedro Prusén de Blas, así como del Letrado-Secretario General, D. Ignacio Granado
Hijelmo, y siendo ponente D. José Luis Jiménez Losantos, emite, por unanimidad, el siguiente
DICTAMEN
69/18
Correspondiente a la consulta formulada por la Consejería de Salud del Gobierno de La
Rioja, en relación con la Reclamación de responsabilidad patrimonial de la Administración
sanitaria formulada por Dª I.M.R., por daños y perjuicios que entiende causados por accesos,
que estima indebidos, a datos de su historia clínica y a los de dos de sus hijas menores de
edad, desde el año 2014; y que valora en 40.000 euros.
ANTECEDENTES DE HECHO
Antecedentes del asunto
Primero
1. En fecha 15 de abril de 2017, la representación letrada de la expresada reclamante
presentó escrito de reclamación de responsabilidad patrimonial, en el que hacia constar, de
forma resumida, los siguientes hechos:
-Que es madre de dos hijas menores de edad: i) Y.C.S.M., de 6 años de edad, fruto de su disuelto (por
divorcio) matrimonio con D. C.S.S. (a la que, en lo sucesivo, nos referiremos como hija en patria potestad
compartida, con las siglas HPC); y ii) M.O.M.R., de 4 años de edad, fruto de otra relación conyugal (a la
que, en lo sucesivo, nos referiremos como hija en patria potestad exclusiva de su referida madre, con las
siglas HPM).
-Como hemos adelantado, el expresado matrimonio fue disuelto, en virtud de procedimiento de divorcio,
por Sentencia de 11 de septiembre de 2014, en la que consta que: i) la guardia y custodia de la hija de
ambos esposos se atribuye a la madre; ii) la patria potestad se atribuye, compartida a ambos
progenitores, si bien su ejercicio, en cuanto se refiere a actos ordinarios y a las situaciones de urgente
1
necesidad, corresponderá a aquél de los progenitores con quién dicha hija se encuentre, debiendo avisar al
otro a la mayor brevedad posible; iii) el régimen de visitas y estancias se establece con carácter rotatorio
y casuístico, debiendo destacar que, pese a otorgarse la guarda y custodia a la madre, se asigna al padre la
convivencia con la hija menor común durante bastantes periodos de tiempo laborables a lo largo del año.
-La reclamante tuvo sospechas de que su ex-esposo disponía de información correspondiente a las
historias clínicas (en adelante, HC) de ella misma y de su dos hijas menores, por lo que solicitó, al
Servicio Riojano de Salud (SERIS), una relación detallada de los accesos a las tres HC.
-La relación detallada, fechada el 30 de noviembre de 2016, indica que, desde el año 2014, en la HC de la
reclamante, constan 172 accesos, de los que considera que 47 (realizados por personas que identifica) no
tienen carácter clínico o asistencial que los justifique. Asimismo, indica que han existido accesos a la HC
de la HPC, considerando injustificados los de la trabajadora social Dª M.I.J.S. y del Dr. D. J.J.M.S.; y, por
último, en cuanto a la HPM, también consigna varios accesos injustificados.
-De manera concreta, la reclamante destaca los accesos injustificados efectuados por Dª M.I.J.S. y el Dr.
D. L.M.G.Z., al considerar que no tenían relación asistencial con ninguno de los tres titulares de las HC,
en especial el citado Dr., por considerar que mantiene un vínculo de amistad con su ex esposo.
-La reclamante señala que, pese a no presentar una especial problemática patológica, en sus gestaciones y
embarazos (alguno de los cuales no llegaron a término), presenta una HC complicada y, por ello, de
?intensa? intimidad.
-Finaliza su reclamación haciendo constar que, por todo ello, los ilegítimos accesos, a su HC y a las HC
de sus dos hijas, le han causado unos ?graves daños psicológicos y morales?, cuya reparación valora en
40.000 euros.
2. Es preciso aclarar que los listados de acceso a las HC están conformados por hojas en
las que aparecen filas y columnas que indican el nombre de quien efectúa el acceso, el día,
mes y año en que se efectúa; y, la acción que se realiza, descrita escuetamente; aunque no se
refleja con la claridad que sería deseable si la persona que accede en un mismo día ha
realizado un solo acceso durante el cual ha efectuado varias acciones o si ha realizado tantos
accesos como acciones se reflejan.
Segundo
1. Recibida la reclamación en la Consejería de Salud del Gobierno de La Rioja, fue
remitida a la Compañía aseguradora del SERIS, la cual acusó recibo el 3 de mayo de 2017.
2. La Secretaría General Técnica de la Consejería actuante dictó una Resolución,
firmada electrónicamente el 11 de mayo de 2017, en el sentido de tener por iniciado el
procedimiento general de responsabilidad patrimonial con efectos del 20 de abril de 2017, y
designar Instructor del mismo. Este último remitió oficio de 12 de mayo de 2017 (notificado,
2
a la Letrada de la reclamante, el 18 de mayo de 2017), informándole del plazo para resolver.
3. El Instructor solicitó, por comunicación de 4 de octubre de 2017, a la Dirección del
Área de Salud de La Rioja, Hospital San Pedro: i) un informe que confirmara o desmintiera
los accesos alegados; ii) una valoración sobre la justificación de los mismos; iii) las
direcciones IP de los equipos desde los que se había accedido, si procediere; y iv) cualquier
otro dato o circunstancia que se estimase relevante en orden a la reclamación.
4. El 6 de noviembre de 2017, la Técnico del Área Jurídica del Centro requerido
remitió, al Instructor, un escrito explicando las actuaciones que se estaban efectuando, entre
las cuales remarcaba:
-Haber descartado un grupo de accesos por estar justificados (en concreto, los que se habían efectuado
desde Servicios que habían prestado asistencia sanitaria a los titulares de las HC); y los de los Servicios
administrativos referentes a llamadas telefónicas para citas o variaciones de las ya concedidas).
-Haber remitido carta a 33 personas de las que, constando que habían accedido a las HC, no se podía
conocer la causa del acceso, para que lo justificasen; estando a la espera de las respuestas; y,
-Haber contactado con los Servicios encargados de la informática, según los cuales se había producido un
error consistente en que, al solicitar los accesos, indicaron el parámetro ?objetos clínicos? en lugar de
señalar ?actos clínicos?, que es el adecuado; por lo que estaban elaborando al respecto un informe, que se
enviaría.
5. El Instructor decidió, el 7 de noviembre de 2017, ampliar el plazo para resolver el
expediente, al amparo del art. 23.1 de la Ley 31/2015 del Procedimiento administrativo
común (LPAC`15), por un periodo de otros seis meses, lo que fue comunicado a la
representante de la reclamante el 9 de noviembre siguiente.
Tercero
1. La Dirección del Área de Salud, sin que haya constancia en el expediente del
momento en que lo llevó a cabo, remitió al Instructor la relación de cartas enviada y sus
correspondientes contestaciones, la mayor parte de las cuales indicaban que no conocían a los
titulares de las HC o no recordaban haber accedido a las mismas.
2. Posteriormente, por escrito de 21 de noviembre de 2017, remitió:
-Un informe del departamento de Agenda Digital del Gobierno de La Rioja, de 20 de noviembre de 2017,
3
en el sentido de: i) que no existe obligación de guardar información sobre la asignación de direcciones IP
a los equipos de trabajo; y ii) que es más precisa la determinación de quién accede a través del
identificador del usuario y su contraseña, pues, tratándose de equipos de trabajo asignados a un puesto
genérico, en una misma sesión de trabajo, ha podido ser utilizado por varios usuarios.
-Un informe del Servicio de Documentación Clínica del Hospital San Pedro, de 15 de noviembre del
2017, especificativo de que, tras la revisión encargada a la empresa gestora de las HC, se había cribado la
lista inicial de accesos injustificados, eliminando de la misma a un total de 39 personas.
3. Mediante oficio de 26 de noviembre de 2017, la Dirección del Área de Salud remitió,
al Instructor, un informe, de 15 de noviembre de 2017, en el que Cerner Ibérica, S.L.U.
(CERNER, empresa encargada de la gestión de las HC), manifiesta que: i) está comprobando
el sistema informático para detectar ?posibles defectos de código? que expliquen que los
detalles sobre el acceso a las HC electrónicas ?no se registren de acuerdo a los criterios de
diseño?; ii) que va a ?subsanar los eventuales defectos a finales de 2017 o principios de
2018?; y iii) que, entre tanto, establece unas concretas actuaciones para evitarlos.
Cuarto
1. En fecha 21 de noviembre de 2017, la reclamante presenta un escrito en el que
manifiesta que, en un examen más minucioso del listado que se le había facilitado, ha
detectado dos Facultativos que desarrollaban su profesión en entidades ajenas al SERIS.
2. Por oficio de 5 de diciembre de 2017, notificado a la representante de la reclamante el
13 de diciembre de 2017, el Instructor confirió a la reclamante un plazo de 12 días para
examen del expediente, formulación de alegaciones y aportación de los documentos y
elementos de juicio que considerase oportuno.
3. La reclamante formuló sus alegaciones mediante un escrito presentado el 4 de enero
de 2018, en el cual señaló: i) que se estaba tramitando el expediente con listados distintos a
los que se le habían facilitado, aduciendo en la existencia de ?errores? en estos últimos; ii) que
consideraba genérico el informe elaborado por la empresa C., por lo que solicitaba que el
mismo se ampliara para determinar cómo cada error de código detectado había podido influir
en los concretos accesos; y, iii) que, respecto a las manifestaciones del Dr. G.Z. (referidas a
que los accesos que había efectuado a la HC de la HPC, los había efectuado a petición del
padre de la menor, quien estaba facultado para ello por ostentar la patria potestad), seguía
considerando tales accesos como indebidos, por cuanto, estando atribuida la patria potestad a
los dos progenitores, debían haberse efectuado a petición de ambos.
Quinto
4
Con motivo de lo expuesto en el escrito de alegaciones, el Instructor dirigió nuevo
oficio a la Dirección del Área de Salud, de fecha 18 de enero de 2018, solicitando
información complementaria, la cual fue remitida, por oficio de 2 de febrero de 2108, con los
siguientes particulares:
-Listados de accesos a las tres HC, elaborados en enero de 2018 y corregidos respecto de los entregados
inicialmente a la reclamante en noviembre de 2016, con separación de los correspondientes a los
efectuados a la HC de Atención Primaria y a la de Atención Especializada de cada titular.
-Informe del Dr. D. L.E.E., Jefe del Servicio de Documentación Clínica, de 23 de enero de 2018,
detallando los días y desde qué dirección IP el Dr. L.M.G.Z. accedió a las tres HC de la reclamante y de
sus dos hijas.
-Informe de 23 de enero de 2018, del mismo responsable que el apartado anterior, explicando las razones
por las que un profesional puede acceder a una HC de un paciente sin efectuar ninguna anotación en la
misma.
-Informe, de 30 de enero de 2018, de la Técnico del Área Jurídica, sobre las actuaciones practicadas
desde el Área de Salud a lo largo del expediente, en el cual: i) aclara que la consideración como
?accedentes? de los señores G., L. e I.Z. (reseñadas específicamente por la reclamante en su escrito de 8
de noviembre de 2017 por tratarse de personas ajenas al SERIS), fue fruto de errores del sistema
informático; y ii) mantiene que la solicitud de datos de la HPC fue legítima al ostentar el padre la patria
potestad sobre la HPC.
-Informe del Director General de C., de 25 de enero de 2018, en el que completa el anteriormente
emitido, precisando:
1) Que el sistema informático ?audita la información de acceso a los datos mediante el
almacenado de las acciones llevadas a cabo por los profesionales? autorizados. Estas pueden ser
desde muy sencillas? hasta otras de mayor complejidad. Cada acción es registrada, con
información adicional, en función de la propia acción y los circuitos seguidos en la aplicación
para llevarla a cabo. Por ello,? las acciones tienen campos de información que permiten
identificar de varias formas a qué HC hacen referencia y quién y cuándo la llevó a cabo?.
2) Que, una vez detectados los errores del sistema, se elaboró un segundo listado corregido, que
ofreció como resultado que las HC no tenían variación ni en el número de accesos ni en el de
profesionales que habían accedido. En cuanto a la HC de la HPC, se encontró una diferencia de 41
profesionales, que no debieron aparecer en el informe de accesos inicial, por no haber accedido a
dicha HC.
3) Que, tras efectuar una descripción de los cinco errores detectados, concluye: i) que, en las HC,
no hay accesos erróneos en el informe inicial; y ii) que, en el análisis comparativo de los informes
de accesos elaborados en distintas fechas relativos a la HC de la HPC, se detectan 41 usuarios
(cuya relación detallada acompaña) que no habían accedido, no habiendo ningún usuario que,
figurando en el informe elaborado tras corregir los errores, no estuviese en el entregado a la
5
reclamante.
Sexto
1. Mediante escrito de 6 de febrero de 2018 (notificado el 9 de febrero de 2018) el
Instructor confirió, a la reclamante, 15 días para examinar el expediente y presentar
alegaciones.
2. Por escrito presentado el 2 de marzo de 2018, la reclamante formuló las alegaciones
que estimo oportunas, reiterándose en su petición inicial, y solicitando: i) que se practicase
una prueba de interrogatorio a Dª M. I.J.S., y al Dr. D. J.M.G.Z.; y ii) que se solicitase
dictamen a este Consejo Consultivo.
3. El Instructor dictó oficio de 16 de marzo de 2018, denegando la práctica de la prueba
solicitada, por considerar que la misma no había de aportar nuevos datos de interés a los que
ya constaban en el informe; y, en cuanto a la solicitud de dictamen a este Consejo, tras
especificar no ser preceptivo por razón de la cuantía, se remitía a la decisión que adoptara el
órgano que tuviera que resolver.
Séptimo
1. En fecha 22 de marzo de 2018, el Instructor elaboró una Propuesta de resolución, por
la que, estimando haberse producido un acceso no justificado en las HC de la reclamante y sus
dos hijas menores de edad, por parte de dos personas al servicio del SERIS (la trabajadora
social Dª M.I.J.S. y el Dr. D. J.M.G.Z.), en atención a no existir prueba alguna que justifique
el daño moral alegado, ni circunstancias para poder valorarlo, considera suficiente reparación
del daño moral alegado, la constatación, por la resolución que en el expediente se haya de
dictar, de los accesos indebidos a las HC de la reclamante y sus dos hijas menores de edad.
2. Recibida la Propuesta de resolución, la Secretaría General Técnica de la Consejería
actuante, por oficio de 23 de marzo de 2018 solicitó, a la Dirección General de los Servicios
Jurídicos, el preceptivo informe y notificó tal circunstancia, a la reclamante, para suspender el
plazo para resolver previsto en el art. 22.1.d), LPAC´15.
3. La Dirección General de los Servicios Jurídicos emitió, el 15 de mayo de 2018, su
preceptivo informe, en sentido favorable a la Propuesta de resolución.
6
Antecedentes de la consulta
Primero
Por escrito firmado electrónicamente en fecha 18 de mayo de 2018, y de entrada en este
Consejo el siguiente día 22, la Excma. Sra. Consejera de Salud del Gobierno de La Rioja,
remitió al Consejo Consultivo de La Rioja, para dictamen, el expediente tramitado sobre el
asunto referido.
Segundo
El Sr. Presidente del Consejo Consultivo de La Rioja, mediante escrito firmado, enviado
y registrado de salida electrónicamente el 22 de mayo de 2018 procedió, en nombre de dicho
Consejo, a acusar recibo de la consulta, a declarar provisionalmente la misma bien efectuada,
así como a apreciar la competencia del Consejo para evacuarla en forma de dictamen.
Tercero
Asignada la ponencia al Consejero señalado en el encabezamiento, la correspondiente
ponencia quedó incluida, para debate y votación, en el orden del día de la sesión del Consejo
Consultivo convocada para la fecha allí mismo indicada.
FUNDAMENTOS DE DERECHO
Primero
Sobre el carácter del dictamen del Consejo Consultivo
La Ley 39/2015, de 1 de octubre (LPAC´15), cuya entrada en vigor se produjo el 2 de
octubre de 2016 y por ello, aplicable al presente procedimiento (DT 3ª, b), establece, en su art.
81.2, en cuanto a los de responsabilidad patrimonial, que: ?cuando las indemnizaciones
reclamadas sean de cuantía igual o superior a 50.000 euros o a la que se establezca en la
correspondiente legislación autonómica?, será preceptivo solicitar dictamen del Consejo de
Estado o, en su caso, del órgano consultivo de la Comunidad Autónoma?.
Constituye complemento autonómico de dicho precepto, el art. 65.4 de la Ley 4/2005,
de 1 de junio, de Régimen jurídico de la Administración de la CAR, al especificar que: ?los
7
procedimientos de responsabilidad patrimonial de la Comunidad Autónoma de La Rioja se
tramitarán de acuerdo con la normativa básica estatal en la materia, sin perjuicio de las
especialidades derivadas de la propia organización. La cuantía fijada para que los
dictámenes del Consejo Consultivo de La Rioja resulten preceptivos será la que fije el Estado
con carácter general en dicha normativa básica?.
E igualmente, nuestra Ley reguladora 3/2001, de 31 de mayo, que, en su art. 11, g),
establece que: el Consejo Consultivo deberá ser consultado en los siguientes asuntos: ?
reclamaciones que, en materia de daños y perjuicios, se formulen ante la Administración
pública, incluidos en todo caso los entes a que se refiere el apartado 2 de artículo 10 de la
presente Ley, cuando resulte preceptivo según la normativa reguladora de los procedimientos
de responsabilidad patrimonial?. Esta disposición es reiterada por el art. 12, g), del
Reglamento orgánico y funcional del Consejo Consultivo de La Rioja, aprobado por Decreto
8/2002, de 24 de enero.
En lógica conclusión, a tenor de la cuantía reclamada en el expediente, fijada por la
reclamante en la suma de 40.000 euros, nuestro dictamen no resulta preceptivo, por lo que
deviene así aplicable el art. 10, núm. 1 de nuestra Ley reguladora citada, al disponer que ?el
Consejo Consultivo de La Rioja emitirá dictamen en cuantos asuntos le sometan a su consulta
el Presidente del Gobierno de La Rioja, el Gobierno de La Rioja o sus Consejeros?. En
términos similares, se pronuncia el precitado Reglamento de este Consejo, en sus artículos 7
(que expresamente diferencia entre consultas preceptivas y facultativas); 13 (que menciona
determinados supuestos de dictámenes facultativos); y 39, entre otros. Por tanto, el presente
dictamen tiene carácter facultativo.
En cuanto al contenido del dictamen, a tenor de los previsto en el art. 81.2, párr. 3º,
LPAC´15, ha de versar sobre la existencia o no de relación de causalidad entre el
funcionamiento del servicio público y la lesión producida y, en su caso, sobre la valoración
del daño causado y la cuantía y modo de la indemnización de acuerdo con los criterios de esa
misma Ley.
Segundo
Sobre los requisitos exigidos para el reconocimiento
de la responsabilidad patrimonial de la Administración pública
8
Nuestro ordenamiento jurídico (art. 106.2 de la Constitución (CE) y 32.1 y 2 y 34.1 de la
Ley 40/2015, de 1 de octubre, del Régimen jurídico del Sector público, LSP´15) reconoce a los
particulares el derecho a ser indemnizados de toda lesión que sufran en cualquiera de sus
bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia
del funcionamiento, normal o anormal, de los servicios públicos, entendido como cualquier
hecho o actuación enmarcada dentro de la gestión pública, sea lícito o ilícito, siendo necesario
para declarar tal responsabilidad que la parte reclamante acredite la efectividad de un daño
material, individualizado y evaluable económicamente, que no esté jurídicamente obligado a
soportar el administrado, y debiendo existir una relación de causa a efecto directa e
inmediata, además de suficiente, entre la actuación (acción u omisión) administrativa y el
resultado dañoso para que la responsabilidad de éste resulte imputable a la Administración,
así como, finalmente, que ejercite su derecho a reclamar en el plazo legal de un año, contado
desde la producción del hecho o acto que motive la indemnización o desde la manifestación de
su efecto lesivo.
Se trata de un sistema de responsabilidad objetiva y no culpabilístico que, sin embargo,
no constituye una suerte de ?seguro a todo riesgo? para los particulares que de cualquier modo
se vean afectados por la actuación administrativa. En efecto, el vigente sistema de
responsabilidad patrimonial objetiva no convierte a las Administraciones públicas en
aseguradoras universales de todos los riesgos con el fin de prevenir cualquier eventualidad
desfavorable o dañosa para los administrados, derivada de la actividad tan heterogénea de las
Administraciones públicas.
Tercero
Aclaración sobre la patria potestad
La reclamación se refiere, no sólo a accesos indebidos efectuados en la HC de la madre
reclamante, sino también a los efectuados en las HC de HPC (hija sujeta a patria potestad
compartida con su ex-marido) y de la HPM (hija sujeta sólo a la patria potestad de la
reclamante).
En diversos informes obrantes en el expediente y que antes hemos citado, se afirma que
los accesos a la HC de la HPC no deben ser tenidos como indebidos en cuanto que fueron
efectuados por el exmarido de la reclamante que también ostentaba la patria potestad
compartida sobre dicha hija menor.
9
Este Consejo no comparte tal apreciación ya que, por un lado, no constan accesos a la
HC de la HPC efectuados directamente por el padre, sino sólo por personas al servicio del
SERIS de las que se sospecha que, por su amistad con el mismo, hayan podido trasmitirle la
información indebidamente obtenida.
Es cierto que el padre podría haber accedido a los datos de la HC de la HPC, pero no
directamente por su propia autoridad ni tampoco solicitándolo a personal del SERIS con el
que tuviera relaciones de amistad, sino recabándolos oficialmente del personal encargado de
la custodia de dicha HC y alegando, para ello, la patria potestad compartida sobre la HPC,
todo ello en la forma y con las limitaciones establecidas, tanto por la Sentencia de Divorcio,
como por la legislación civil y sanitaria aplicable.
Pero no ha sido así, ya que los accesos indebidos a la HC de su ex-esposa y de las HC
de la HPC y la HPM se han producido por personal del SERIS, como reconoce la propia
Propuesta de resolución.
Por tanto, no concurre en este caso ninguna causa de exoneración de responsabilidad
patrimonial, ya que los accesos indebidos a las HC no se ha probado que se hayan producido
legalmente por el padre titular de la patria potestad compartida, sino por personas al servicio
del SERIS, independientemente de la amistad que estas pudieran tener con aquel y de la
comunicación (no probada en el expediente) de datos indebidamente obtenidos que dicha
amistad haya podido ocasionar.
Cuarto
Sobre los requisitos exigidos para el reconocimiento
de la responsabilidad patrimonial de la Administración pública
1. En consecuencia, del expediente, tal y como hemos expuesto en los antecedentes de
hecho, se deduce, sin lugar a dudas, que han existido varios accesos indebidos a las HC de la
reclamante y de sus dos hijas menores, los cuales, en varias ocasiones, han sido realizados por
personal del SERIS que no tenía ninguna relación de carácter informativo o asistencial con las
titulares de tales HC.
2. Se ha producido, pues, un funcionamiento anormal del servicio público sanitario
consistente en la custodia y control de acceso a los datos contenidos en las HC del SERIS,
según reconoce la propia Propuesta de resolución y según resulta de las siguientes
disposiciones:
10
-La Ley Orgánica 15/1999, de 13 de mayo, de Protección de datos de carácter personal
(LOPD´99), en su Título II, regula los ?Principios? que rigen la materia, estableciendo,
como datos especialmente protegidos (art. 7), los de carácter personal ?que hagan
referencia a la salud?, para los que establece que ?solo podrán ser recabados, tratados
y cedidos cuando, por razones de interés general, así lo dispongan una ley o el afectado
consienta expresamente? (art. 7.3); y sólo excepciona la restricción anterior, ?cuando
dicho tratamiento (de los datos) resulte necesario para la prevención o para el
diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios?, siempre y cuando ?se realice por un profesional
sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una
obligación equivalente de secreto?.
-Para el supuesto concreto de la HC, el art. 16.6 de la Ley 41/2002, de 14 de noviembre,
de Autonomía del paciente (LAP´02), establece que el personal de los Centros sanitarios
?que accede a los datos de la historia clínica en el ejercicio de sus funciones queda
sujeto al deber de secreto?; deber éste que constituye otro de los principios de la
LOPD´99, cuyo art. 10 establece, con carácter general, que: ?el responsable del fichero
y, en su caso, quienes intervengan en cualquier fase del tratamiento de los datos?
están obligados al secreto profesional respecto de los mismos?.
-En cuanto a las condiciones que deben reunir los elementos con los que se lleve a cabo
el tratamiento de los datos, el art. 9.1 LOPD´99 establece, como otro de los principios
generales de su Título II que ?el responsable del fichero y, en su caso, el encargado del
tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos,
ya provengan de la acción humana o del medio físico o natural?.
-Por su parte, el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD´99, regula, en su Título VIII las ?Medidas de seguridad en el tratamiento
de datos de carácter personal, en desarrollo de lo dispuesto en los arts. 7 y 9 LOPD´99,
estableciendo: i) en su art. 80, tres niveles para esas medidas de seguridad exigibles: bajo,
medio y alto; y ii) en su art. 81, el nivel de medidas de seguridad exigible a los ficheros o
tratamientos de datos, en función de las características de estos, indicando, a tal efecto, en su
apartado 3, que: ?además de las medidas de nivel básico y medio, las medidas de nivel alto se
aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) los que se
refieran a datos de? salud o vida sexual?.
11
-Cuáles sean esas medidas de seguridad exigibles a cada nivel son reguladas en artículos
posteriores, haciéndose referencia a las de nivel alto en la Sección 3ª, en la cual, el art. 103,
establece, entre otras y, por lo dicho, además de las aplicables a los niveles bajo y
medio, que: ?1. De cada intento de acceso, se guardarán, como mínimo, la
identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo
de acceso y si ha sido autorizado o denegado (y que)?5. El responsable de seguridad
se encargará de revisar, al menos una vez al mes, la información de control registrada
y elaborará un informe de las revisiones realizadas y los problemas detectados?.
3. En el presente caso, es claro que el SERIS, como entidad encargada de la custodia de
las HC y del control del debido acceso a las mismas, no ha sido capaz de impedir los accesos
indebidos que en ellas se han producido; por lo que debe responder patrimonialmente,
independientemente de si tales accesos indebidos se han producido por conductas negligentes
o intencionadas en el diseño de los programas informáticos de gestión de las HC o en el
protocolo de control de la custodia y acceso de las mismas. Y todo ello sin perjuicio de las
responsabilidades contractuales, económicas, disciplinarias o de otra índole que, si procediere,
quepa exigir a los responsables.
4. En estos casos, se produce un funcionamiento anormal del servicio público de
custodia y acceso a las HC, tal y como lo ha declarado, la Agencia Española de Protección de
Datos (AEPD), en su Resolución de 20 de octubre de 2017, en un supuesto similar al
examinado, en el que una persona usuaria de un Hospital dependiente de un Servicio
autonómico de Salud había tenido conocimiento de accesos reiterados a una HC por parte de
una profesional que no tenía encomendada la asistencia sanitaria, manifestando que:
?Todo ello lleva a considerar, que, por parte de la entidad denunciada se carece de un
efectivo control de los accesos a la información recogida en el fichero de historias clínicas de sus
pacientes, para el cumplimiento del principio de seguridad de los datos, consagrado en el
artículo 9 de la LOPD. Un sistema que permita, no sólo conocer los registros de todos los accesos
que se realizan a cada una de las historias clínicas de sus pacientes, sino también que permita,
por medio de la revisión periódica de esa información, la detección de problemas tales como los
accesos injustificados. Con ello, se garantizaría la seguridad de los datos de carácter personal y
se evitaría su alteración, pérdida, tratamiento o acceso no autorizado; en definitiva, unas medidas
de seguridad adecuadas que garanticen el derecho fundamental a la protección de datos
personales. Por todo lo expuesto, se concluye que, en el presente caso, si bien se dispone de un
registro de accesos a las historias clínicas, este no se ha utilizado para detectar y depurar los
accesos injustificados que se han denunciado en esta Agencia?.
5. En cuanto a los accesos concretos que deben de ser considerados como indebidos o
injustificados, aun prescindiendo de todos los que, por diversos motivos han sido descartados
12
en el expediente, parece claro que se han producido accesos a las tres HC que nos ocupan por
parte de las dos personas antes expresadas, siendo especialmente relevantes los efectuados por
el Dr. D. L.M.G.Z.
En efecto, los accesos a las tres HC por parte del citado Facultativo (en el periodo a que
se contraen los datos de los listados, años 2014 a 2016, inclusive, según la relación de los
mismos que acompañaba a la carta que se le remitió para que explicara el motivo de haberlos
realizado) consistieron en: i) un acceso, el día 11/12/2014, a la HC de la reclamante, en el que
se efectuaron 6 acciones, 2 de las cuales hacen mención a tratarse de ?informe?; ii) otro
acceso, sin que conste en qué fecha, a la HC de la HPM, realizándose una sola acción, referida
a ?documento?; y, iii) 7 accesos, a la HC de la HPC, en los días 15/01, 16/04, 8/09, 3/11,
17/11, 3/12, y 10/12, todos ellos del año 2015, en los cuales se llegaron a efectuar hasta 60
acciones, de las cuales: 10 hacen mención a tratarse de ?informe?; 5, a referirse a
?documento?; y 10, a ?notas?.
El expresado Facultativo, en la contestación a la solicitud de que justificase los accesos
que realizó a las tres HC (que se le efectuó por escrito de 10 de noviembre de 2017), se limitó
a señalar:
-Que, en las fechas que se le especificaban, su trabajo era de documentalista clínico, lo que le exigía
variadas actuaciones relacionadas con el acceso, obtención, custodia y cesión de las HC;
-Que los accesos los llevó a cabo en referencia a su cometido laboral, añadiendo que el acceso a la HC de
la HPC lo efectuó ?a petición del padre? poseedor de la patria potestad, y por lo tanto, con derecho a
obtener información sobre el estado? de su hija; y,
-Que no recuerda en qué consistieron los accesos, al haber realizado muchos, y por cuanto, en octubre de
2016 sufrió un accidente craneal con gravísimas consecuencias, lo que justifica mediante documentación
médica que acompaña.
6. Sin entrar ahora en consideraciones que no nos competen, podemos concluir:
-Que los accesos efectuados por el referido Facultativo carecen de justificación alguna.
-Que, además, estos y otros accesos indebidos realizados a las 3 HC que nos ocupan por
diverso personal del SERIS revelan un deficiente funcionamiento del servicio de
seguridad y control de accesos a las HC del SERIS.
-Que la Administración actuante ha reconocido expresamente en el expediente,
concretamente en la Propuesta de resolución, que se ha producido varios accesos
13
indebidos en las HC de la reclamante y en las de sus dos hijas menores de edad, por
parte de personal al servicio del SERIS.
-Que la reclamante, en afirmación no contradicha en el expediente, ha manifestado que
su ex-marido conocía datos de la HC de la propia reclamante y de sus dos hijas menores
de edad, suponiendo que ello se debía a que los mismos le habían sido comunicadas por
las personas que habían accedido indebidamente a los mismos, y, en especial, por el Dr.
D. L.G.Z., por su amistad con el referido ex-marido.
-Que la Administración actuante trata de minimizar su responsabilidad patrimonial
aduciendo, en resumen, que, si los datos indebidamente obtenidos habían llegado a
conocimiento del ex-marido de la reclamante, ello no debía ser objeto de resarcimiento
alguno, dado que dicho ex-marido compartía la patria potestad sobre la HPC; argumento
que, como hemos explicado, no es de recibo, ya que no ampara los datos relativos a la
HC de la reclamante, ni a los de la HC de la HPM; y, respecto a los de la HC de la HPC,
dicho ex-marido no podía obtenerlos de forma ilegítima, sino sólo solicitándolos por la
vía legalmente procedente, que no consta que utilizara.
-Que, de todo lo anteriormente indicado, se deduce que se han incumplido las normas
sobre protección de datos que antes hemos citado y que se ha producido una intromisión
ilegítima en el derecho fundamental a la intimidad de la reclamante y sus dos hijas
menores de edad, lo cual constituye un funcionamiento anormal del servicio público
sanitario que es imputable a la Administración sanitaria por derivarse de un actuar de
administrativo que se constituye en la causa inmediata y directa de la lesión producida
en el derecho de los afectados, la cual no están obligados a soportar.
Quinto
Sobre el daño producido y su evaluación económica
1. La Propuesta de resolución obrante en el expediente, considerando causa productora
de la lesión del derecho los accesos a las HC, plantea reparar el daño causado simplemente
reconociendo que la actuación administrativa ha sido incorrecta y mencionándolo así en la
Resolución que ponga fin al procedimiento; lo cual significa que la propia Propuesta de
resolución reconoce la existencia de un daño moral, y, evaluándolo, establece su reparación,
aunque de una forma no económica.
14
2. El criterio que viene manteniendo este Consejo es que, la obligación de indemnizar,
responde al principio de la ?reparación integral?, de ahí que, como dijéramos en nuestro
D.31/06 ?la reparación afecta a todos los daños alegados y probados por el perjudicado,
esto es, no sólo a los posibles intereses económicos o directamente valuables, como el daño
emergente o el lucro cesante -artículo 1.106 del Código Civil-, aunque excluyendo las meras
expectativas o ganancias dudosas o contingentes, sino comprendiendo también perjuicios de
otra índole, como, por ejemplo, las secuelas o el daño moral o, con carácter más general, el
denominado pretium doloris (SSTS de 16 de julio de 1984; 7 de octubre y 1 de diciembre de
1989), concepto éste que reviste una categoría propia e independiente de las demás, y
comprende tanto el daño moral como los sufrimientos físicos y psíquicos padecidos por los
perjudicados ( STS de 23 de febrero de 1988)?.
3. En el presente caso es obvio, en criterio de este Consejo que los accesos indebidos
que reiteradamente se han producido en las tres HC que nos ocupan han producido un
evidente daño moral en la reclamante por la zozobra inherente a que los datos íntimos
obtenidos ilegítimamente en dichos accesos hayan sido conocidos por su ex-marido, sin su
imprescindible consentimiento y sin que dicho conocimiento se haya producido por
procedimientos legales. Esta intromisión indebida en la intimidad de la reclamante y de sus
hijas menores de edad supone una lesión del correspondiente derecho fundamental
constitucionalmente garantizado, por lo que debe ser resarcido económicamente, sin perjuicio
de otras acciones que procedan.
4. En lo referente a la cuantía de la reparación, la Propuesta de resolución plantea
desestimar la solicitada por la reclamante, y limitarse a reconocer, en la Resolución que ponga
fin al procedimiento, que se han producido accesos indebidos a las HC; por entender que
dichos accesos han tenido un alcance limitado; han sido efectuados exclusivamente por
personal dependiente del SERIS; y no se ha acreditado la producción de un daño.
Este Consejo discrepa de tal apreciación ya que, dentro del más estricto ámbito jurídico,
como se deduce de todo lo expuesto en el dictamen, los accesos a las HC han constituido una
situación totalmente contraria a las exigencias y finalidades que la normativa antes
mencionada sobre la protección de datos pretende amparar, tal y como ha reconocido la
propia la AEDP en su, en su antes citada Resolución, dictada en un caso muy similar al
presente.
5. En el presente caso no se ha aprobado la producción de daños materiales, pero, a
juicio de este Consejo, son evidentes los daños morales. Como hemos reiterado en diversos
15
dictámenes, la valoración de los daños morales debe efectuarse subjetiva y alzadamente
teniendo en cuenta todas las circunstancias concurrentes en el expediente.
En este caso concreto, se hace necesario acudir al criterio ?de proporcionalidad? entre el
alcance de la lesión y la reparación a efectuar. Desde esta óptica, no podemos desconocer que
los accesos injustificados a las HC, de manera especial, de la reclamante y de sus dos hijas
menores de edad, han tenido que producirle una situación de inquietud y zozobra importante,
máxime si se tiene en consideración que lo normal es que esa ?sensación? de que datos
íntimos derivados de las HC estaban siendo conocidos por su ex-esposo (hacemos abstracción
de que, además, se haya desarrollado en concurrencia con un procedimiento de divorcio, al
parecer, conflictivo, pues ello y aquel momento, le era desconocido al SERIS) no se produce
en un momento puntual, antes al contrario, se va revelando distanciada en el tiempo y de
forma continuada.
6. Ahora bien, la evaluación del daño moral es, por si misma, estimativa y debe ser
efectuada por el evaluador teniendo en cuenta todas las circunstancias concurrentes, por lo
que, en definitiva, consideramos ajustado cuantificar la reparación del daño moral causado en
la suma de 25.000 euros.
7. Finalmente, hemos de señalar que la responsabilidad patrimonial de la
Administración sanitaria por el funcionamiento anormal del servicio público apreciado en el
presente caso puede ser repercutida sobre las personas responsables de los accesos indebidos a
las tres HC que nos ocupan, ya que no parece que dichos accesos se hayan producido a
consecuencia de actuaciones derivadas del servicio público sanitario que a las mismas
competía prestar.
CONCLUSIONES
Primera
Existe responsabilidad patrimonial imputable a la Administración sanitaria, por los
16
daños morales producidos a la reclamante por accesos indebidos a su historia clínica y a las de
sus dos hijas menores de edad.
Segunda
La indemnización de los daños morales producidos a la reclamante ha de fijarse en la
suma de 25.000 euros, por aplicación del principio de proporcionalidad, cantidad que puede
ser ulteriormente exigida a los responsables de los accesos indebidos a las historias clínicas.
Este es el Dictamen emitido por el Consejo Consultivo de La Rioja que, para su
remisión conforme a lo establecido en el artículo 53.1 de su Reglamento, aprobado por
Decreto 8/2002, de 24 de enero, expido en el lugar y fecha señalados en el encabezamiento.
EL PRESIDENTE DEL CONSEJO CONSULTIVO
Joaquín Espert y Pérez-Caballero
LIBROS Y CURSOS RELACIONADOS
Responsabilidad extracontractual de las Administraciones Públicas. Paso a paso
14.50€
13.78€