Dictamen de Consejo Consultivo de La Rioja D.069/18 de 2018

Contestacion

En Logroño, a 17 de julio de 2018, el Consejo Consultivo de La Rioja, reunido en su

sede, con asistencia de su Presidente, D. Joaquín Espert Pérez-Caballero, y de los Consejeros,

D. José María Cid Monreal, D. Enrique de la Iglesia Palacios, D. José Luis Jiménez Losantos

y D. Pedro Prusén de Blas, así como del Letrado-Secretario General, D. Ignacio Granado

Hijelmo, y siendo ponente D. José Luis Jiménez Losantos, emite, por unanimidad, el siguiente

DICTAMEN

69/18

Correspondiente a la consulta formulada por la Consejería de Salud del Gobierno de La

Rioja, en relación con la Reclamación de responsabilidad patrimonial de la Administración

sanitaria formulada por Dª I.M.R., por daños y perjuicios que entiende causados por accesos,

que estima indebidos, a datos de su historia clínica y a los de dos de sus hijas menores de

edad, desde el año 2014; y que valora en 40.000 euros.

ANTECEDENTES DE HECHO

Antecedentes del asunto

Primero

1. En fecha 15 de abril de 2017, la representación letrada de la expresada reclamante

presentó escrito de reclamación de responsabilidad patrimonial, en el que hacia constar, de

forma resumida, los siguientes hechos:

-Que es madre de dos hijas menores de edad: i) Y.C.S.M., de 6 años de edad, fruto de su disuelto (por

divorcio) matrimonio con D. C.S.S. (a la que, en lo sucesivo, nos referiremos como hija en patria potestad

compartida, con las siglas HPC); y ii) M.O.M.R., de 4 años de edad, fruto de otra relación conyugal (a la

que, en lo sucesivo, nos referiremos como hija en patria potestad exclusiva de su referida madre, con las

siglas HPM).

-Como hemos adelantado, el expresado matrimonio fue disuelto, en virtud de procedimiento de divorcio,

por Sentencia de 11 de septiembre de 2014, en la que consta que: i) la guardia y custodia de la hija de

ambos esposos se atribuye a la madre; ii) la patria potestad se atribuye, compartida a ambos

progenitores, si bien su ejercicio, en cuanto se refiere a actos ordinarios y a las situaciones de urgente

1

necesidad, corresponderá a aquél de los progenitores con quién dicha hija se encuentre, debiendo avisar al

otro a la mayor brevedad posible; iii) el régimen de visitas y estancias se establece con carácter rotatorio

y casuístico, debiendo destacar que, pese a otorgarse la guarda y custodia a la madre, se asigna al padre la

convivencia con la hija menor común durante bastantes periodos de tiempo laborables a lo largo del año.

-La reclamante tuvo sospechas de que su ex-esposo disponía de información correspondiente a las

historias clínicas (en adelante, HC) de ella misma y de su dos hijas menores, por lo que solicitó, al

Servicio Riojano de Salud (SERIS), una relación detallada de los accesos a las tres HC.

-La relación detallada, fechada el 30 de noviembre de 2016, indica que, desde el año 2014, en la HC de la

reclamante, constan 172 accesos, de los que considera que 47 (realizados por personas que identifica) no

tienen carácter clínico o asistencial que los justifique. Asimismo, indica que han existido accesos a la HC

de la HPC, considerando injustificados los de la trabajadora social Dª M.I.J.S. y del Dr. D. J.J.M.S.; y, por

último, en cuanto a la HPM, también consigna varios accesos injustificados.

-De manera concreta, la reclamante destaca los accesos injustificados efectuados por Dª M.I.J.S. y el Dr.

D. L.M.G.Z., al considerar que no tenían relación asistencial con ninguno de los tres titulares de las HC,

en especial el citado Dr., por considerar que mantiene un vínculo de amistad con su ex esposo.

-La reclamante señala que, pese a no presentar una especial problemática patológica, en sus gestaciones y

embarazos (alguno de los cuales no llegaron a término), presenta una HC complicada y, por ello, de

?intensa? intimidad.

-Finaliza su reclamación haciendo constar que, por todo ello, los ilegítimos accesos, a su HC y a las HC

de sus dos hijas, le han causado unos ?graves daños psicológicos y morales?, cuya reparación valora en

40.000 euros.

2. Es preciso aclarar que los listados de acceso a las HC están conformados por hojas en

las que aparecen filas y columnas que indican el nombre de quien efectúa el acceso, el día,

mes y año en que se efectúa; y, la acción que se realiza, descrita escuetamente; aunque no se

refleja con la claridad que sería deseable si la persona que accede en un mismo día ha

realizado un solo acceso durante el cual ha efectuado varias acciones o si ha realizado tantos

accesos como acciones se reflejan.

Segundo

1. Recibida la reclamación en la Consejería de Salud del Gobierno de La Rioja, fue

remitida a la Compañía aseguradora del SERIS, la cual acusó recibo el 3 de mayo de 2017.

2. La Secretaría General Técnica de la Consejería actuante dictó una Resolución,

firmada electrónicamente el 11 de mayo de 2017, en el sentido de tener por iniciado el

procedimiento general de responsabilidad patrimonial con efectos del 20 de abril de 2017, y

designar Instructor del mismo. Este último remitió oficio de 12 de mayo de 2017 (notificado,

2

a la Letrada de la reclamante, el 18 de mayo de 2017), informándole del plazo para resolver.

3. El Instructor solicitó, por comunicación de 4 de octubre de 2017, a la Dirección del

Área de Salud de La Rioja, Hospital San Pedro: i) un informe que confirmara o desmintiera

los accesos alegados; ii) una valoración sobre la justificación de los mismos; iii) las

direcciones IP de los equipos desde los que se había accedido, si procediere; y iv) cualquier

otro dato o circunstancia que se estimase relevante en orden a la reclamación.

4. El 6 de noviembre de 2017, la Técnico del Área Jurídica del Centro requerido

remitió, al Instructor, un escrito explicando las actuaciones que se estaban efectuando, entre

las cuales remarcaba:

-Haber descartado un grupo de accesos por estar justificados (en concreto, los que se habían efectuado

desde Servicios que habían prestado asistencia sanitaria a los titulares de las HC); y los de los Servicios

administrativos referentes a llamadas telefónicas para citas o variaciones de las ya concedidas).

-Haber remitido carta a 33 personas de las que, constando que habían accedido a las HC, no se podía

conocer la causa del acceso, para que lo justificasen; estando a la espera de las respuestas; y,

-Haber contactado con los Servicios encargados de la informática, según los cuales se había producido un

error consistente en que, al solicitar los accesos, indicaron el parámetro ?objetos clínicos? en lugar de

señalar ?actos clínicos?, que es el adecuado; por lo que estaban elaborando al respecto un informe, que se

enviaría.

5. El Instructor decidió, el 7 de noviembre de 2017, ampliar el plazo para resolver el

expediente, al amparo del art. 23.1 de la Ley 31/2015 del Procedimiento administrativo

común (LPAC`15), por un periodo de otros seis meses, lo que fue comunicado a la

representante de la reclamante el 9 de noviembre siguiente.

Tercero

1. La Dirección del Área de Salud, sin que haya constancia en el expediente del

momento en que lo llevó a cabo, remitió al Instructor la relación de cartas enviada y sus

correspondientes contestaciones, la mayor parte de las cuales indicaban que no conocían a los

titulares de las HC o no recordaban haber accedido a las mismas.

2. Posteriormente, por escrito de 21 de noviembre de 2017, remitió:

-Un informe del departamento de Agenda Digital del Gobierno de La Rioja, de 20 de noviembre de 2017,

3

en el sentido de: i) que no existe obligación de guardar información sobre la asignación de direcciones IP

a los equipos de trabajo; y ii) que es más precisa la determinación de quién accede a través del

identificador del usuario y su contraseña, pues, tratándose de equipos de trabajo asignados a un puesto

genérico, en una misma sesión de trabajo, ha podido ser utilizado por varios usuarios.

-Un informe del Servicio de Documentación Clínica del Hospital San Pedro, de 15 de noviembre del

2017, especificativo de que, tras la revisión encargada a la empresa gestora de las HC, se había cribado la

lista inicial de accesos injustificados, eliminando de la misma a un total de 39 personas.

3. Mediante oficio de 26 de noviembre de 2017, la Dirección del Área de Salud remitió,

al Instructor, un informe, de 15 de noviembre de 2017, en el que Cerner Ibérica, S.L.U.

(CERNER, empresa encargada de la gestión de las HC), manifiesta que: i) está comprobando

el sistema informático para detectar ?posibles defectos de código? que expliquen que los

detalles sobre el acceso a las HC electrónicas ?no se registren de acuerdo a los criterios de

diseño?; ii) que va a ?subsanar los eventuales defectos a finales de 2017 o principios de

2018?; y iii) que, entre tanto, establece unas concretas actuaciones para evitarlos.

Cuarto

1. En fecha 21 de noviembre de 2017, la reclamante presenta un escrito en el que

manifiesta que, en un examen más minucioso del listado que se le había facilitado, ha

detectado dos Facultativos que desarrollaban su profesión en entidades ajenas al SERIS.

2. Por oficio de 5 de diciembre de 2017, notificado a la representante de la reclamante el

13 de diciembre de 2017, el Instructor confirió a la reclamante un plazo de 12 días para

examen del expediente, formulación de alegaciones y aportación de los documentos y

elementos de juicio que considerase oportuno.

3. La reclamante formuló sus alegaciones mediante un escrito presentado el 4 de enero

de 2018, en el cual señaló: i) que se estaba tramitando el expediente con listados distintos a

los que se le habían facilitado, aduciendo en la existencia de ?errores? en estos últimos; ii) que

consideraba genérico el informe elaborado por la empresa C., por lo que solicitaba que el

mismo se ampliara para determinar cómo cada error de código detectado había podido influir

en los concretos accesos; y, iii) que, respecto a las manifestaciones del Dr. G.Z. (referidas a

que los accesos que había efectuado a la HC de la HPC, los había efectuado a petición del

padre de la menor, quien estaba facultado para ello por ostentar la patria potestad), seguía

considerando tales accesos como indebidos, por cuanto, estando atribuida la patria potestad a

los dos progenitores, debían haberse efectuado a petición de ambos.

Quinto

4

Con motivo de lo expuesto en el escrito de alegaciones, el Instructor dirigió nuevo

oficio a la Dirección del Área de Salud, de fecha 18 de enero de 2018, solicitando

información complementaria, la cual fue remitida, por oficio de 2 de febrero de 2108, con los

siguientes particulares:

-Listados de accesos a las tres HC, elaborados en enero de 2018 y corregidos respecto de los entregados

inicialmente a la reclamante en noviembre de 2016, con separación de los correspondientes a los

efectuados a la HC de Atención Primaria y a la de Atención Especializada de cada titular.

-Informe del Dr. D. L.E.E., Jefe del Servicio de Documentación Clínica, de 23 de enero de 2018,

detallando los días y desde qué dirección IP el Dr. L.M.G.Z. accedió a las tres HC de la reclamante y de

sus dos hijas.

-Informe de 23 de enero de 2018, del mismo responsable que el apartado anterior, explicando las razones

por las que un profesional puede acceder a una HC de un paciente sin efectuar ninguna anotación en la

misma.

-Informe, de 30 de enero de 2018, de la Técnico del Área Jurídica, sobre las actuaciones practicadas

desde el Área de Salud a lo largo del expediente, en el cual: i) aclara que la consideración como

?accedentes? de los señores G., L. e I.Z. (reseñadas específicamente por la reclamante en su escrito de 8

de noviembre de 2017 por tratarse de personas ajenas al SERIS), fue fruto de errores del sistema

informático; y ii) mantiene que la solicitud de datos de la HPC fue legítima al ostentar el padre la patria

potestad sobre la HPC.

-Informe del Director General de C., de 25 de enero de 2018, en el que completa el anteriormente

emitido, precisando:

1) Que el sistema informático ?audita la información de acceso a los datos mediante el

almacenado de las acciones llevadas a cabo por los profesionales? autorizados. Estas pueden ser

desde muy sencillas? hasta otras de mayor complejidad. Cada acción es registrada, con

información adicional, en función de la propia acción y los circuitos seguidos en la aplicación

para llevarla a cabo. Por ello,? las acciones tienen campos de información que permiten

identificar de varias formas a qué HC hacen referencia y quién y cuándo la llevó a cabo?.

2) Que, una vez detectados los errores del sistema, se elaboró un segundo listado corregido, que

ofreció como resultado que las HC no tenían variación ni en el número de accesos ni en el de

profesionales que habían accedido. En cuanto a la HC de la HPC, se encontró una diferencia de 41

profesionales, que no debieron aparecer en el informe de accesos inicial, por no haber accedido a

dicha HC.

3) Que, tras efectuar una descripción de los cinco errores detectados, concluye: i) que, en las HC,

no hay accesos erróneos en el informe inicial; y ii) que, en el análisis comparativo de los informes

de accesos elaborados en distintas fechas relativos a la HC de la HPC, se detectan 41 usuarios

(cuya relación detallada acompaña) que no habían accedido, no habiendo ningún usuario que,

figurando en el informe elaborado tras corregir los errores, no estuviese en el entregado a la

5

reclamante.

Sexto

1. Mediante escrito de 6 de febrero de 2018 (notificado el 9 de febrero de 2018) el

Instructor confirió, a la reclamante, 15 días para examinar el expediente y presentar

alegaciones.

2. Por escrito presentado el 2 de marzo de 2018, la reclamante formuló las alegaciones

que estimo oportunas, reiterándose en su petición inicial, y solicitando: i) que se practicase

una prueba de interrogatorio a Dª M. I.J.S., y al Dr. D. J.M.G.Z.; y ii) que se solicitase

dictamen a este Consejo Consultivo.

3. El Instructor dictó oficio de 16 de marzo de 2018, denegando la práctica de la prueba

solicitada, por considerar que la misma no había de aportar nuevos datos de interés a los que

ya constaban en el informe; y, en cuanto a la solicitud de dictamen a este Consejo, tras

especificar no ser preceptivo por razón de la cuantía, se remitía a la decisión que adoptara el

órgano que tuviera que resolver.

Séptimo

1. En fecha 22 de marzo de 2018, el Instructor elaboró una Propuesta de resolución, por

la que, estimando haberse producido un acceso no justificado en las HC de la reclamante y sus

dos hijas menores de edad, por parte de dos personas al servicio del SERIS (la trabajadora

social Dª M.I.J.S. y el Dr. D. J.M.G.Z.), en atención a no existir prueba alguna que justifique

el daño moral alegado, ni circunstancias para poder valorarlo, considera suficiente reparación

del daño moral alegado, la constatación, por la resolución que en el expediente se haya de

dictar, de los accesos indebidos a las HC de la reclamante y sus dos hijas menores de edad.

2. Recibida la Propuesta de resolución, la Secretaría General Técnica de la Consejería

actuante, por oficio de 23 de marzo de 2018 solicitó, a la Dirección General de los Servicios

Jurídicos, el preceptivo informe y notificó tal circunstancia, a la reclamante, para suspender el

plazo para resolver previsto en el art. 22.1.d), LPAC´15.

3. La Dirección General de los Servicios Jurídicos emitió, el 15 de mayo de 2018, su

preceptivo informe, en sentido favorable a la Propuesta de resolución.

6

Antecedentes de la consulta

Primero

Por escrito firmado electrónicamente en fecha 18 de mayo de 2018, y de entrada en este

Consejo el siguiente día 22, la Excma. Sra. Consejera de Salud del Gobierno de La Rioja,

remitió al Consejo Consultivo de La Rioja, para dictamen, el expediente tramitado sobre el

asunto referido.

Segundo

El Sr. Presidente del Consejo Consultivo de La Rioja, mediante escrito firmado, enviado

y registrado de salida electrónicamente el 22 de mayo de 2018 procedió, en nombre de dicho

Consejo, a acusar recibo de la consulta, a declarar provisionalmente la misma bien efectuada,

así como a apreciar la competencia del Consejo para evacuarla en forma de dictamen.

Tercero

Asignada la ponencia al Consejero señalado en el encabezamiento, la correspondiente

ponencia quedó incluida, para debate y votación, en el orden del día de la sesión del Consejo

Consultivo convocada para la fecha allí mismo indicada.

FUNDAMENTOS DE DERECHO

Primero

Sobre el carácter del dictamen del Consejo Consultivo

La Ley 39/2015, de 1 de octubre (LPAC´15), cuya entrada en vigor se produjo el 2 de

octubre de 2016 y por ello, aplicable al presente procedimiento (DT 3ª, b), establece, en su art.

81.2, en cuanto a los de responsabilidad patrimonial, que: ?cuando las indemnizaciones

reclamadas sean de cuantía igual o superior a 50.000 euros o a la que se establezca en la

correspondiente legislación autonómica?, será preceptivo solicitar dictamen del Consejo de

Estado o, en su caso, del órgano consultivo de la Comunidad Autónoma?.

Constituye complemento autonómico de dicho precepto, el art. 65.4 de la Ley 4/2005,

de 1 de junio, de Régimen jurídico de la Administración de la CAR, al especificar que: ?los

7

procedimientos de responsabilidad patrimonial de la Comunidad Autónoma de La Rioja se

tramitarán de acuerdo con la normativa básica estatal en la materia, sin perjuicio de las

especialidades derivadas de la propia organización. La cuantía fijada para que los

dictámenes del Consejo Consultivo de La Rioja resulten preceptivos será la que fije el Estado

con carácter general en dicha normativa básica?.

E igualmente, nuestra Ley reguladora 3/2001, de 31 de mayo, que, en su art. 11, g),

establece que: el Consejo Consultivo deberá ser consultado en los siguientes asuntos: ?

reclamaciones que, en materia de daños y perjuicios, se formulen ante la Administración

pública, incluidos en todo caso los entes a que se refiere el apartado 2 de artículo 10 de la

presente Ley, cuando resulte preceptivo según la normativa reguladora de los procedimientos

de responsabilidad patrimonial?. Esta disposición es reiterada por el art. 12, g), del

Reglamento orgánico y funcional del Consejo Consultivo de La Rioja, aprobado por Decreto

8/2002, de 24 de enero.

En lógica conclusión, a tenor de la cuantía reclamada en el expediente, fijada por la

reclamante en la suma de 40.000 euros, nuestro dictamen no resulta preceptivo, por lo que

deviene así aplicable el art. 10, núm. 1 de nuestra Ley reguladora citada, al disponer que ?el

Consejo Consultivo de La Rioja emitirá dictamen en cuantos asuntos le sometan a su consulta

el Presidente del Gobierno de La Rioja, el Gobierno de La Rioja o sus Consejeros?. En

términos similares, se pronuncia el precitado Reglamento de este Consejo, en sus artículos 7

(que expresamente diferencia entre consultas preceptivas y facultativas); 13 (que menciona

determinados supuestos de dictámenes facultativos); y 39, entre otros. Por tanto, el presente

dictamen tiene carácter facultativo.

En cuanto al contenido del dictamen, a tenor de los previsto en el art. 81.2, párr. 3º,

LPAC´15, ha de versar sobre la existencia o no de relación de causalidad entre el

funcionamiento del servicio público y la lesión producida y, en su caso, sobre la valoración

del daño causado y la cuantía y modo de la indemnización de acuerdo con los criterios de esa

misma Ley.

Segundo

Sobre los requisitos exigidos para el reconocimiento

de la responsabilidad patrimonial de la Administración pública

8

Nuestro ordenamiento jurídico (art. 106.2 de la Constitución (CE) y 32.1 y 2 y 34.1 de la

Ley 40/2015, de 1 de octubre, del Régimen jurídico del Sector público, LSP´15) reconoce a los

particulares el derecho a ser indemnizados de toda lesión que sufran en cualquiera de sus

bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia

del funcionamiento, normal o anormal, de los servicios públicos, entendido como cualquier

hecho o actuación enmarcada dentro de la gestión pública, sea lícito o ilícito, siendo necesario

para declarar tal responsabilidad que la parte reclamante acredite la efectividad de un daño

material, individualizado y evaluable económicamente, que no esté jurídicamente obligado a

soportar el administrado, y debiendo existir una relación de causa a efecto directa e

inmediata, además de suficiente, entre la actuación (acción u omisión) administrativa y el

resultado dañoso para que la responsabilidad de éste resulte imputable a la Administración,

así como, finalmente, que ejercite su derecho a reclamar en el plazo legal de un año, contado

desde la producción del hecho o acto que motive la indemnización o desde la manifestación de

su efecto lesivo.

Se trata de un sistema de responsabilidad objetiva y no culpabilístico que, sin embargo,

no constituye una suerte de ?seguro a todo riesgo? para los particulares que de cualquier modo

se vean afectados por la actuación administrativa. En efecto, el vigente sistema de

responsabilidad patrimonial objetiva no convierte a las Administraciones públicas en

aseguradoras universales de todos los riesgos con el fin de prevenir cualquier eventualidad

desfavorable o dañosa para los administrados, derivada de la actividad tan heterogénea de las

Administraciones públicas.

Tercero

Aclaración sobre la patria potestad

La reclamación se refiere, no sólo a accesos indebidos efectuados en la HC de la madre

reclamante, sino también a los efectuados en las HC de HPC (hija sujeta a patria potestad

compartida con su ex-marido) y de la HPM (hija sujeta sólo a la patria potestad de la

reclamante).

En diversos informes obrantes en el expediente y que antes hemos citado, se afirma que

los accesos a la HC de la HPC no deben ser tenidos como indebidos en cuanto que fueron

efectuados por el exmarido de la reclamante que también ostentaba la patria potestad

compartida sobre dicha hija menor.

9

Este Consejo no comparte tal apreciación ya que, por un lado, no constan accesos a la

HC de la HPC efectuados directamente por el padre, sino sólo por personas al servicio del

SERIS de las que se sospecha que, por su amistad con el mismo, hayan podido trasmitirle la

información indebidamente obtenida.

Es cierto que el padre podría haber accedido a los datos de la HC de la HPC, pero no

directamente por su propia autoridad ni tampoco solicitándolo a personal del SERIS con el

que tuviera relaciones de amistad, sino recabándolos oficialmente del personal encargado de

la custodia de dicha HC y alegando, para ello, la patria potestad compartida sobre la HPC,

todo ello en la forma y con las limitaciones establecidas, tanto por la Sentencia de Divorcio,

como por la legislación civil y sanitaria aplicable.

Pero no ha sido así, ya que los accesos indebidos a la HC de su ex-esposa y de las HC

de la HPC y la HPM se han producido por personal del SERIS, como reconoce la propia

Propuesta de resolución.

Por tanto, no concurre en este caso ninguna causa de exoneración de responsabilidad

patrimonial, ya que los accesos indebidos a las HC no se ha probado que se hayan producido

legalmente por el padre titular de la patria potestad compartida, sino por personas al servicio

del SERIS, independientemente de la amistad que estas pudieran tener con aquel y de la

comunicación (no probada en el expediente) de datos indebidamente obtenidos que dicha

amistad haya podido ocasionar.

Cuarto

Sobre los requisitos exigidos para el reconocimiento

de la responsabilidad patrimonial de la Administración pública

1. En consecuencia, del expediente, tal y como hemos expuesto en los antecedentes de

hecho, se deduce, sin lugar a dudas, que han existido varios accesos indebidos a las HC de la

reclamante y de sus dos hijas menores, los cuales, en varias ocasiones, han sido realizados por

personal del SERIS que no tenía ninguna relación de carácter informativo o asistencial con las

titulares de tales HC.

2. Se ha producido, pues, un funcionamiento anormal del servicio público sanitario

consistente en la custodia y control de acceso a los datos contenidos en las HC del SERIS,

según reconoce la propia Propuesta de resolución y según resulta de las siguientes

disposiciones:

10

-La Ley Orgánica 15/1999, de 13 de mayo, de Protección de datos de carácter personal

(LOPD´99), en su Título II, regula los ?Principios? que rigen la materia, estableciendo,

como datos especialmente protegidos (art. 7), los de carácter personal ?que hagan

referencia a la salud?, para los que establece que ?solo podrán ser recabados, tratados

y cedidos cuando, por razones de interés general, así lo dispongan una ley o el afectado

consienta expresamente? (art. 7.3); y sólo excepciona la restricción anterior, ?cuando

dicho tratamiento (de los datos) resulte necesario para la prevención o para el

diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la

gestión de servicios sanitarios?, siempre y cuando ?se realice por un profesional

sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una

obligación equivalente de secreto?.

-Para el supuesto concreto de la HC, el art. 16.6 de la Ley 41/2002, de 14 de noviembre,

de Autonomía del paciente (LAP´02), establece que el personal de los Centros sanitarios

?que accede a los datos de la historia clínica en el ejercicio de sus funciones queda

sujeto al deber de secreto?; deber éste que constituye otro de los principios de la

LOPD´99, cuyo art. 10 establece, con carácter general, que: ?el responsable del fichero

y, en su caso, quienes intervengan en cualquier fase del tratamiento de los datos?

están obligados al secreto profesional respecto de los mismos?.

-En cuanto a las condiciones que deben reunir los elementos con los que se lleve a cabo

el tratamiento de los datos, el art. 9.1 LOPD´99 establece, como otro de los principios

generales de su Título II que ?el responsable del fichero y, en su caso, el encargado del

tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias

que garanticen la seguridad de los datos de carácter personal y eviten su alteración,

pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la

tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos,

ya provengan de la acción humana o del medio físico o natural?.

-Por su parte, el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la LOPD´99, regula, en su Título VIII las ?Medidas de seguridad en el tratamiento

de datos de carácter personal, en desarrollo de lo dispuesto en los arts. 7 y 9 LOPD´99,

estableciendo: i) en su art. 80, tres niveles para esas medidas de seguridad exigibles: bajo,

medio y alto; y ii) en su art. 81, el nivel de medidas de seguridad exigible a los ficheros o

tratamientos de datos, en función de las características de estos, indicando, a tal efecto, en su

apartado 3, que: ?además de las medidas de nivel básico y medio, las medidas de nivel alto se

aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) los que se

refieran a datos de? salud o vida sexual?.

11

-Cuáles sean esas medidas de seguridad exigibles a cada nivel son reguladas en artículos

posteriores, haciéndose referencia a las de nivel alto en la Sección 3ª, en la cual, el art. 103,

establece, entre otras y, por lo dicho, además de las aplicables a los niveles bajo y

medio, que: ?1. De cada intento de acceso, se guardarán, como mínimo, la

identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo

de acceso y si ha sido autorizado o denegado (y que)?5. El responsable de seguridad

se encargará de revisar, al menos una vez al mes, la información de control registrada

y elaborará un informe de las revisiones realizadas y los problemas detectados?.

3. En el presente caso, es claro que el SERIS, como entidad encargada de la custodia de

las HC y del control del debido acceso a las mismas, no ha sido capaz de impedir los accesos

indebidos que en ellas se han producido; por lo que debe responder patrimonialmente,

independientemente de si tales accesos indebidos se han producido por conductas negligentes

o intencionadas en el diseño de los programas informáticos de gestión de las HC o en el

protocolo de control de la custodia y acceso de las mismas. Y todo ello sin perjuicio de las

responsabilidades contractuales, económicas, disciplinarias o de otra índole que, si procediere,

quepa exigir a los responsables.

4. En estos casos, se produce un funcionamiento anormal del servicio público de

custodia y acceso a las HC, tal y como lo ha declarado, la Agencia Española de Protección de

Datos (AEPD), en su Resolución de 20 de octubre de 2017, en un supuesto similar al

examinado, en el que una persona usuaria de un Hospital dependiente de un Servicio

autonómico de Salud había tenido conocimiento de accesos reiterados a una HC por parte de

una profesional que no tenía encomendada la asistencia sanitaria, manifestando que:

?Todo ello lleva a considerar, que, por parte de la entidad denunciada se carece de un

efectivo control de los accesos a la información recogida en el fichero de historias clínicas de sus

pacientes, para el cumplimiento del principio de seguridad de los datos, consagrado en el

artículo 9 de la LOPD. Un sistema que permita, no sólo conocer los registros de todos los accesos

que se realizan a cada una de las historias clínicas de sus pacientes, sino también que permita,

por medio de la revisión periódica de esa información, la detección de problemas tales como los

accesos injustificados. Con ello, se garantizaría la seguridad de los datos de carácter personal y

se evitaría su alteración, pérdida, tratamiento o acceso no autorizado; en definitiva, unas medidas

de seguridad adecuadas que garanticen el derecho fundamental a la protección de datos

personales. Por todo lo expuesto, se concluye que, en el presente caso, si bien se dispone de un

registro de accesos a las historias clínicas, este no se ha utilizado para detectar y depurar los

accesos injustificados que se han denunciado en esta Agencia?.

5. En cuanto a los accesos concretos que deben de ser considerados como indebidos o

injustificados, aun prescindiendo de todos los que, por diversos motivos han sido descartados

12

en el expediente, parece claro que se han producido accesos a las tres HC que nos ocupan por

parte de las dos personas antes expresadas, siendo especialmente relevantes los efectuados por

el Dr. D. L.M.G.Z.

En efecto, los accesos a las tres HC por parte del citado Facultativo (en el periodo a que

se contraen los datos de los listados, años 2014 a 2016, inclusive, según la relación de los

mismos que acompañaba a la carta que se le remitió para que explicara el motivo de haberlos

realizado) consistieron en: i) un acceso, el día 11/12/2014, a la HC de la reclamante, en el que

se efectuaron 6 acciones, 2 de las cuales hacen mención a tratarse de ?informe?; ii) otro

acceso, sin que conste en qué fecha, a la HC de la HPM, realizándose una sola acción, referida

a ?documento?; y, iii) 7 accesos, a la HC de la HPC, en los días 15/01, 16/04, 8/09, 3/11,

17/11, 3/12, y 10/12, todos ellos del año 2015, en los cuales se llegaron a efectuar hasta 60

acciones, de las cuales: 10 hacen mención a tratarse de ?informe?; 5, a referirse a

?documento?; y 10, a ?notas?.

El expresado Facultativo, en la contestación a la solicitud de que justificase los accesos

que realizó a las tres HC (que se le efectuó por escrito de 10 de noviembre de 2017), se limitó

a señalar:

-Que, en las fechas que se le especificaban, su trabajo era de documentalista clínico, lo que le exigía

variadas actuaciones relacionadas con el acceso, obtención, custodia y cesión de las HC;

-Que los accesos los llevó a cabo en referencia a su cometido laboral, añadiendo que el acceso a la HC de

la HPC lo efectuó ?a petición del padre? poseedor de la patria potestad, y por lo tanto, con derecho a

obtener información sobre el estado? de su hija; y,

-Que no recuerda en qué consistieron los accesos, al haber realizado muchos, y por cuanto, en octubre de

2016 sufrió un accidente craneal con gravísimas consecuencias, lo que justifica mediante documentación

médica que acompaña.

6. Sin entrar ahora en consideraciones que no nos competen, podemos concluir:

-Que los accesos efectuados por el referido Facultativo carecen de justificación alguna.

-Que, además, estos y otros accesos indebidos realizados a las 3 HC que nos ocupan por

diverso personal del SERIS revelan un deficiente funcionamiento del servicio de

seguridad y control de accesos a las HC del SERIS.

-Que la Administración actuante ha reconocido expresamente en el expediente,

concretamente en la Propuesta de resolución, que se ha producido varios accesos

13

indebidos en las HC de la reclamante y en las de sus dos hijas menores de edad, por

parte de personal al servicio del SERIS.

-Que la reclamante, en afirmación no contradicha en el expediente, ha manifestado que

su ex-marido conocía datos de la HC de la propia reclamante y de sus dos hijas menores

de edad, suponiendo que ello se debía a que los mismos le habían sido comunicadas por

las personas que habían accedido indebidamente a los mismos, y, en especial, por el Dr.

D. L.G.Z., por su amistad con el referido ex-marido.

-Que la Administración actuante trata de minimizar su responsabilidad patrimonial

aduciendo, en resumen, que, si los datos indebidamente obtenidos habían llegado a

conocimiento del ex-marido de la reclamante, ello no debía ser objeto de resarcimiento

alguno, dado que dicho ex-marido compartía la patria potestad sobre la HPC; argumento

que, como hemos explicado, no es de recibo, ya que no ampara los datos relativos a la

HC de la reclamante, ni a los de la HC de la HPM; y, respecto a los de la HC de la HPC,

dicho ex-marido no podía obtenerlos de forma ilegítima, sino sólo solicitándolos por la

vía legalmente procedente, que no consta que utilizara.

-Que, de todo lo anteriormente indicado, se deduce que se han incumplido las normas

sobre protección de datos que antes hemos citado y que se ha producido una intromisión

ilegítima en el derecho fundamental a la intimidad de la reclamante y sus dos hijas

menores de edad, lo cual constituye un funcionamiento anormal del servicio público

sanitario que es imputable a la Administración sanitaria por derivarse de un actuar de

administrativo que se constituye en la causa inmediata y directa de la lesión producida

en el derecho de los afectados, la cual no están obligados a soportar.

Quinto

Sobre el daño producido y su evaluación económica

1. La Propuesta de resolución obrante en el expediente, considerando causa productora

de la lesión del derecho los accesos a las HC, plantea reparar el daño causado simplemente

reconociendo que la actuación administrativa ha sido incorrecta y mencionándolo así en la

Resolución que ponga fin al procedimiento; lo cual significa que la propia Propuesta de

resolución reconoce la existencia de un daño moral, y, evaluándolo, establece su reparación,

aunque de una forma no económica.

14

2. El criterio que viene manteniendo este Consejo es que, la obligación de indemnizar,

responde al principio de la ?reparación integral?, de ahí que, como dijéramos en nuestro

D.31/06 ?la reparación afecta a todos los daños alegados y probados por el perjudicado,

esto es, no sólo a los posibles intereses económicos o directamente valuables, como el daño

emergente o el lucro cesante -artículo 1.106 del Código Civil-, aunque excluyendo las meras

expectativas o ganancias dudosas o contingentes, sino comprendiendo también perjuicios de

otra índole, como, por ejemplo, las secuelas o el daño moral o, con carácter más general, el

denominado pretium doloris (SSTS de 16 de julio de 1984; 7 de octubre y 1 de diciembre de

1989), concepto éste que reviste una categoría propia e independiente de las demás, y

comprende tanto el daño moral como los sufrimientos físicos y psíquicos padecidos por los

perjudicados ( STS de 23 de febrero de 1988)?.

3. En el presente caso es obvio, en criterio de este Consejo que los accesos indebidos

que reiteradamente se han producido en las tres HC que nos ocupan han producido un

evidente daño moral en la reclamante por la zozobra inherente a que los datos íntimos

obtenidos ilegítimamente en dichos accesos hayan sido conocidos por su ex-marido, sin su

imprescindible consentimiento y sin que dicho conocimiento se haya producido por

procedimientos legales. Esta intromisión indebida en la intimidad de la reclamante y de sus

hijas menores de edad supone una lesión del correspondiente derecho fundamental

constitucionalmente garantizado, por lo que debe ser resarcido económicamente, sin perjuicio

de otras acciones que procedan.

4. En lo referente a la cuantía de la reparación, la Propuesta de resolución plantea

desestimar la solicitada por la reclamante, y limitarse a reconocer, en la Resolución que ponga

fin al procedimiento, que se han producido accesos indebidos a las HC; por entender que

dichos accesos han tenido un alcance limitado; han sido efectuados exclusivamente por

personal dependiente del SERIS; y no se ha acreditado la producción de un daño.

Este Consejo discrepa de tal apreciación ya que, dentro del más estricto ámbito jurídico,

como se deduce de todo lo expuesto en el dictamen, los accesos a las HC han constituido una

situación totalmente contraria a las exigencias y finalidades que la normativa antes

mencionada sobre la protección de datos pretende amparar, tal y como ha reconocido la

propia la AEDP en su, en su antes citada Resolución, dictada en un caso muy similar al

presente.

5. En el presente caso no se ha aprobado la producción de daños materiales, pero, a

juicio de este Consejo, son evidentes los daños morales. Como hemos reiterado en diversos

15

dictámenes, la valoración de los daños morales debe efectuarse subjetiva y alzadamente

teniendo en cuenta todas las circunstancias concurrentes en el expediente.

En este caso concreto, se hace necesario acudir al criterio ?de proporcionalidad? entre el

alcance de la lesión y la reparación a efectuar. Desde esta óptica, no podemos desconocer que

los accesos injustificados a las HC, de manera especial, de la reclamante y de sus dos hijas

menores de edad, han tenido que producirle una situación de inquietud y zozobra importante,

máxime si se tiene en consideración que lo normal es que esa ?sensación? de que datos

íntimos derivados de las HC estaban siendo conocidos por su ex-esposo (hacemos abstracción

de que, además, se haya desarrollado en concurrencia con un procedimiento de divorcio, al

parecer, conflictivo, pues ello y aquel momento, le era desconocido al SERIS) no se produce

en un momento puntual, antes al contrario, se va revelando distanciada en el tiempo y de

forma continuada.

6. Ahora bien, la evaluación del daño moral es, por si misma, estimativa y debe ser

efectuada por el evaluador teniendo en cuenta todas las circunstancias concurrentes, por lo

que, en definitiva, consideramos ajustado cuantificar la reparación del daño moral causado en

la suma de 25.000 euros.

7. Finalmente, hemos de señalar que la responsabilidad patrimonial de la

Administración sanitaria por el funcionamiento anormal del servicio público apreciado en el

presente caso puede ser repercutida sobre las personas responsables de los accesos indebidos a

las tres HC que nos ocupan, ya que no parece que dichos accesos se hayan producido a

consecuencia de actuaciones derivadas del servicio público sanitario que a las mismas

competía prestar.

CONCLUSIONES

Primera

Existe responsabilidad patrimonial imputable a la Administración sanitaria, por los

16

daños morales producidos a la reclamante por accesos indebidos a su historia clínica y a las de

sus dos hijas menores de edad.

Segunda

La indemnización de los daños morales producidos a la reclamante ha de fijarse en la

suma de 25.000 euros, por aplicación del principio de proporcionalidad, cantidad que puede

ser ulteriormente exigida a los responsables de los accesos indebidos a las historias clínicas.

Este es el Dictamen emitido por el Consejo Consultivo de La Rioja que, para su

remisión conforme a lo establecido en el artículo 53.1 de su Reglamento, aprobado por

Decreto 8/2002, de 24 de enero, expido en el lugar y fecha señalados en el encabezamiento.

EL PRESIDENTE DEL CONSEJO CONSULTIVO

Joaquín Espert y Pérez-Caballero