Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00074-2020 de 09 de marzo de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 100 min
Órgano: Agencia Española de Protección de Datos
Fecha: 09/03/2021
Num. Resolución: PS-00074-2020
Cuestión
Sector:1 / 37
Procedimiento Nº: PS/00074/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO : Con fecha 5/09/2019 se recibe reclamación de A.A.A. . Manifiesta que...
Contestacion
1/37
? Procedimiento Nº: PS/00074/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO: Con fecha 5/09/2019 se recibe reclamación de A.A.A.. Manifiesta que el
2/08/2019 se realizó una resonancia magnética de la rodilla derecha en el HOSPITAL CAMPOGRANDE
DE ***LOCALIDAD.1 solicitada a través de su seguro privado ADESLAS. El
día 27 del mismo mes, por un accidente en el centro de trabajo, ?se le solicitó por la MUTUA
de la empresa? otra resonancia magnética de la misma rodilla en el HOSPITAL SAGRADO
CORAZÓN DE ***LOCALIDAD.1 (CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1 S.A., reclamado
)
En el informe de esta segunda resonancia, resulta que se alude a la primera, realizada el día
2/08 por su seguro privado, y cuando este segundo informe llega a la MUTUA, ?la doctora
que le atiende le dice que se dirija a su médico privado o a la Seguridad Social, ya que ellos
no pueden considerar el accidente en el centro de trabajo como laboral, pues hay una resonancia
magnética anterior realizada en la misma parte del mismo miembro.?
Indica:
- ?Al ser entidades distintas las que han solicitado las resonancias magnéticas, aunque se
hayan realizado en distintos centros de la misma empresa, se ha dado información a una
entidad de lo que yo he realizado a través de otra entidad privada. ?
-?Entiendo que en el caso de un riesgo inminente de que suceda algo fatal, la información de
salud deba ser tenida en cuenta, pero no es este el caso. No hay un riesgo inminente de fallecimiento.?
?Entiendo que, aunque cada empresa tenga una misma historia clínica en todos sus centros,
es para el paciente, no para que sea distribuida a los diferentes clientes de esa empresa.?
En el nombre del reclamado, indica CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1 S.A.
Aporta:
a) En archivo denominado ?***ARCHIVO.1?, en pdf, contiene hoja de ?información
clínica? ?descartar lesión del cuerno posterior del menisco externo? RM rodilla derecha,
firmado el 2/08/2019, ?estudio rodilla derecha? En margen izquierdo figura ?CENTRO DE
DIAGNÓSTICO CAMPO GRANDE S.L?, y en el margen izquierdo de la hoja el logo y el
literal ?AFFIDEA?. Debajo de los datos personales del reclamante figura el número de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/37
historia clínica.
b) En archivo denominado ?***ARCHIVO.2?, en pdf, se adjunta hoja de ?información clínica?: ?sospecha lesión menisco interno?, RM rodilla derecha, ?Estudio resonancia magnética
rodilla derecha? fecha 27/08/2019. En el apartado hallazgos, se refiere a un estudio realizado
previamente porque al inicio mismo indica ?comparo con estudio previo realizado el
2/08/2019? y en el análisis médico utiliza la palabra ?sin cambios respecto al estudio previo?,
con comentarios como: ?se observa una hiper intensidad de señal lineal en cuerno posterior
del menisco interno en relación con una fisura sin cambios respecto al estudio previo? o ?
mejora significativa del esguince del colateral interno en el momento actual?, o la referencia
al cruzado anterior ?sin cambios inflamatorios agudos?. En la parte izquierda figura ?CENTRO
DE DIAGNÓSTICO ***LOCALIDAD.1 S.A.?, y en la parte inferior, la dirección y la web,
affidea.es. Debajo de los datos personales del reclamante figura el número de historia clínica.
SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos
aportados por el reclamante, se trasladó la reclamación al CENTRO DE DIAGNÓSTICO
***LOCALIDAD.1 S.A. el 24/10/2019, por el sistema telemático notific@ y consta notificación
finalizada por realizada el 25/10/2019, sin que se haya atendido la petición.
TERCERO: Con fecha 21/02/2020, la reclamación es admitida a trámite.
CUARTO: Con fecha 4/06/2020 se dicta acuerdo de inicio de procedimiento sancionador con
el literal:
? PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR conforme señala el
artículo 58.2.i) del RGPD a CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1, S.A., con CIF
***CIF.1, por la presunta infracción del artículo 5.1.f) del RGPD, en relación con el artículo 5
de la LOPDGDD, conforme señala el artículo 83.5 a) del RGPD.
SEGUNDO: A los efectos previstos en el 58.2.i) del RGPD, la sanción que pudiera
corresponder por la presunta infracción de la citada disposición sería de una multa administrativa
de 10.000 ?, de conformidad con el 83.2 g) del RGPD, sin perjuicio de lo que resulte
de la instrucción.?
QUINTO: Con fecha 22/06/2020, (folio 121/133 a esa fecha) el reclamado efectúa las siguientes
alegaciones:
1) Su entidad ?cuenta con el consentimiento del paciente para la cesión de sus datos a la
entidad responsable de su cobertura de salud, en este caso la MUTUA FREMAP?-
-Aporta copia del contrato entre FREMAP MUTUA colaboradora con la Seguridad Social
núm. 61 y CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1 SAU (folio 38/133) referido a la
contratación del servicio de diagnóstico por la imagen mediante TAC y ecografía, en ***LOCALIDAD.1
, de 21/12/2018. La tramitación y formalización del contrato se realiza en virtud
de las estipulaciones de la orden TIN 2789/2009 de 14/10 por las que se implantan el modelo
normalizado para la tramitación de solicitudes de autorización y comunicaciones de los
conciertos con medios privados para hacer efectivas las prestaciones sanitarias y recuperadoras
de las Mutuas y según lo dispuesto en el Real Decreto 1630/2011 de 14/11 por el que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/37
se regula la prestación de los servicios sanitarios y de recuperación de Mutuas. El reclamado
aportó copia de contrato FREMAP Mutua colaboradora con la Seguridad Social y CENTRO
DE DIAGNÓSTICO ***LOCALIDAD.1 SAU, referido a la contratación del servicio de
diagnóstico por imagen mediante resonancia magnética en ***LOCALIDAD.1, de
21/12/2018, ?servicio que efectuará de acuerdo con la oferta que presentó y a lo establecido
en los pliegos de cláusulas administrativas y de prescripciones técnicas?. ?El servicio objeto
de contratación será ejecutado por el personal del reclamado o en su caso empresas subcontratistas
dependiendo a todos los efectos de la adjudicataria. El adjudicatario se obliga a
dedicar todos los medios personales y materiales necesarios para llevar a buen término el
objeto del servicio contratado en los términos fijados en los pliegos?
-Adjuntan documento 1, (folio 114) copia de la ?cláusula de Protección de Datos? firmada por
el reclamante el 27/08/2019. Se contienen sus datos, el número de historia clínica con pegatina
FREMAPSS FREMAPSSCC, AFFIDEA SAGRADO CORAZON, 8 h 55 y en el literal figura
:
?su consentimiento de protección de datos?
?Finalidad principal para la prestación de servicios médicos?, ?Yo, abajo firmante, mediante
la firma del presente documento reconozco que he recibido la política de privacidad y se me
ha informado de cómo AFFIDEA procesará los datos personales con el fin de llevar a cabo
el diagnóstico médico y/o la prestación de los servicios médicos solicitados?.
?Finalidades adicionales? (en función de las posibilidades de prestar estos servicios de cada
centro de diagnóstico).
Está marcado en relación con el asunto:
- ?consiento la cesión de datos a mi médico prescriptor y/o mi cobertura de salud y he sido
informado de que, en caso de oposición, la prestación del servicio será a mi cargo como paciente
particular.?
Antes del apartado en el que figura: ?su consentimiento de protección de datos? se indica:
?nuestra política de privacidad para los pacientes contiene la información esencial acerca de
nuestro tratamiento de datos en la prestación de nuestros servicios médicos. Le rogamos
lea este documento en el que se le informa del por qué y cómo se procesa su información
personal. En nuestra política de privacidad podrá encontrar información relativa a los siguientes
aspectos:
A identidad y datos de contacto del controlador de datos,
B datos de contacto del director de Protección de Datos,
C objeto y fundamento legal para su tratamiento,
D fuentes de sus datos personales,
E destinatarios de sus datos personales,
F periodo en el que se almacenarán los datos personales,
G derechos bajo las leyes de Protección de Datos,
H transferencias internacionales de datos
2) En el grupo AFFIDEA ESPAÑA no se han limitado a integrar la historia clínica a nivel de
cada Centro, sino que en aplicación de lo que señala el artículo 14.1 de la Ley 41/2002 de
14/11, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia
de información y documentación clínica, (LAP en lo sucesivo) han implantado la historia
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/37
clínica única en todo el Grupo. No se hace distinción de si la historia es de la sanidad pública
o privada y se deriva del precepto legal que determina la citada integración.
?En la política de privacidad para los pacientes de la página web del grupo AFFIDEA España
se informa expresamente a los pacientes de la existencia de una historia clínica única, utilizando
los siguientes términos: le informamos de que para un mejor diagnóstico médico gestionamos
su historia clínica de manera única de forma que las diferentes entidades del Grupo
AFFIDEA España pueda acceder a su historial clínico, siempre con el fin de prestar un
servicio médico más preciso?.
3) ?Existe un consenso global sobre la importancia de la compartición de la información clínica
única e interoperable que integre los datos de la sanidad pública y privada que se refleja
en numerosas recomendaciones y planes de acción a nivel nacional e internacional. ?Disponer
de Información correcta en el momento adecuado aporta beneficios a los actores y un
impacto positivo en todos los niveles del sistema sanitario.?
4) Menciona que actúa de acuerdo con el interés general, que debe prevalecer sobre el particular
, con relación a garantizar una asistencia sanitaria de calidad. Considera que diversas
fuentes avalan la necesidad de acceso a los estudios e informes previos y la información clínica
adicional, así como la necesidad de la coordinación de las historias, para asegurar la
calidad de la asistencia sanitaria del paciente. Entre ellas:
-La Sociedad Española de Radiología médica elaboró un ?decálogo de buenas prácticas en
tele radiología? (se obtiene accediendo a internet, y se incorpora al procedimiento en archivo
PDF con 51 folios). Se incluyen aspectos relacionados con profesionales y pacientes con el
proceso radiológico y la tecnología. Entre otros aspectos, incluyen el punto 7 bajo el título:
?el acceso a los estudios e informes previos y la información clínica adicional son elementos
imprescindibles para asegurar la calidad del informe radiológico?. En él, se indica que la falta
de revisión de exploraciones radiológicas previas es una causa importante de mala praxis y
de errores en la generación de informes radiológicos, que se precisa de una interpretación
de manera completa, no deben existir limitaciones ni barreras para acceder a los estudios,
informes previos, e información clínica adicional por parte del radiólogo. Se indica también
que ?La autorización para examinar, analizar, verificar cualquier registro e informe que sea
importante, para la realización del informe radiológico, deberá ser otorgada por escrito por el
paciente y se deberán tomar todas las precauciones posibles dentro de las restricciones que
establece la legislación vigente, con el fin de mantener la confidencialidad y la protección de
datos de los pacientes.?
-Cita la disposición adicional tercera de la LAP que establece la ?Coordinación de las historias
clínicas? al determinar que: ?El Ministerio de Sanidad y Consumo, en coordinación y con
la colaboración de las Comunidades Autónomas competentes en la materia, promoverá, con
la participación de todos los interesados, la implantación de un sistema de compatibilidad
que, atendida la evolución y disponibilidad de los recursos técnicos, y la diversidad de sistemas
y tipos de historias clínicas, posibilite su uso por los centros asistenciales de España
que atiendan a un mismo paciente, en evitación de que los atendidos en diversos centros se
sometan a exploraciones y procedimientos de innecesaria repetición.?
Tal y como se desprende de la resolución del procedimiento PS 287/2018 de la AEPD,
(HOSPITAL POVISA) ?si la ley no distingue ni limita, luego la AEPD no debe diferenciar refiriéndose
a los sistemas públicos y privados de salud ?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/37
-Del artículo 56 de la ley 16/2003 de 28/05, de cohesión y calidad del Sistema Nacional de
salud, se deduce que no resulta lógico ni razonable entender que la mejora de la asistencia
sanitaria a los ciudadanos proviene y se debe garantizar sólo con los datos obtenidos de la
sanidad pública poniendo como ejemplo una persona que únicamente dispone de historia
clínica privada y que podría acudir a un centro público a recibir asistencia en urgencias, pudiéndose
derivar responsabilidades por falta de conocimiento de la historia privada .
- ?El grupo AFFIDEA ESPAÑA tiene el sistema implementado pensando en el interés de los
pacientes, velando por su seguridad asistencial y careciendo de intereses propios?.
?La finalidad perseguida es la de una mayor seguridad asistencial para los pacientes permitiendo
la unificación de los procesos asistenciales con independencia de quien resulte el pagador
de la asistencia sanitaria, toda vez que se persigue una mayor garantía de la calidad
de la sanidad y de protección para los pacientes. Resulta incongruente y arriesgado limitar
el acceso sólo a los procesos asistenciales en la sanidad pública si lo que se busca es garantizar
una asistencia de calidad y mayor seguridad.?
5) Alude a parte del contenido de la sentencia de la Audiencia Nacional, sala de lo contencioso
administrativo, sección una, de 22/09/2004, que valora una resolución de la AEPD, en
base a una actuación profesional médica continuada en el marco de seguro privado y un siniestro
, con imputación de cesión de datos de tipo médico obtenidos de un primer examen
médico utilizados para un procedimiento judicial. Traslada el sentido que entiende se desprende
de dicha sentencia, al caso de esta reclamación, como atención medica profesional
continuada.
La sentencia a qué se refiere, aunque no la cita, es concretamente de fecha 22/09/2004, rec.
888/2002 y estima el recurso del cedente de datos, un Gabinete Médico, al que se le imputaba
la infracción indicando y concluyendo que se trata de un caso distinto a la comunicación
a la Mutua del parte del informe de que trata este procedimiento como se deduce , al señalar
: ?Seguros La Estrella ya conocía el resultado de la exploración médica que Gabinete Cervantes
había realizado inicialmente a las denunciantes (hecho probado segundo), con su
consentimiento, y antes de que las mismas demandaran a dicha aseguradora en el procedimiento
judicial, así deriva no solo de los folios 135 a 144 del expediente administrativo que
se citan en la demanda, sino, sobre todo, de la propia mecánica de abono de las indemnizaciones
que corresponde satisfacer por las Compañías de Seguros a sus asegurados en los
casos de siniestros, mecánica de cobertura de riesgos y de pago del importe de los daños
derivados de tales siniestros que se regula minuciosamente tanto en la Ley 50/1980, de 8 de
octubre , de Contratos de Seguro, como en la Ley 30/1995, de 8 de noviembre , de Ordenación
y Supervisión de Seguros Privados.
En definitiva, y puesto que, no existió en el supuesto una segunda o nueva cesión,
sino una nueva utilización por el cesionario (la Compañía de Seguros) de los datos de salud
de las denunciantes que con su consentimiento habían sido recabados por Gabinete Médico
y que ya eran conocidos por la aseguradora, hemos de concluir de este modo no nos encontramos
ante un acto de cesión a un tercero distinto del afectado o interesado en el sentido
al que se refiere la Ley de Protección de Datos.?. La diferencia estriba en que parte de lo
comunicado a la Mutua, la referencia y contraste con el análisis previo no era conocida por
esta.
6) ?Posibilidad de ser participe en un fraude a la Seguridad Social? si un paciente por Mutua,
a causa de un accidente ?es derivado a uno de los Centros del AFFIDEA España, para la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/37
realización de estudio y emisión de diagnóstico, es imprescindible recoger en el informe los
estudios previos ya que resultan determinantes de si la lesión del paciente ha sido originada
por accidente o ya la padecía con carácter previo. Por ejemplo, si un paciente tiene una lesión
degenerativa discal y sufre un accidente de tráfico, la única forma objetiva de saber si
dicho accidente ha empeorado su situación es mediante la comparación con estudios previos
para ver nuevos desplazamientos discales o agravamiento de lesiones previas?
El artículo 7 de la Ley Orgánica 7/2012 de 27/12 por la que se modifica la Ley Orgánica
10/95 de 23/11, del Código Penal, en materia de transparencia y lucha contra el fraude fiscal
y la Seguridad Social, introduce un nuevo artículo 307 ter la siguiente redacción:
?Quien obtenga, para sí o para otro, el disfrute de prestaciones del Sistema de la Seguridad
Social, la prolongación indebida del mismo, o facilite a otros su obtención, por medio del
error provocado mediante la simulación o tergiversación de hechos, o la ocultación consciente
de hechos de los que tenía el deber de informar, causando con ello un perjuicio a la
Administración Pública, será castigado con la pena de seis meses a tres años de prisión.?
En el caso analizado, si grupo AFFIDEA, ?en el informe derivado de la resonancia solicitada
por la Mutua de la empresa el día 27/08/2019 por un accidente en el centro de trabajo, oculta
los antecedentes ya existentes en la misma rodilla y detectados por la resonancia practicada
el 2/08/2019 en un mismo Centro del mismo Grupo y la doctora de la Mutua considera
el accidente en el centro de trabajo como laboral, porque no ha podido tener conocimiento
de la existencia de la resonancia magnética anterior, realizada en la misma parte del mismo
miembro, grupo AFFIDEA estaría incurriendo en fraude contra la Seguridad Social.? Posible
incumplimiento contractual con la MUTUA FREMAP. En los propios contratos firmados entre
el reclamado y FREMAP, el centro adquiere el compromiso de cumplimiento de toda la normativa
que pudiera aplicarse en materias tales como prevención de actividades delictivas.
7)?El informe remitido a la Mutua por la reclamada, se limita a trasladar la conclusión relativa
sobre la dolencia para poner en conocimiento de la Mutua la valoración más objetiva del estado
de salud del trabajador en lo que contenga datos de salud adicionales de los que motivaron
su consulta: ?Sin cambios respecto al estudio previo?, ?mejora significativa del esguince
del colateral interno en el momento actual? o ?sin cambios inflamatorios agudos?.
8) Posible responsabilidad civil derivada del incumplimiento de la ?lex artis?, según diversas
sentencias. La ?lex artis? obliga al profesional sanitario, entendiéndose como aquel criterio
valorativo de la corrección del concreto acto médico ejecutado por el profesional de la medicina
que tiene en cuenta las especiales características de ese autor, de la profesión, de la
complejidad y trascendencia vital del paciente, tratándose en este caso no de una obligación
de resultados sino de medios, la de suministrar todos los cuidados necesarios en consonancia
con el estado de la ciencia y de la ?lex artis ad hoc?. En este sentido, ?el profesional médico
ha de aplicar todos los medios que estén a su alcance, es decir no cabe eludir los conocimientos
derivados de existencias previas ya que no estaría utilizando todos los medios
que se encuentran a su alcance.?
9) Consideran que la inclusión de antecedentes ya existentes en la misma rodilla derecha
del paciente detectados por la resonancia practicada el 2/08 en un centro del mismo grupo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/37
como en el informe de la resonancia del 27/08/2019, no trae causa de un tratamiento no autorizado
o ilícito, pérdida destrucción o daño accidental provocado por la falta de aplicación
de medidas técnicas u organizativas apropiadas por parte del reclamado, sino que es fruto
de una buena praxis médica. Entre otros aspectos del cumplimiento de la normativa que refiere
, manifiesta que su Grupo se viene sometiendo a auditorías externas de cumplimiento
normativo en materia de Protección de Datos cada dos años, siendo el último informe de febrero
2020 y tiene como área de alcance las medidas de seguridad vigentes consiguiendo
una puntuación de 4,7 puntos de 5 aportando algunos datos extraídos de dicho informe en
documento núm. 5.
SEXTO: Con fecha 18/01/2021, se inicia el periodo de practica de pruebas, dando por
reproducidos a tales efectos la reclamación y su documentación, los documentos obtenidos
y generados por los Servicios de Inspección, las alegaciones y la documentación contra el
acuerdo de inicio.
Además, se solicitó:
a) Copia de la información del tratamiento de datos que se le entregó al reclamante en la
primera asistencia médica producida a través de la aseguradora ADESLAS, en la prueba de
2/08/2019, atendido en CENTRO MÉDICO DE DIAGNÓSTICO CAMPO GRANDE S.L.,
perteneciente al GRUPO AFFIDEA.
Se recibe escrito con posterioridad a la emisión de la propuesta, en fecha 19/02/2021,
alegaciones a la misma, indicando que no se recibió el contenido integro de la petición de
pruebas, solo la parte del literal ?dando por reproducidos a tales efectos la reclamación y su
documentación, los documentos obtenidos y generados por los Servicios de Inspección, las
alegaciones y la documentación contra el acuerdo de inicio?, motivo por el que no pudo
contestar a las mismas. Efectivamente, se verifica que la plantilla que por defecto sale como
escrito no se completó con el añadido de las pruebas al destinatario, ni se verificó su
contenido, razón por la cual el escrito recibido por el reclamado contenía solo la parte que
cita.
Aporta en fichero pdf denominado DOCUMENTO 4 que es el mismo modelo estándar de
?cláusula de Protección de Datos? AFFIDEA, ?cumplimentado y firmado por el reclamante
en la asistencia de 27/08/2019 que ya se aportó en alegaciones.
Aporta en fichero pdf denominado DOCUMENTO 5, el mismo modelo estándar de ?cláusula
de Protección de Datos? AFFIDEA, si bien figurando la pegatina de referencia ADESLAS,
AFFIDEA CAMPO GRANDE, 27/04/2019. El literal informativo marcado con el ?consiento la
cesión de los datos a mi médico prescriptor y/o mi cobertura de salud y he sido informado de
que en caso de oposición, la prestación del servicio será a mi cargo como paciente particular?.
b) Copia que recoja las condiciones del contrato suscrito por CENTRO MÉDICO DE
DIAGNÓSTICO CAMPO GRANDE S.L., perteneciente al GRUPO AFFIDEA y relacionadas
con el tratamiento de datos de los pacientes atendidos a través de la aseguradora
ADESLAS, por la que fue atendido el reclamante en la prueba de 2/08/219.
Señala que no existe tal contrato ni obligación de firmarlo. Se atiene a la interpretación de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/37
AEPD de que la transmisión de datos a los Centros de una compañía de seguros sanitarios
es considerada una cesión de datos, convirtiendo al Centro sanitario en responsable del
tratamiento, por lo que no estima necesario la suscripción de contrato que regule acceso a
los datos.
c) Copia del contrato suscrito con FREMAP que contenga las condiciones del tratamiento de
datos personales de los pacientes atendidos a través de CENTRO DE DIAGNÓSTICO
***LOCALIDAD.1 S.A, (aportaron solo el contrato de adjudicación del servicio de
diagnóstico a favor del CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1 S.A.)
Señala que concurre con el mismo argumento del punto anterior, la condición por el Centro
sanitario de responsable del tratamiento
d) Aportaron sobre el proceso de asistencia en el CENTRO DE DIAGNÓSTICO
***LOCALIDAD.1 S.A. el 27/08/2019, la ?cláusula de protección de datos?, sobre la misma
se solicita que informen:
Las pegatinas de la derecha parte superior refieren la fecha de la resonancia efectuada el
27/08/209 en el proceso en el que se le atiende en colaboración con Mutua FREMAP. En
relación con ello:
- Motivo por el que si en el contrato de adjudicación del servicio que remiten en alegaciones
suscrito con FREMAP figura como prestador del servicio el CENTRO DE DIAGNÓSTICO
***LOCALIDAD.1 S.A., en la información de cláusula de protección de datos no figura esta
entidad como responsable del tratamiento, indicando ?AFFIDEA se compromete a respetar
sus derechos??
Señala que el reclamado es el adjudicatario de la prestación del servicio, y a la vez tiene la
obligación de conservar la historia clínica del paciente, siendo el responsable del
tratamiento, y el que tiene la obligación de informar del tratamiento de los datos del
paciente, como responsable de los mismos.
-Deberá aportar el resto de información de protección de datos que se indica en el contenido
?cláusula de Protección de Datos? ?nuestro compromiso de Protección de Datos? ?En
nuestra política de privacidad podrá encontrar información relativa a los siguientes aspectos?: A identidad y datos del contacto del controlador de datos, C el objeto y fundamento legal
para su tratamiento D fuentes de sus datos personales y E destinatarios de sus datos
personales, indicando el modo en que es informado el paciente de estos extremos, y si se
hubiera firmado por el paciente, remitan copia de los documentos.
Este aspecto que no concretó figuraba en su página web.
SÉPTIMO: Con fecha 2/02/2021 se accede a la web de AFFIDEA .es
-Figura la pestaña ?QUIENES SOMOS?.
En ?QUIENES SOMOS? figura el grupo sanitario AFFIDEA es una compañía líder en diagnóstico
por imagen que incorpora la más avanzada tecnología en las técnicas de resonancia
magnética, cobertura europea 16 países en Europa, 274 centros, 9400 profesionales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/37
Nuestros centros en España: En la actualidad contamos con 40 centros de diagnóstico
estando presente en siete comunidades autónomas Asturias, Castilla La Mancha, Castilla
León, Cataluña, Madrid, Murcia y Comunidad Valenciana?.
En la pestaña ?CENTROS? figuran en Castilla y León, ***LOCALIDAD.1: CAMPO GRANDE, FELIPE II, PARACELSO, HOSPITAL SAGRADO CORAZÓN. Haciendo clic en cada uno
de ellos, figuran las pruebas diagnósticas que se efectúan, así como la dirección. El reclamante
se realiza el 2/08/2019 la primera resonancia de la rodilla derecha en CENTRO DE
DIAGNÓSTICO CAMPO GRANDE S L. a través de su seguro privado ADESLAS, y el
27/08/2019, la segunda en otra clínica del grupo, el reclamado: CENTRO DE DIAGNÓSTICO***LOCALIDAD.1 S.A. en el HOSPITAL SAGRADO CORAZÓN a instancias de la Mutua
FREMAP para evaluar si la lesión obedece a un accidente de trabajo.
En la sección ?CON QUIÉN TRABAJAMOS? figuran compañías. como ADESLAS, ASISA,
Mutuas: FREMAP, MUTUA UNIVERSAL, MUTUA INTERCOMARCAL etcétera, por mencionar
algunas
También figuran entidades de la sanidad pública SACYL, Castilla y León, SALUD MADRID
Comunidad Autónoma de Madrid, SERVICIO MURCIANO etcétera
-Con la misma fecha, en AFFIDEA.es, sección ?POLÍTICA DE PRIVACIDAD PARA LOS PACIENTES?, se obtiene su contenido incorporándose al procedimiento.
Se indica que AFFIDEA es un proveedor de servicios médicos, identifica la sede social AFFIDEA
ESPAÑA y de los detalles de contacto del Delegado de protección de datos en la cláusula
9.
Se informa que:
? Para un mejor diagnóstico médico gestionamos su historia clínica de manera única de
forma que las diferentes entidades del GRUPO AFFIDEA ESPAÑA- ver reverso- pueden acceder
a su historial clínico siempre con el fin de prestar un servicio médico más preciso.
? Se contiene información sobre en las bases de legitimación para el tratamiento de datos
personales, ?datos que tratamos.? Se indica que al proporcionarle servicios médicos se
crean datos sanitarios como proveedor de dichos servicios y que está obligado por ley a documentar
los citados servicios. ?Para obtener más información acerca de los datos que tratamos
consultar el anexo de esta política de privacidad ?.
? En la sección ?con quién compartimos sus datos? hay un apartado concreto denominado
?con terceros independientes? en los que se informa que estos son los derivados de los
que se establezcan de las obligaciones por ley, o cuando ?así lo requiere un contrato del que
usted forma parte, por ejemplo, su contrato de seguro médico?.
? En el ?anexo de política de privacidad? se indica ?más información acerca de con quién
compartimos sus datos?. Figura en tablas diferenciadas por destinatarios, folio 12, la de
?terceros que actúan independientemente de AFFIDEA?, en la que se contienen
relacionados entre sí:
- ?identidad de destinatario? distinguen a título de ejemplo:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/37
?médico que ha prescrito la prueba?.
?laboratorios clínicos?
?hospitales públicos que le han derivado a nuestro centro?, ?CIA aseguradora a la que usted
pertenece?, o
?sistema de la Seguridad Social española?.
- ?sector de la actividad? ?seguro médico privado?, o ?seguro de salud nacional?.
- ?tipo de actividad?, ?confirmación de la cobertura de seguro?, o ?almacenamiento de
archivos médicos financiado SNS?.
-En en el apartado ?POLÍTICA DE PRIVACIDAD? que ?rige la página web?, bajo la titularidad
de AFFIDEA, sobre seguridad de datos personales y trasparencia, figura la denominación
social de GRUPO AFFIDEA ESPAÑA, su domicilio social, su NIF y teléfono y la dirección de
contacto del Delegado de Protección de Datos
OCTAVO: Con fecha 8/02/2021, se emitió propuesta de resolución con el literal:
?Que por la Directora de la Agencia Española de Protección de Datos se sancione a
CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1, S.A., con CIF ***CIF.1, por una infracción
del artículo 5.1.f) del RGPD, conforme señala el artículo 83.5 a) del RGPD, una multa de
10.000 euros.?
NOVENO: Frente a la propuesta, el 19/02/2021 se recibieron alegaciones. manifestando:
1) Si contestaron al traslado de la reclamación con copia de registro entrada en sede electrónica***REGISTRO.1 de 22/11/2019, expte ***EXPEDIENTE.1 (doc. 1). Adjuntan la copia
de la respuesta que manifiestan hicieron en fase de traslado.
Se indica que no considera procedente la reclamación, no existe incidencia y no han tomado
medida alguna. Manifiestan sobre el objeto de la reclamación, la inclusión de los estudios
previos dentro de los hallazgos del informe emitido por el reclamado cuyo destinatario era la
Mutua, las mismas consideraciones que efectuaron en el acuerdo de inicio. A saber, aportan
documento 1 en el que figura la clausula de protección de datos firmada por el reclamante el
27/08/2019, consideración y consecuencias de que la historia clínica es única a nivel de todo
el GRUPO AFFIDEA ESPAÑA, refieren el decálogo de buenas prácticas y en definitiva, el
resto de los argumentos que ya figuran relatados como alegaciones al acuerdo de inicio.
2) Indica que se le ha privado de aportar las pruebas al emitir la propuesta, precisando que
el escrito de la prueba que recibieron estaba incompleto pues solo contenía la parte de
?dando por reproducidos a tales efectos la reclamación y su documentación, los documentos
obtenidos y generados por los Servicios de Inspección, las alegaciones y la documentación
contra el acuerdo de inicio.? faltando el resto del literal. Se verifica que efectivamente no se
remitió lo que se indicaba por no adjuntar en la plantilla el añadido especifico que se
solicitaba. Contesta en alegaciones a propuesta a tales extremos que se contienen en el
apartado previo de pruebas. Aporta archivo pdf DOCUMENTO 4 y DOCUMENTO 5 referido
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/37
en pruebas, siendo ambos documentos el mismo tipo de escrito informativo utilizado para
?clausula de protección de datos?.
3) En función de la finalidad y contenido de la historia clínica, el facultativo que atendió al
paciente incorporó la información que se desprende tanto de la primera atención como en la
segunda, reflejándolo en el informe de la segunda asistencia. Caso contrario no respondería
a la veracidad del estado de salud, ya que ?la lesión no se originó a consecuencia del
accidente, padeciéndola con carácter previo, habiendo sido detectada por el médico en la
asistencia del 2/08/2019. Al médico le corresponde decidir sobre el contenido de la historia
clínica formando parte del mismo los informes de exploraciones complementarias.? ?El
objeto de la historia clínica es obtener la máxima integración posible de la documentación
clínica de cada paciente, sin hacer distinción alguna entre la sanidad pública y privada?. En
este caso, si el médico no utilizara la información que ya constaba en la historia clínica, no
estaría manejando el mejor y más oportuno conocimiento del paciente lo que supondría un
incumplimiento de la normativa.
4) Se ha evitado un fraude a la Seguridad Social gracias a la valoración de ambas
pruebas de imagen. ?Dicho fraude se hubiera producido para el caso que el profesional
únicamente hubiese tenido acceso a la prueba solicitada de Fremap ya que en base a la
misma no podría conocer que la lesión ya estaba previamente, por lo que se le hubiera
otorgado la baja por accidente laboral remunerada a cargo del sistema de la Seguridad
Social.? Por entender que no se puede acceder a la historia se estaría favoreciendo y
permitiendo un ilícito penal consistente en un fraude a la Administración, es decir, se
hubiera producido la ocultación consciente de hechos relacionados con la obtención de
prestaciones de la Seguridad Social. ?En este caso, no pude prevalecer el interés particular
del paciente de que no se valoren las pruebas de imagen que le impedirían acceder de
modo fraudulento a una prestación publica?, sino que considera que existe un interés
general en evitar fraudes contra el sistema público que abona las prestaciones, siendo
además el tratamiento necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento (6.1.c y 6.1.e del RGPD).
5) El fin encomendado en la segunda visita médica por orden de la Mutua no era el
reconocimiento de si la contingencia era o no profesional . Es el profesional de Fremap que
solicita la realización de la prueba de imagen con el fin de ver el origen de la lesión por la
que el denunciante se encuentra en situación de baja y la achaca un accidente laboral. Es
este profesional quien a la vista de los informes clínicos que se le aportan emite la
consideración de si estamos o no ante un accidente laboral. Por otro lado, está el
profesional radiólogo, quien tiene que interpretar una prueba de imagen y sobre la base de
la misma, emitir un diagnóstico sobre un cuadro. Para ello, el profesional tiene que utilizar la
historia clínica que obre en su poder y, en especial aquellas pruebas de imagen que le
puedan ayudar a interpretar el resultado de la prueba objeto del estudio. ?En este caso, el
profesional tiene una prueba de imagen de la misma lesión realizada previamente y sobre la
base de ambas pruebas comprueba que el origen de la misma es degenerativo?. ?En ningún
caso el profesional? del reclamado ?hace juicio clínico sobre si se está o no ante un
accidente laboral?.
6) El paciente pretende que se haga un uso selectivo de la historia clínica para los casos
que él decida con la afirmación que ?en el caso de un riesgo inminente de que suceda algo
fatal, la información de salud deba ser tenida en cuenta, pero no es éste el caso. No hay un
riesgo inminente de fallecimiento.? El interés selectivo consiste en que pretende beneficiarse
en camuflar una lesión previa en una de origen laboral.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/37
7) La inclusión de los antecedentes ya existentes en al misma rodilla derecha del paciente
y detectados por la a practicada el 2/08/2019 en un Centro del mismo Grupo, en el informe
de resonancia de 27/08/2019 no trae causa de un tratamiento no autorizado provocado por
la falta de aplicación de medidas técnicas u organizativas apropiadas por parte del
reclamado, sino resultante de una buena praxis medica, ajustada a la normativa. ?De cara a
valorar una patología y más cuando la misma se realiza mediante pruebas de imagen, es
necesario analizarlas tanto de manera individual como en su conjunto, so pena de incurrir en
un error de diagnóstico?, y que no es excusable cuando están al alcance y pueden tener
repercusiones.
8) Aun considerando que se trata de una cesión, se encontraría legitimada de acuerdo con
los artículos 9 y 6 del RGPD. Considera que en ambas asistencias al reclamante existe la
excepción para el tratamiento de los datos, la primera basada en la prestación de asistencia
sanitaria y diagnóstico médico, la segunda, ?fruto del contrato de adjudicación del servicio de
diagnóstico al reclamado, también en el articulo 9.2 h) como ?gestión de los sistemas y
servicios de asistencia sanitaria?. ?En ambos casos la base de legitimación para el
tratamiento es que es necesario para la ejecución de un contrato en el que el interesado es
parte artículo 6.1 b) del RGPD?.
9) Error en la tipificación de la sanción que se propone. En el fundamento de Derecho V de
la propuesta, se establece: ?no se acredita que el reclamante hubiera otorgado el
consentimiento para la cesión de los datos de la primera visita medica ni existe habilitación
legal para ello. ? De modo que se imputa que la cesión de los datos no se adecuó a la
normativa aplicable sobre la base de la ausencia de consentimiento informado para la
cesión. Con posterioridad, en el fundamento de Derecho VI, se afirma:
?Se acredita en este caso, que el reclamado, el 27/08/2019 accede a datos personales de
una consulta previa del reclamante en régimen privado, cuando ejercitaba funciones de
colaboración con la Mutua en la gestión de los sistemas y servicios de asistencia sanitaria y
social para determinar por cuenta de la Mutua la contingencia.
Tratamiento de datos que se materializa al introducir los términos de comparación médico
de los datos en el informe que remite a la Mutua, y que no cuenta con base legitimadora o el
consentimiento del afectado.?
Nuevamente, se vuelve a decir que ha existido un acceso de datos personales de una
consulta previa sin consentimiento alguno.
En el siguiente fundamento de Derecho, el séptimo, se tipifica expresamente la infracción,
que se contiene en el articulo 83.5 a del RGPD, ?porque el reclamante no otorgó el
consentimiento para la cesión de los datos de la primera visita médica ni existe habilitación
legal para ello.?, por incumplimiento de los principios básicos establecidos en el RGPD, en
concreto, porque el reclamante no otorgó el consentimiento para la cesión de los datos de la
primera visita médica ni existe habilitación legal para ello.
En consecuencia, de acuerdo con la interpretación del instructor, se ha producido un
incumplimiento del artículo 6, en el que se regula la licitud del tratamiento, en concreto, de
su apartado 1 letra a), en el que se establece como base de licitud para el tratamiento, el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/37
consentimiento del interesado para uno o varios fines específicos. Dicho esto, no cabe
tipificar la sanción como un incumplimiento del 5.1.f) del RGPD, por haber tratado los datos
como consecuencia de la falta de medidas que garanticen una seguridad adecuada de los
datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra
su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u
organizativas apropiadas («integridad y confidencialidad»).
HECHOS PROBADOS
1) AFFIDEA informa en su web:
a. Es un grupo sanitario especializado en diagnóstico por imagen implantado en 16 países
en Europa. En España cuenta con 40 centros repartidos en 7 comunidades autónomas. En
***LOCALIDAD.1 cuenta con tres centros: CAMPO GRANDE, FELIPE II PARACELSO, y
HOSPITAL SAGRADO CORAZÓN.
b. Presta servicios a distintas entidades, tanto a compañías privadas de salud, Servicios de
Salud de las Comunidades Autónomas (Sanidad pública) y Mutuas.
2) El reclamante por propia iniciativa se realizó el 2/08/2019 una primera resonancia de
la rodilla derecha en CENTRO DE DIAGNÓSTICO CAMPO GRANDE S.L. (perteneciente al
grupo AFFIDEA ESPAÑA, ubicado en el Hospital del mismo nombre) a través de su seguro
médico privado ADESLAS. El literal informativo de la clausula estándar de protección de datos
figura marcado que ?consiento la cesión de los datos a mi médico prescriptor y/o mi cobertura
de salud y he sido informado de que en caso de oposición, la prestación del servicio
será a mi cargo como paciente particular?. En la página web de AFFIDEA.es se informa en el
apartado POLÍTICA DE PRIVACIDAD PARA LOS PACIENTES, que ?Para un mejor diagnóstico
médico gestionamos su historia clínica de manera única de forma que las diferentes entidades
del grupo AFFIDEA España- ver reverso- pueden acceder a su historial clínico siempre
con el fin de prestar un servicio médico más preciso. ?En el apartado ?datos que tratamos? se indica:
?Al proporcionarle servicios médicos, creamos datos sanitarios acerca de usted. Como
proveedor de servicios médicos, Affidea está obligado por ley a documentar
minuciosamente estos servicios.? En la sección ?con quien compartimos tus datos?, se
indica: ?Compartimos sus datos personales con terceros (receptores independientes) en los
siguientes casos:
Si estamos obligados por ley.
Si lo requiere un contrato del que usted forma parte (por ejemplo, su contrato de seguro médico
). En caso de oposición, la prestación del servicio será a su cargo como paciente particular.
Con otros profesionales de la salud en caso de urgencia vital (p. ej. una emergencia).
Solo compartiremos sus datos en la medida en que sea absolutamente necesario?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/37
3) Con fecha 27/08/2019, según el reclamante ?por un accidente en el centro de trabajo?
FREMAP, Mutua colaboradora de accidentes y enfermedad profesional colaboradora de la
Seguridad Social para la empresa en la que presta servicios el reclamante, con el fin de valorar
la determinación inicial del carácter profesional de la contingencia, encargó una prueba
médica: ?resonancia de rodilla derecha? ?en el hospital Sagrado Corazón de ***LOCALIDAD.1?, al centro denominado CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1 S.A.-reclamado-
(que resulta pertenecer al grupo AFFIDEA ESPAÑA.
En esta valoración médica que se efectúa por orden de la Mutua, el 27/08/2019, figura: archivo
denominado ***ARCHIVO.2, en pdf, hoja de ?información clínica?: ?sospecha lesión
menisco interno, ?Estudio resonancia magnética rodilla derecha. En el apartado ?hallazgos?,
se refiere a ?Comparo con estudio previo realizado el 2/08/2019? y:
- ?Se observa una hiper intensidad de señal lineal en cuerno posterior del menisco interno
en relación con una fisura sin cambios respecto al estudio previo?
- ?Mejora significativa del esguince del colateral interno en el momento actual no se visualiza
el ligamento está integro?
- ?También se observa un discreto arrancamiento proximal del cruzado anterior, aunque
sin cambios inflamatorios agudos, la rotura parcial es leve?
- ?Ligamento cruzado posterior, colateral externo, tendón rotuliano y la porción visible
del tendón del cuádriceps sin alteraciones significativas.?
En el informe de 2/08/2019 se mencionan entre otros:
- estado del menisco interno, cuerno anterior y posterior.
- cruzado posterior y anterior.
Manifiesta el reclamante que como consecuencia:? la doctora que le atiende le dice que se
dirija a su médico privado o a la Seguridad Social, ya que ellos no pueden considerar el accidente
en el centro de trabajo como laboral, pues hay una resonancia magnética anterior
realizada en la misma parte del mismo miembro.?
1) El reclamante considera que, en la prueba ordenada por FREMAP, el centro sanitario
que le atendió recogió y le dio a la Mutua información con sus datos médicos ?a una entidad
de lo que yo he realizado a través de otra entidad privada.?, manifestando que es conocedor
de que ?cada empresa tiene una misma historia clínica en todos sus centros?.
2) En la prueba practicada el 27/08/2019, el reclamado entregó al reclamante un formulario
estándar de CLAUSULA DE PROTECCION DE DATOS consistente en un documento
firmado por el reclamante. En el literal figura:
?Yo, abajo firmante, mediante la firma del presente documento reconozco que he recibido la
política de privacidad y se me ha informado de cómo AFFIDEA procesará los datos personales
con el fin de llevar a cabo el diagnóstico médico y/o la prestación de los servicios médicos
solicitados?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/37
Está marcado en relación con el asunto:
- ?consiento la cesión de datos a mi médico prescriptor y/o mi cobertura de salud y he sido
informado de que, en caso de oposición, la prestación del servicio será a mi cargo como paciente
particular.?
Antes de ?su consentimiento de protección de datos? se le remite al apartado de ? política de
privacidad? que aunque no lo indique, figura en su web:? para encontrar información relativa
a los siguientes aspectos:?
A identidad y datos de contacto del controlador de datos,
B datos de contacto del director de Protección de Datos,
C objeto y fundamento legal para su tratamiento,
D fuentes de sus datos personales,
E destinatarios de sus datos personales,
F periodo en el que se almacenarán los datos personales,
G derechos bajo las leyes de Protección de Datos,
H transferencias internacionales de datos
3) En la página web de AFFIDEA.es se informa en el apartado POLÍTICA DE PRIVACIDAD
PARA LOS PACIENTES, se contiene información sobre las bases de legitimación para
el tratamiento de datos personales. ?
4) En el ?anexo de política de privacidad? de la web se indica ?más información acerca
de con quién compartimos sus datos?. Figura en tablas diferenciadas por destinatarios, la de
?terceros que actúan independientemente de AFFIDEA?, en la que se contienen relacionados
entre sí:
- ?identidad de destinatario? distinguen a título de ejemplo:
?médico que ha prescrito la prueba?.
?laboratorios clínicos?
?hospitales públicos que le han derivado a nuestro centro?, ?CIA aseguradora a la que usted
pertenece?, o
?sistema de la Seguridad Social española?.
- ?sector de la actividad? ?seguro médico privado?, o ?seguro de salud nacional?.
- ?tipo de actividad?, ?confirmación de la cobertura de seguro?, o ?almacenamiento de
archivos médicos financiado SNS?.
5) En en el apartado ?POLÍTICA DE PRIVACIDAD? de la web, figura que ?rige la página
web?, bajo la titularidad de AFFIDEA, sobre seguridad de datos personales y transparencia,
bajo la denominación social de GRUPO AFFIDEA ESPAÑA, su domicilio social, su NIF y teléfono
y la dirección de contacto del Delegado de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/37
6) El reclamado aportó copia de contrato FREMAP Mutua colaboradora con la Seguridad
Social y CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1 SAU, como adjudicataria del
contrato referido a la contratación del servicio de diagnóstico por la imagen mediante resonancia
magnética en ***LOCALIDAD.1 de 21/12/2018, ? Servicio que efectuará de acuerdo
con la oferta que presentó y a lo establecido en los pliegos de cláusulas administrativas y de
prescripciones técnicas?. ?El servicio objeto de contratación será ejecutado por el personal
del reclamado o en su caso empresas subcontratistas dependiendo a todos los efectos de la
adjudicataria. El adjudicatario se obliga a dedicar todos los medios personales y materiales
necesarios para llevar a buen término el objeto del servicio contratado en los términos fijados
en los pliegos?. Nada se indica sobre datos de carácter personal médicos que se recogen
por GRUPO AFFIDEA ESPAÑA y que el reclamado, perteneciente al GRUPO comunicó
a la Mutua.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control
, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la Agencia
Española de Protección de Datos es competente para resolver este procedimiento.
II
La LAP contiene, de acuerdo con su exposición de motivos, los derechos de los usuarios de
los servicios sanitarios de salud en desarrollo de la regulación básica del Estado, a través de
la Ley General de Salud 14/1986 de 25/04, que ?declara que la organización sanitaria debe
permitir garantizar la salud como derecho inalienable de la población mediante la estructura
del Sistema Nacional de Salud, que debe asegurarse en condiciones de escrupuloso respeto
a la intimidad personal y a la libertad individual del usuario, garantizando la confidencialidad
de la información relacionada con los servicios sanitarios que se prestan y sin ningún
tipo de discriminación.? ?A partir de dichas premisas, la presente Ley completa las previsiones
que la Ley General de Sanidad enunció como principios generales.?
?Se manifiesta así una concepción comunitaria del derecho a la salud, en la que, junto
al interés singular de cada individuo, como destinatario por excelencia de la información
relativa a la salud, aparecen también otros agentes y bienes jurídicos referidos a la salud pública
, que deben ser considerados, con la relevancia necesaria, en una sociedad democrática
avanzada. En esta línea, el Consejo de Europa, en su Recomendación de 13/02/1997,
relativa a la protección de los datos médicos, después de afirmar que deben recogerse y
procesarse con el consentimiento del afectado, indica que la información puede restringirse
si así lo dispone una Ley y constituye una medida necesaria por razones de interés general.?
(exposición de motivos de la LAP).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/37
En el ámbito de aplicación de la LAP, se indica, tiene por objeto, (art 1): ?la regulación de los
derechos y obligaciones de los pacientes, usuarios y profesionales, así como de los centros
y servicios sanitarios, públicos y privados, en materia de autonomía del paciente y de información
y documentación clínica.? Para ello, la exposición de motivos de la LAP indica del
?sistema nacional de salud? entendido como organización sanitaria, para garantizar la salud
como derecho inalienable de la población mediante su estructuración , y nuevamente: ?que
debe asegurarse en condiciones de escrupuloso respeto a la intimidad personal y a la libertad
individual del usuario, garantizando la confidencialidad de la información relacionada con
los servicios sanitarios que se prestan y sin ningún tipo de discriminación.?
La LAP define que la historia clínica es: ?el conjunto de documentos que contienen los datos
, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica
de un paciente a lo largo del proceso asistencial? ?art. 3.
El artículo 14 de la LAP indica:
?1.?La historia clínica comprende el conjunto de los documentos relativos a los procesos
asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales
que han intervenido en ellos, con objeto de obtener la máxima integración posible de
la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.
2.?Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el
soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden
garantizadas su seguridad, su correcta conservación y la recuperación de la información.?
El art. 15.2 de la LAP fija el contenido mínimo de la historia clínica, si bien muchas leyes autonómicas
han aumentado este contenido mínimo. En Castilla y León es de aplicación el Decreto
101/2005 de 22/12, por el que se regula la historia clínica (Decreto CYL en lo sucesivo
).
El Decreto CYL en su Capítulo I: ?Disposiciones Generales? establece también, en primer lugar
, el objeto y ámbito de aplicación que se extenderá tanto al ámbito público como al privado
define la historia clínica y determina su finalidad principal: la asistencial, sin olvidar otros
usos. Se establece que será única por paciente en el ámbito del Sistema de Salud de Castilla
y León, sea cual sea el nivel asistencial en el que se presta la asistencia sanitaria, y única
en aquellos centros que no estén dentro del Sistema de Salud de Castilla y León. En su artículo
3 añade la definición:
?b)?Historia clínica única: Todos los datos de los contactos asistenciales relacionados
por un único número de identificación del paciente.
c)?Contacto: Cada una de las demandas de asistencia sanitaria de un paciente que
genera actuaciones clínicas.?
La disposición adicional del DECRETO CYL: ?informatización de la historia clínica? establece
que ?Con el objetivo de avanzar en la configuración de una historia clínica única por paciente
en el ámbito del Sistema de Salud de Castilla y León, la Gerencia Regional de Salud
realizará las actuaciones necesarias para informatizar la historia clínica y su acceso a toda
la información clínica disponible, sin perjuicio de lo dispuesto en la Disposición Adicional Tercera
de la Ley Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligacio-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/37
nes en Materia de Información y Documentación Clínica.?
La mencionada Disposición adicional tercera de la LAP indica: Coordinación de las historias
clínicas dispone:
?El Ministerio de Sanidad y Consumo, en coordinación y con la colaboración de las
Comunidades Autónomas competentes en la materia, promoverá, con la participación de todos
los interesados, la implantación de un sistema de compatibilidad que, atendida la evolución
y disponibilidad de los recursos técnicos, y la diversidad de sistemas y tipos de historias
clínicas, posibilite su uso por los centros asistenciales de España que atiendan a un mismo
paciente, en evitación de que los atendidos en diversos centros se sometan a exploraciones
y procedimientos de innecesaria repetición.?
El Decreto CYL añade en su artículo 5:
?1.? En el ámbito del Sistema de Salud de Castilla y León, la historia clínica será única
por paciente.
En los centros, servicios y establecimientos sanitarios ajenos al Sistema de Salud de
Castilla y León, la historia clínica será única por paciente en cada centro.
2.? La historia clínica deberá encontrarse unificada dentro de un mismo centro, servicio
o establecimiento sanitario. Una historia clínica estará unificada cuando todos los documentos
activos sustentados bajo un mismo soporte se encuentren archivados en un mismo
contenedor.?
El art. 15.1) 2) y .4) de la LAP señala:
?1.?La historia clínica incorporará la información que se considere trascendental para
el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente o usuario
tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado,
de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de
salud tanto en el ámbito de atención primaria como de atención especializada.
2.?La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando
constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz
y actualizado del estado de salud. El contenido mínimo de la historia clínica será el siguiente
??
?4.?La historia clínica se llevará con criterios de unidad y de integración, en cada institución
asistencial como mínimo, para facilitar el mejor y más oportuno conocimiento por los
facultativos de los datos de un determinado paciente en cada proceso asistencial.?
Incide el protagonismo del paciente cuando señala el art. 17.4 de la LAP que la misma debe
estar integrada unitariamente por todos los datos que los facultativos entiendan que son
trascendentes para garantizar una labor asistencial adecuada al paciente.
De esta forma, todo profesional que intervenga en la actividad asistencial está obligado al
cumplimiento de los deberes de información y documentación clínica, siendo obligación y
responsabilidad del profesional que interviene en la actividad asistencial ?no sólo a la correcta
prestación de sus técnicas, sino al cumplimiento de los deberes de información y de docu-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/37
mentación clínica, y al respeto de las decisiones adoptadas libre y voluntariamente por el
paciente.? art 2.6 LAP. Esta obligación de cumplimentar la actividad asistencial es también
aplicable a los servicios sanitarios privados.
Se deducen así que tanto a los de servicios de salud públicos, como de salud en régimen
privado, los servicios asistenciales han de generar y custodiar las respectivas historias clínicas
únicas por paciente y servicio, y se atenderá a la mención específica en las leyes sobre
los sistemas de coordinación y colaboración en la gestión de la sanidad como derecho constitucional.
III
La LAP aplicable a centros sanitarios públicos y privados, y prevé que los profesionales sanitarios
tienen el deber de cooperar en la creación y el mantenimiento de la documentación
clínica, establece una única historia clínica por paciente y al menos en cada centro, así
como su contenido, fines, confidencialidad y acceso, relacionándolo siempre con el carácter
instrumental de la asistencia. Solamente se menciona la materia de protección de datos, en
el artículo 17.6, dedicado a la conservación de la documentación clínica como forma de referirse
a las distintas partes, indicando:
?Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas
por la legislación reguladora de la conservación de los ficheros que contienen datos
de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos
de Carácter Personal.?, y el articulo 19 como derecho relacionado con la custodia de la historia
que ?El paciente tiene derecho a que los centros sanitarios establezcan un mecanismo
de custodia activa y diligente de las historias clínicas. Dicha custodia permitirá la recogida, la
integración, la recuperación y la comunicación de la información sometida al principio de
confidencialidad con arreglo a lo establecido por el artículo 16 de la presente Ley.?
Los usos y finalidades se recogen en el artículo 16 de la misma LAP, del siguiente modo:
"1. La historia clínica es un instrumento destinado fundamentalmente a garantizar
una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan
el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como
instrumento fundamental para su adecuada asistencia.
2. Cada centro establecerá los métodos que posibiliten en todo momento el acceso a
la historia clínica de cada paciente por los profesionales que le asisten.?
El artículo 13 del Decreto CYL, indica:
?El personal sanitario que de modo directo esté implicado en el diagnóstico y tratamiento
del paciente tendrá acceso pleno a la historia clínica?.
?2.? El centro establecerá los mecanismos internos de solicitud de la historia clínica
para facilitar su disponibilidad para la asistencia de los pacientes y, siempre que sea posible,
establecerá niveles de acceso para las distintas categorías de personal sanitario y para el
personal no sanitario, en virtud de las funciones que cada uno tenga encomendadas.
3.? Cuando un paciente esté recibiendo asistencia sanitaria en otro centro distinto de
aquél en el que se generó la historia clínica, se deberá facilitar copia de ésta cuando sea so-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/37
licitada por el facultativo responsable de esa asistencia, siempre que cuente con la autorización
expresa del paciente, salvo en una situación de urgencia en que éste no pueda prestarla
en cuyo caso aquél deberá justificar la necesidad asistencial de uso de esa documentación.
Estos mismos requisitos serán exigibles a los servicios sanitarios de las entidades
colaboradoras en la gestión del Sistema de la Seguridad Social que pretendan acceder a la
historia clínica del trabajador con fines asistenciales.?
En cuanto al régimen y prestaciones de las Mutuas, se debe considerar que ?las prestaciones
y los servicios atribuidos a la gestión de las Mutuas colaboradoras con la Seguridad Social
forman parte de la acción protectora del sistema y se dispensarán a favor de los trabajadores
al servicio de los empresarios asociados y con el mismo alcance que dispensan las
entidades gestoras en los supuestos atribuidos a las mismas? (art 82.1 del Real Decreto Legislativo
8/ 2015 de 30/10, por el que se aprueba el texto refundido de la Ley General de la
Seguridad Social, LGSS).
El último párrafo del artículo 82.2 de la LGSS determina que dichos servicios o prestación de
las contingencias profesionales pueden ser dispensadas a través de ?conciertos con medios
privados? como figura en el contrato suscrito entre reclamado y FREMAP.
El artículo 80.4 de la LGSS indica:
?Las Mutuas colaboradoras con la Seguridad Social forman parte del sector público
estatal de carácter administrativo, de conformidad con la naturaleza pública de sus funciones
y de los recursos económicos que gestionan, sin perjuicio de la naturaleza privada de la
entidad.? Se aplica a esta gestión el principio y fin de la seguridad social que se configura
por los principios de universalidad, unidad, solidaridad e igualdad (art 2).
En este caso, el reclamado actuaba como colaborador en la gestión de la Seguridad Social,
y aunque tenia acceso a toda la historia clínica por pertenecer al mismo Grupo AFFIDEA,
estando informando el paciente de dicha gestión única, no se le concretó el detalle informativo
especifico ni se le requirió consentimiento para que los datos médicos contenidos en la
primera asistencia se incorporasen al informe que tenia que realizar el 27/08/2019, cuando
actuaba como servicio sanitario de la entidad Mutua FREMAP, colaboradora en la gestión. Si
el reclamado no perteneciera al Grupo y no tuviera acceso a la historia previa, debería haber
pedido autorización ?expresa del paciente?, señala la norma. También, según se deduce,
cuando la gestión la efectúe por cuenta colaboradora de la Seguridad Social, es decir, tal
como actuó.
Por otro lado, el principio de vinculación asistencial, los profesionales sanitarios no pueden
acceder a cualquier historia, solamente por su condición de trabajadores del centro sanitario
y que tengan relación asistencial con el paciente titular de la historia, como herramienta para
prestar su servicio adecuadamente. Es conocido que el acceso a la historia clínica en supuestos
contrarios, especialmente para usos particulares o para revelar su contenido puede
dar lugar a responsabilidad penal. Este principio básico, se acompaña por el principio de
proporcionalidad, que determina que el profesional deba acceder únicamente a los datos mínimos
necesarios para prestar la asistencia sanitaria concreta.
Se debe no perder de vista que el fin encomendado en la segunda visita médica por orden
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/37
de la Mutua, era el reconocimiento de si la contingencia era o no profesional, el carácter público
de medio concertado del reclamado por el que se efectúa dicha valoración y que el artículo
23 de la Ley 16/2003, de 28/05, de Cohesión y Calidad del Sistema Nacional de Salud
señala que: ?Todos los usuarios del Sistema Nacional de Salud tendrán acceso a las prestaciones
sanitarias reconocidas en esta Ley en condiciones de igualdad efectiva.? Esta igualdad
de trato, parece que no se cumpliría si el centro diagnóstico que hace la prueba el
27/08/2019 fuera de otra compañía ajena al Grupo, o una única clínica, y no tuviera noticia
de antecedentes previos, produciéndose una distinción de trato dependiendo del implante
geográfico de la Compañía, su tamaño o importancia, a menos que se deba como dice la
norma, requerir al paciente que informara si tenía antecedentes sobre la lesión y que autorizara
la incorporación de los mismos con los efectos de una declaración de veracidad y certeza
de los datos, considerando su responsabilidad en caso de no ser aportada. La consulta
y constatación del hallazgo de la asistencia primera en el segundo informe para la Mutua no
fue informada específicamente al afectado y constituye una extralimitación en el tratamiento
llevado a cabo como se terminará de exponer en los siguientes párrafos, dando lugar a la
perdida de confidencialidad de los datos del reclamante,
Se pone de manifiesto que se trataría de una extralimitación del contenido comunicado a la
Mutua a través de la información que se incorpora en el segundo informe, a través de emisión
de juicios que comparan y resuelven aspectos específicos, contando con los datos personales
y médicos de la primera asistencia, para la cual, en esta parte, debe cumplir el requisito
de habilitación para el tratamiento de datos médicos previsto en el RGPD y en la LOPDGDD
, junto con la normativa sectorial que como el Decreto CYL señala, debe obtenerse
expresamente la autorización del afectado si es atendido en otro centro que no comparta la
historia, un ejemplo sería entre dos centros privados, o cuando se atiende en un centro público
respecto de la historia que custodia un centro privado.
A través de la misma se pone en conocimiento de la Mutua datos médicos del paciente, reclamante
, por el reclamado, obtenidos de su diagnóstico médico prestado y obtenido antes
de que se ordenara por la citada Mutua analizar al paciente para comprobar su rodilla derecha.
El reclamado compara el diagnóstico por imagen obtenido de la prueba hecha el citado
día 27/08/2019 y eleva un informe a la Mutua comparativo con los datos de la anterior asistencia.
Esta labor se encomienda a través de un contrato con el reclamado, como diagnóstico de
imagen, y que casualmente, se deba pedir autorización al paciente o no, no parece que
deba depender de que se produzca una potente implantación en un área geográfica del centro
sanitario, o pertenezca a un Grupo amplio con historia clínica compartida, como es este
caso, y en contra de lo que la normativa de la historia clínica predica según determina expresamente
el citado Decreto CYL. En este caso, la empresa del Grupo, resultó ser un centro
de diagnóstico relacionado con el que le efectuara la primera prueba. Ambos centros de
diagnóstico pertenecen al mismo Grupo empresarial, que dispone de un historial clínico único
a nivel de Grupo de empresas, en los cuarenta centros diagnósticos que existen en España
, según su publicidad. Cualquier Mutua que contrate la gestión sanitaria con un centro
diagnóstico de imagen va a tener además del valor del acto médico, la posibilidad de que se
verifiquen antecedentes importantes para contrastar si las dolencias son o no accidente, con
una mera referencia a que la historia clínica es única y se presta en beneficio del paciente,
para un correcto diagnóstico, ignorando la autorización que prevé la normativa y expresamente
cuando se alude a que el régimen de la atención se efectúa por colaboración del sistema
publico.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/37
Mencionar también, por si puede añadir una nota distintiva, que, en el contrato con la Mutua
, nada se indicaba del responsable de los datos de la historia clínica, que, en este caso,
según los documentos e información de la web, son responsabilidad de AFFIDEA ESPAÑA,
y son los que se vierten en los contrastes diagnósticos, a pesar de que la asistencia facultativa
prestada y la cumplimentación se efectúan por quien alimenta los procesos, esto es, por
los facultativos del reclamado, que son los que deciden sin autorización del paciente comparar
los hallazgos y comunicar a la Mutua sus conclusiones.
IV
Los «datos relativos a la salud» se definen en el RGPD como: ?los datos personales relativos
a la salud física o mental de una persona física, incluida la prestación de servicios de
atención sanitaria, que revelen información sobre su estado de salud?
El artículo 4 del RGPD define:
2)«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación, adaptación o modificación
, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier
otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;?
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública
, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios
del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento
podrá establecerlos el Derecho de la Unión o de los Estados miembros;
A diferencia del régimen establecido de responsables de los datos personales que se contiene
en el RGPD, en las historias clínicas, la LAP y el Decreto CYL menciona responsabilidades
de los centros sanitarios, médicos o asistenciales, servicios de salud o a los facultativos
, en cuestiones y a los efectos de responsabilidades de cumplimiento de los derechos allí
establecidos, sobre la información y la historia clínica, respecto a quien corresponde su
cumplimentación, su acceso, su custodia, si bien en términos de sujetos jurídicos difusos al
indicar: ? La historia clínica se llevará con criterios de unidad y de integración, en cada institución
asistencial como mínimo?. Lo que quepa entender por institución asistencial o centro,
debe concretarse a efectos del manejo de protección de datos, que define al responsable
del tratamiento, una descripción que poco tiene que ver con el centro o la institución.
9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al
que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán
destinatarios las autoridades públicas que puedan recibir datos personales en el
marco de una investigación concreta de conformidad con el Derecho de la Unión o de los
Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme
con las normas en materia de protección de datos aplicables a los fines del tratamiento;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/37
10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas
autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del
encargado;
El artículo 4, punto 9, define «destinatario» y precisa que un destinatario al que se comunican
datos personales no tiene por qué ser un tercero. Por consiguiente, un destinatario puede
ser un responsable del tratamiento, un corresponsable o un encargado.
El artículo 6.1 del RGPD sobre la licitud del tratamiento prevé al menos que se ha de dar
una de las condiciones que enumera en sus letras a) hasta la f), a las que califica como bases
de tratamiento, refiriéndose en otros apartados a base o fundamento jurídico, o base jurídica
del tratamiento, siendo usual que se indique que el tratamiento se basa en alguna de
las bases contenidas en el 6.1.
En el artículo 9 del RGPD, se indica: ?Tratamiento de categorías especiales de datos personales?
?1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial
, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y
el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca
a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la
orientación sexual de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales
con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de
los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede
ser levantada por el interesado;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del
Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido
, respetar en lo esencial el derecho a la protección de datos y establecer medidas
adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado
;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la
capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento
de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social
, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un
contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas
en el apartado 3;
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en
el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la
obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de
la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales
competentes, o por cualquier otra persona sujeta también a la obligación de secreto
de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas
por los organismos nacionales competentes.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/37
4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones
, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos
a la salud.
Señala la LOPDGDD:
-artículo 9.2 ?2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo
9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados
en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a
su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud
cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública
y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.?
-Disposición adicional decimoséptima. Tratamientos de datos de salud
?1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento
(UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos
que estén regulados en las siguientes leyes y sus disposiciones de desarrollo:
a) La Ley 14/1986, de 25 de abril, General de Sanidad.
c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente
y de derechos y obligaciones en materia de información y documentación clínica.
d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de
Salud.
e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.?
V
Sobre la posición jurídica a efectos del RGPD del reclamado, al efectuar las pruebas ordenadas
por la Mutua, y en concreto sobre la posibilidad de acceso a historias clínicas de pacientes
, versa un informe que esta Agencia emitió a través de su Gabinete Jurídico, sobre
una consulta, la 409/2009 de 5/08/2019, del Servicio de Salud de las Islas Baleares, que se
puede consultar en la web de la AEPD. La consulta era sobre ?la comunicación a los centros
sanitarios privados objeto de concierto con la Administración consultante de los datos contenidos
en las historias clínicas de los pacientes que acudieran a aquéllos, a fin de lograr una
mejor asistencia sanitaria, partiendo de que dichos centros privados no forman parte del Sistema
Nacional de Salud, pero se encuentran vinculados al mismo a través del contrato suscrito
con aquéllos.?. Esto conllevaría, por ejemplo, la posibilidad de que estas entidades ac-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/37
cedieran a las historias clínicas custodiadas y responsabilidad del sistema de salud público,
ya que van a prestar asistencia a personas protegidas por el citado sistema.
Analiza en primer lugar la posición jurídica en materia de protección de datos de dichos centros
sanitarios en relación con los pacientes que acuden a los mismos, considerándolos responsables
del tratamiento, al elaborar ellos mismos las historias clínicas de los pacientes
que atienden, según obligación que ordena la LAP, y que no se limitan a tratar datos por encargo
por cuenta del contratante.
En cuanto al tratamiento de datos, estos son necesarios para el diagnóstico médico, la prestación
de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios,
siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto
profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto
y ello ?habilitaría el acceso o la comunicación a los centros sanitarios, con independencia
de su naturaleza pública o privada de los datos necesarios para llevar a cabo la adecuada
asistencia sanitaria de los pacientes que acudieran a los mismos?. Es decir, se admite que
estos centros que conciertan la prestación de servicios de salud pública, Aun no formando
parte integrante del sistema Nacional de Salud puedan acceder a la información de los pacientes
a los que les va a prestar asistencia, pues pueden desarrollar acciones asistenciales
directamente vinculadas con el sistema público, pudiendo incluso entenderse que las mismas
constituyen, en cuanto sea objeto de concierto, servicios propios del mencionado sistema.
Se añadía que ? el párrafo primero del artículo 58 de la Ley 16/2003, de 28/05 de cohesión y
calidad del Sistema Nacional de Salud, dispone que ?con el fin de que los ciudadanos
reciban la mejor atención sanitaria posible en cualquier centro o servicio del Sistema
Nacional de Salud, el Ministerio de Sanidad y Consumo coordinará los mecanismos de
intercambio electrónico de información clínica y de salud individual, previamente acordados
con las Comunidades Autónomas, para permitir tanto al interesado como a los profesionales
que participan en la asistencia sanitaria el acceso a la historia clínica en los términos
estrictamente necesarios para garantizar la calidad de dicha asistencia y la confidencialidad
e integridad de la información, cualquiera que fuese la Administración que la proporcione?. Si
bien se consigna en la respuesta que la consultante plantea el problema de que los centros
concertados no forman parte integrante del Sistema Nacional de Salud, aun cuando se
vinculen con el mismo, se indica:
?Efectivamente, el artículo 44 de la Ley 14/1986, de 25/04, General de Sanidad
señala que ?todas las estructuras y servicios públicos al servicio de la salud integrarán el
Sistema Nacional de Salud?, añadiendo que ?el Sistema Nacional de Salud es el conjunto de
los Servicios de Salud de la Administración del Estado y de los Servicios de Salud de las
Comunidades Autónomas en los términos establecidos en la presente Ley?.
Asimismo, el artículo 45 establece que: ?el Sistema Nacional de Salud integra todas las
funciones y prestaciones sanitarias que, de acuerdo con lo previsto en la presente Ley, son
responsabilidad de los poderes públicos para el debido cumplimiento del derecho a la
protección de la salud? y el artículo 90 habilita la celebración de conciertos con entidades
sanitarias para la prestación de servicios, añadiendo el artículo 93 que ?no podrán ser
vinculados los hospitales y establecimientos del sector privado en el Sistema Nacional de
Salud, ni se podrán establecer conciertos con centros sanitarios privados, cuando en alguno
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/37
de sus propietarios o en alguno de sus trabajadores concurran las circunstancias que sobre
incompatibilidades del sector público y el privado establezca la legislación sobre
incompatibilidades del personal al servicio de las Administraciones Públicas?.
En consecuencia, aun no formando parte integrante del sistema Nacional de Salud,
los centros concertados desarrollan acciones asistenciales directamente vinculadas con el
sistema, pudiendo incluso entenderse que las mismas constituyen, en cuanto sea objeto de
concierto, servicios propios del mencionado Sistema.
Esta consideración, unida a la finalidad asistencial que justifica el acceso a los datos
de la historia clínica del paciente que vaya a ser objeto de atención sanitaria para garantizar
la mejor calidad de la misma y, en definitiva su derecho a la salud, consagrado por el
artículo 43 de la Constitución, unida a las disposiciones que se han venido analizando con
anterioridad, permite considerar que la cesión de los datos a los facultativos que hayan de
atender al paciente en los centros concertados, mediante el acceso a la historia clínica que
obre en el Servicio de Salud autonómico, es conforme a la Ley Orgánica 15/1999, sin que
sea necesaria la adopción de ninguna disposición adicional para permitir dicha cesión.?
VI
En principio rige la prohibición de tratamiento de datos de carácter personal referentes a la
salud, por lo que las excepciones deben interpretarse de manera restrictiva, de modo que no
puedan incluirse en dicha excepción, otros casos distintos, pues esto desvirtuaría la finalidad
de la ley y las garantías establecidas
La historia clínica se halla descentralizada a nivel de Grupo de empresa, lo que significa en
la práctica que, si el paciente acude a cualquiera de los cuarenta centros del grupo AFFIDEA
, en España, el médico que le presta asistencia puede acceder, consultar y efectuar una
mejor y más completa atención en el tratamiento que se le presta, si bien ha de limitarse a la
finalidad que origina la petición del informe, y la posición jurídica que ocupa como contratante
con la Mutua, considerando el cumplimiento de la normativa sectorial que refiere la disposición
de historias clínicas cuando no proceden del mismo sector al que se presta servicios,
en este caso por cuenta de la Mutua colaboradora en la gestión de la Seguridad Social
En este caso, la Mutua era un destinatario de datos que ordenó un reconocimiento al reclamante
en orden a una finalidad diagnostica de modo que se le han de comunicar por el reclamado
un informe valoración sobre la prueba practicada en la rodilla derecha, a fin de que
la Mutua determine la contingencia causante del accidente sufrido por el reclamante, con la
prueba que se le hace el 27/08/2019. Como regla general y strictu sensu, sin mas detalles
que comentar inicialmente, se ajusta al supuesto del artículo 9.2.h) del RGPD ? servicios de
asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros
o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones
y garantías contempladas en el apartado 3?
Pero en este caso, además, sin ignorar que existe base legitimadora, se analiza que atendiendo
el reclamado en régimen asistencial contratado a nivel de colaborar con el régimen
publico de la Seguridad Social, se incorporan sin autorización del afectado, tal como determina
como necesario el Decreto CYL, parte de unos hallazgos de un episodio asistencial
previo, para comunicarlo a la Mutua, que es lo que se considera infringe el deber de confidencialidad
, extralimitándose de los datos que sin autorización del afectado son comunicados
, para producirle en el régimen publico una denegación de prestación como accidente,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/37
considerando datos no solo que pertenecen al régimen privado, y eso es lo menos importante
, sino por el hecho de que este exceso al incorporar una información previa sin autorizarse
y sin conocerse ciertamente, por parecer que no es esperable la comunicación entre regímenes
, puede exceder del esquema para el que se halle la legitimación, al no adecuarse en
esta extralimitación a lo que se considera estrictamente el excede de los servicios de asistencia
sanitaria y social cuando acude a pruebas precedentes a la fecha de suceder el presunto
accidente cuya habilitación de tratamiento eran la razón de tratamiento y diagnóstico
de la rodilla, y no se obtiene autorización documental del afectado para el traslado de la información
de la historia clínica del anterior episodio, situación de tratamiento de datos no
esperable en una prueba en el ámbito del sistema público, y considerando que los datos a
que se acceden no forma parte del citado sistema público, considerando ese exceso como
infracción del deber de confidencialidad
Como tal, se debió haber limitado su contenido, no haber comparado los datos con la primera
historia sin haber solicitado la autorización informada del afectado, refiriendo los deberes
de veracidad en la información a proporcionar , la finalidad de la prueba a efectuar, que tiene
sus peculiaridades respecto a las que se puedan practicar motu proprio, observando que las
cláusulas informativas de protección de datos usada por el reclamado son en todos los casos
las mismas, sin diferenciar, debiendo haber recabado la autorización para el contraste
de la historia originaria.
Ello teniendo en cuenta que el reclamante no reclama por la cesión de sus datos a la MUTUA
derivada del reconocimiento que esta ordena, de hecho, consintió en la casilla de ceder
los resultados de esa consulta de 27/08/2019, en la cláusula informativa entregada, sino por
un aspecto concreto que se limita a la comunicación de sus datos confidenciales de parte
del contenido que relaciona o da a conocer datos de su visita previa a otra clínica del Grupo
y que el médico refiere en el informe.
Para las entidades aseguradoras de prestaciones sanitarias o de salud privadas, como la
consulta a la que acudió el reclamante en fecha 2/08/2019, figurando la entidad CENTRO
DE DIAGNÓSTICO CAMPO GRANDE SL, del grupo AFFIDEA, asistencia prestada a través
de la aseguradora ADESLAS, tendría efectos de levantar la prohibición del tratamiento al someterse
voluntariamente a recibir la atención sanitaria prevista en el artículo 9.2 h) ?diagnóstico
médico, prestación de asistencia? del RGPD. Esta prestación se obtuvo motu proprio y
al haber suscrito previamente un contrato con la aseguradora privada.
En el presente caso, no se trataba de una prestación ya reconocida por la Mutua como de
accidente de trabajo, ni se estaba prestando asistencia sanitaria a su cargo, sino se basaba
en el reconocimiento del estado de salud del empleado para determinar si era o no un accidente
de trabajo, cuestión importante a determinar, dado que lo normal es que una base reguladora
para prestaciones por esta causa suele ser superior a la de contingencias comunes
en cualquier prestación.
Sin poner en tela de juicio la necesidad y adecuación de que la prueba anterior completa la
ordenada por la Mutua, mejorando en un acertado diagnóstico, lo cierto es que la primera se
ejecutó por cuenta propia del reclamante bajo un régimen privado, lo que indica que aunque
forme parte de un historial clínico único instrumentado o destinado a una asistencia adecuada
, de calidad y corrección, el tratamiento de los datos de salud no solo cuando se practican
las pruebas, sino cuando se ceden el contenido de esas pruebas, se debe contar con las excepciones
del artículo 9.2 del RGPD. Aquí se están recogiendo y tratando datos exhaustivos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/37
de una sesión previa de tratamiento y diagnóstico para un informe destinado a valorar si las
lesiones proceden o guardan relación con un accidente de trabajo (gestión de los sistemas y
servicios de asistencia sanitaria y social). Ello, solamente esta parte del primer informe, que
se contempla y se cede a la Mutua es el que se considera fuera del principio de confidencialidad
, al no reunir el requerimiento de que se hubiera autorizado el uso de sus datos contenidos
en el primer episodio asistencial de 2/08/2019, que podría ser un medio de salvar la
excepción, al no concurrir sobre la parte que se extralimita la causa que podría servir como
excepción para su tratamiento comunicado a la Mutua, llegando a producirse un resultado
como es el que se imputa de infracción de la confidencialidad.
En el presente caso, además, la condición en que se le presta el servicio a la Mutua a través
del reclamado, en calidad de colaborador en la gestión de la Seguridad Social de la prestación
de accidente de trabajo, no se trata de la prestación de asistencia sanitaria, sino dentro
del mismo artículo, la de ? gestión de los sistemas y servicios de asistencia sanitaria y social
, sobre la base del Derecho de la Unión o de los Estados miembros?, aunque el reclamante
esté obligado a presentarse a la prueba médica, lo es con el objeto de determinar si
las lesiones o síntomas producidos el día 27/08/2019 en el centro de trabajo proceden o no
de una contingencia profesional, no para prestarle una mejor asistencia médica. La Mutua,
constituida por el conjunto de empresarios asociados, al conocer esa porción de datos previos
con que contaba el reclamante resuelve no atender el accidente como de trabajo, sin
que se contara con que el reclamante hubiera otorgado el consentimiento o autorización al
reclamado para la comunicación de sus datos, que excederían del contenido propio por el
que se atendió por cuenta de la Mutua, dando a conocer unos datos que se debían de haber
mantenido en secreto por el reclamado.
VII
Como consecuencia, se imputa al reclamado una infracción del artículo 5.1.f) del RGPD que
indica:
1. Los datos personales serán:
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales
, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida
, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas
apropiadas («integridad y confidencialidad»).
Obligación de la que trata el artículo 5 de la Ley Orgánica 3/2018, de 5/12, de Protección de
Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), que precisa
:
?1. Los responsables y encargados del tratamiento de datos, así como todas las personas
que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad
al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el apartado anterior será complementaria de los
deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/37
cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.?
Se deduce que el responsable del tratamiento de los datos que forman parte de la historia
clínica es el médico o el centro sanitario, público o privado; éstos tienen la obligación de elaborarla
, custodiarla e implantar las medidas de seguridad necesarias para que no se extravíe
, no se comunique a partes no interesadas o pueda accederse por terceros no autorizados.
En este caso el centro sanitario, es el reclamado, que suscribió un contrato con la Mutua
FREMAP, además, sin mención alguna a que forma parte de un GRUPO empresarial, ni
relación alguna a la gestión de la historia clínica del paciente. La matriz en España, GRUPO
AFFIDEA ESPAÑA es la que centraliza la historia clínica para que todos los centros de diagnóstico
accedan a la historia única, y el reclamado así lo hizo.
En cuanto a acceso y confidencialidad de la historia clínica, señala el artículo 2.7 LAP (principio
básico)
?7.?La persona que elabore o tenga acceso a la información y la documentación clínica
está obligada a guardar la reserva debida?
Este último párrafo se menciona en la misma norma, articulo 7: ?El derecho a la intimidad?.
?1.?Toda persona tiene derecho a que se respete el carácter confidencial de los datos
referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada
por la Ley.
2.?Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos
a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los
procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.?
De aquí se desprende que la regla general es la confidencialidad de toda la información obtenida
por los médicos en aplicación de la LAP. Por tanto, se incluirían la no posibilidad de
comunicar datos de atenciones asistenciales precedentes, tanto por ser prestadas en régimen
privado como porque no se trataba en la segunda ocasión de tratamiento médico o
asistencia al paciente, sino de colaboración para determinar si la contingencia obedecía a un
accidente. Para conseguir eso, debería haber informado y haber obtenido la autorización de
consulta de la historia clínica de 2/08/2029, dado que se trata de datos de salud. Dada la
prohibición como regla general, y la subsidiaria excepción en el tratamiento de los datos de
salud, el comunicado o contraste con la primera asistencia médica para la recogida de los
datos motivado por la averiguación de relación de episodios, con el fin de determinación por
la Mutua de la contingencia contaba con una parte que se ajustaba a estos fines, al comparecer
al reconocimiento médico, pero al contrastar los datos con los antecedentes originarios
infringe el deber de confidencialidad del tratamiento de dichos datos.
A ello se ha de sumar la particularidad de la relación que se establece entre el profesional de
la medicina y el paciente, basada firmemente en la confidencialidad y discreción y de los diversos
datos relativos a aspectos íntimos de su persona que con ocasión de ella suelen facilitarse.
Es cierto que los arts. 14 y siguientes de la LAP favorecen "la máxima integración posible de
la documentación clínica de cada paciente" a fin de lograr una adecuada asistencia sanitaria
, y de ahí el principio de unidad de la historia clínica. Esa integración de la historia clínica,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/37
tendente a evitar la dispersión de la información sanitaria sobre cada paciente, tiene como
beneficiario al propio paciente. No se predica su carácter unitario para facilitar los diagnósticos
pudiendo recoger todos los datos previos, de otros procesos, por ajustarse a una mejor
prestación del servicio, al menos sin la autorización del afectado, ya que su finalidad no es
en este caso esa.
Cuando la LAP prevé la confidencialidad de los datos obtenidos en relación con los datos de
salud, comunicándose unos datos precedentes a la prueba a la Mutua, asociación de empresarios
agrupados para la gestión de la prestación de accidente de trabajo y con la finalidad
de que se concluya sobre la causa productora de la lesión, están saliendo los datos del
citado ámbito a un sujeto diferenciado, con propia personalidad jurídica y al que se considera
que ni el RGPD ni la LOPDGDD ni la norma sectorial de LAP autoriza dicha comunicación
, suponiendo una infracción de medidas de seguridad al permitir claramente con dicha
acción la infracción de la confidencialidad de parte de los datos que se ceden a la Mutua, los
de la primera valoración, al realizarse el 27/08/2019 la derivación por la Mutua para determinar
si concurría o no en dicho acto la contingencia de accidente de trabajo.
Si bien los arts. 14 y siguientes de la LAP favorecen "la máxima integración posible de la documentación
clínica de cada paciente" a fin de lograr una adecuada asistencia sanitaria, pudiendo
hablar del principio de unidad de la historia clínica, sin embargo, es preciso señalar
que esa integración de la historia clínica, tendente a evitar la dispersión de la información
sanitaria sobre cada paciente, tiene como beneficiario al propio paciente. El inciso inicial del
art. 16 de la LAP lo ratifica, al señalar:? La historia clínica es un instrumento destinado fundamentalmente
a garantizar una asistencia adecuada al paciente."
El inciso inicial del art. 16 de la Ley de Autonomía del Paciente es claro a este respecto: "La
historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia
adecuada al paciente."
Así, al reclamante se le informa en la segunda prueba que sus datos fruto de esa asistencia
se van a ceder a la Mutua, lo que no significa que se traten de la asistencia y los datos y documentación
clínica que se genera en la primera asistencia, que es lo que se hizo, sin que
conste que el reclamante autorizara ni se le pidiera la autorización para la consulta de los
datos previos. Este punto es de crucial importancia, porque la información sobre la salud de
las personas forma parte del objeto protegido por el derecho fundamental a la intimidad, tal
como ha aclarado, entre otras, la sentencia del Tribunal Constitucional 196/2004, de 15/11.
No se considera que se haya producido un tratamiento que carezca de base legitima, pues
esa no es la infracción imputada, sino que en el tratamiento llevado a cabo, la manera en
que se ha producido, incorporando parte de la información y datos de un proceso médico
previo, se ha ocasionado, al trasladarlo a la Mutua, por la ausencia de medidas de seguridad
contempladas, un resultado de puesta en conocimiento de los datos del reclamante de una
parte de su historia clínica de un episodio previo, utilizándose para la determinación de la
contingencia causante, que pudo producir la no estimación de la misma como de accidente
de trabajo.
En cuanto a las medidas de seguridad, por los resultados producidos, se han de implementar
niveles diferenciados para cuando el paciente acude a un médico o centro sanitario, privado
o público, distinguiendo en el tratamiento de datos personales y de salud, las posibles
bases legitimadoras, y las finalidades a que responde el tratamiento, así como a posición jurídica
en que actúa el responsable.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/37
Se acredita en este caso, que el reclamado, el 27/08/2019 accede a datos personales de
una consulta previa del reclamante en régimen privado, cuando ejercitaba funciones de colaboración
con la Mutua en la gestión de los sistemas y servicios de asistencia sanitaria y social
para determinar por cuenta de la Mutua la contingencia. Vulneración de la confidencialidad
que se materializa al introducir los términos de contrastes médicos de los datos en el informe
que remite a la Mutua, y que excede de los datos que podía trasladar a la misma.
VIII
La jurisprudencia se ha pronunciado en algún caso sobre la puesta en conocimiento o cesión
de datos de salud que indudablemente pueden servir a unos fines de diagnosticar certeramente
unas lesiones o una aptitud para un puesto de trabajo, pero otros derechos en
juego en algunas ocasiones prevalecen. En este caso se trataba de la revisión en casación
de una sanción impuesta por la AEPD, anulando el Tribunal Supremo Sala de lo Contencioso-Administrativo
, Sección 6ª) Sentencia de 20/10/2009, Recurso de Casación 4946/2007 la
sentencia recurrida, y confirmando la sanción.
Se trata de una sanción de la AEPD a Mutua FREMAP, ya que la misma Mutua había
atendido un proceso de baja medica previo en otra empresa y el trabajador cambió de
empresa. Durante el periodo de prueba le hicieron un reconocimiento médico, siendo la
misma Mutua la encargada de hacer esos reconocimientos . El último día del periodo de
prueba recibió ?carta que le entregaron llevaba el logotipo de FREMAP y en ella se indicaba
que "a la vista de los resultados, así como de las exploraciones complementarias realizadas
se objetivan datos patológicos en relación con su puesto de trabajo en el momento actual,
siendo considerado APTO CON LIMITACIONES". ?D. Samuel denuncia a la entidad Fremap
por haber incluido datos que habían sido recabados durante la revisión de su incapacidad
temporal, con fecha 25 de agosto de 2003, cuando trabajaba para la entidad Tecnyconta, en
un informe realizado el 12 de enero de 2004, como reconocimiento médico previo a su
incorporación definitiva como trabajador a la entidad Vitrometal.?. La sentencia analiza la
cesión de datos no consentida a la empresa que declara no apto al trabajador, respecto de
los datos médicos obtenidos durante la permanencia del trabajador en la anterior empresa,
derivado de un proceso de baja laboral IT de la que fue tratado el trabajador por la mutua.
?Como consecuencia de ello, los repetidos datos médicos del Sr. Samuel pasaron a formar
parte del historial médico o historia clínica en posesión de tal aseguradora.?. La sentencia
señala como principio general que "las medidas de vigilancia y control de la salud de los
trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad
del trabajador y la confidencialidad de toda la información relacionada con su estado de
salud" y que "los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser
usados con fines discriminatorios ni en perjuicio del trabajador". ?De aquí se desprende que
la regla general es la confidencialidad de toda la información obtenida por las mutuas en
aplicación de la Ley de Prevención de Riesgos Laborales y, por consiguiente, que la
posibilidad de comunicar al empresario las conclusiones que se deriven de los
reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del
puesto de trabajo" constituye una excepción. ?En resumen, en esta materia rige
incuestionablemente la máxima confidencialidad posible, sin que haya elemento alguno en
la Ley de Prevención de Riesgos Laborales o en la Ley de Autonomía del Paciente que
permitan afirmar que la comunicación de datos no consentida llevada a cabo por Fremap
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/37
estaba autorizada por una ley.?
IX
En cuanto a la integración o interoperabilidad de comunicación de la información contenida
en la historia clínica, la Ley 16/2003, de 28/05, de Cohesión y Calidad del Sistema Nacional
de Salud ha desarrollado así un conjunto de mecanismos de coordinación y cooperación en
algunos ámbitos donde es especialmente precisa esta colaboración, entre los que destaca el
establecimiento de sistemas de información que permita que esta información fluya dentro
del Sistema Nacional de Salud, creándose órganos específicos como el Observatorio del
Sistema Nacional de Salud ?art. 1? o el Instituto de Información Sanitaria. El funcionamiento
cohesionado del Sistema Nacional de Salud que permita la existencia de un servicio público
sanitario de calidad y en condiciones de igualdad se basa en un sistema de información
sanitaria que garantice la disponibilidad de la información y la comunicación recíprocas entre
la Administración Sanitaria General del Estado y la de las Comunidades.
El ejemplo sería el artículo 36 de la ley 16/2003 de 28/05 de Cohesión y Calidad del Sistema
Nacional de Salud, según el cual: " Con el fin de que los ciudadanos reciben la mejor asistencia
sanitaria posible en cualquier centro o servicio del Sistema Nacional de Salud, el Ministerio
de Sanidad y Consumo coordinará los mecanismos de intercambio electrónico de información
clínica y de salud individual, previamente acordados por las Comunidades Autónomas
, para permitir tanto al interesado como a los profesionales que participan en la asistencia
sanitaria el acceso a la historia clínica en términos estrictamente necesarios para garantizar
la calidad de dicha asistencia y la confidencialidad e integridad de la información,
cualquiera que fuese la Administración que la proporcione?. Se observa así, que los desarrollosde proyectos de intercambio de historia clínica digital del Sistema Nacional de salud van
exclusivamente en la dirección del régimen público, derecho al que cualquier ciudadano tiene
en cualquier punto del territorio nacional. No se conoce de momento potenciación de mecanismos
en los que la asistencia sanitaria prestada en régimen privado pueda consultar y
acceder o interoperar con ficheros de historias clínicas del Sistema Nacional de Salud para
la prestación de la asistencia sanitaria, pues si fuera la finalidad esencial de la historia clínica
dicha atención, no parece que debieran existir cortapisas o directamente dicho sistema
estaría previsto. Usualmente para conseguir esos antecedentes, el médico lo solicita al paciente
que será el que lo recabará de los servicios sanitarios. El Decreto de CYL también señala
el mismo sentido al indicar en su artículo 13 que ? Cuando un paciente esté recibiendo
asistencia sanitaria en otro centro distinto de aquél en el que se generó la historia clínica, se
deberá facilitar copia de ésta cuando sea solicitada por el facultativo responsable de esa
asistencia, siempre que cuente con la autorización expresa del paciente, salvo en una situación
de urgencia en que éste no pueda prestarla en cuyo caso aquél deberá justificar la necesidad
asistencial de uso de esa documentación.
De ello se deriva que la cesión de datos se vincula al régimen en que se presta la asistencia
sanitaria.
El artículo 53. 6 de dicha ley indica ?La cesión de los datos, incluidos aquellos de carácter
personal necesarios para el sistema de información sanitaria, estará sujeta a la legislación
en materia de protección de datos de carácter personal y a las condiciones acordadas en el
Consejo Interterritorial del Sistema Nacional de Salud.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/37
Defender la posibilidad de divulgar parte de la historia clínica prestada en régimen privado,
cuando se está prestando para la valoración de una prestación de régimen público, en este
caso no considera la finalidad para la que se agrega la información, no tuvo en cuenta que
parte de la historia para ser utilizada en referencia a la prueba ordenada por la mutua, y no
extraer los datos en el régimen publico de asistencia, ser un episodio anterior, debió haberse
informado de su consulta y obtener la autorización de la consulta..
Ello no significa que la historia clínica se deba disociar según el régimen privado o público
por el título que se preste, sino que en la comunicación de esta se implementen las garantías
e información al afectado para que decida y en su caso permita dicha comunicación, debidamente
informado, con las consecuencias para el caso concreto por el régimen por el
que se atiende.
En cuanto a la alegación de que en supuestos de urgencia o de tratamiento médico es preciso
ver todos los antecedentes médicos de la historia del afectado, se debe señalar que en
este caso la finalidad del reconocimiento médico ordenado por la Mutua y de los datos que
en el proceso se tratan, obedecen estrictamente a la determinación señalada, mientras que
en supuestos en que si se diera efectivamente el conflicto de derechos planteado, se podría
valorar como excepción al tratamiento el interés vital del afectado, pero se aprecia que no
guarda relación con este caso
Sobre la alegación de que no indicar el proceso previo del primer episodio podría contribuir a
la consumación de un delito por favorecer con su silencio la percepción de una prestación,
se significa que el tipo del articulo 307 ter del Código Penal, comprende:
1) obtención de prestaciones del sistema de la Seguridad Social indebidas;
2) prolongación indebida del disfrute de dichas prestaciones y
3) facilitación a otros de la obtención de prestaciones indebidas por medio del error provocado
mediante la simulación o tergiversación de hechos o la ocultación de hechos verdaderos,
causando un perjuicio a la Administración Pública.
El correlacionar el primer diagnóstico como sucedió, sin duda favorece la toma de decisión
de la determinación de la contingencia, pero estamos ante un derecho fundamental, y no
consta artificio o engaño alguno por parte del reclamante, pudiendo efectuar la incorporación
del primer análisis médico con la información y autorización adecuada para posibilitar su incorporación
como contraste en la prueba realizada.
Esta posibilidad de comunicación de datos no guarda relación con la evitación del fraude,
como alude el reclamado que justificaría la intromisión en los datos íntimos de los pacientes
con el acceso indiferenciado a los datos de salud. Se vulneraría la intimidad personal si la
obtención de datos pertenecientes a la privacidad del trabajador descansase en una utilización
extensiva de esas habilitaciones legales por razón de la finalidad encomendada, sustituyendo
la finalidad de la norma hasta hacer impracticable el derecho fundamental afectado
o ineficaz la garantía que la Constitución le otorga. Todo lo cual lleva a advertir de la necesidad
de factores objetivos para conseguir la incorporación de previas pruebas asistenciales
para la constatación en el diagnóstico a realizar, conforme señala el deber de confidencialidad
y expresamente el artículo 13 del Decreto CYL
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/37
X
En cuanto al error de tipificación alegado, aparte de lo ya mencionado en puntos anteriores,
no se imputa la infracción del tratamiento no licito, porque para los datos recabados en el reconocimiento
relacionado con datos de salud por parte de la mutua puede existir base de legitimación
, obsérvese que no se ha discutido sobre ello, sino mas bien en el resultado que al
llevar a cabo el mismo se produce. El hecho no es que se necesite el consentimiento para el
citado tratamiento, sino que en la parte de incorporación de contraste de la historia clínica de
la primera prueba, se produjo una infracción de resultado consistente en poner en conocimiento
de la misma Mutua una información de datos de salud para los que ni se tenia autorización
debidamente informada del afectado sobre traslado o consulta del primer episodio de
atención medica, y se comunican los datos, produciéndose la infracción del deber de confidencialidad.
Ello se podría haber salvado, entre otros elementos con una debida información
sobre permiso de acceso a la historia detallando la finalidad, consecuencias y obligaciones
por el reclamante.
La infracción se da, por la falta de diligencia establecida al considerar erróneamente que
esos datos de esa parte de la historia clínica pueden ser comunicados sin más por el hecho
de que la historia clínica sea única en el Grupo, o se contribuye a la mejor y más certera
prestación del servicio contratado, obviando para ello la autorización informada del afectado.
Finalmente, hay que indicar que la falta de respuesta en las pruebas no condicionó la propuesta
ni afecta a la resolución , por cuanto en la respuesta no se aporta nada significativo
que decante en uno u otro lado las consideraciones estimadas. En la web figura parte importante
de la segunda capa informativa para los pacientes, sin que se explique claramente algún
supuesto relacionado con lo acontecido en el presente supuesto.
XI
A dicha infracción se refiere el artículo 83.5.a) del RGPD que indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
a tenor de los artículos 5, 6, 7 y 9;?
La determinación de la sanción que procede imponer en el presente caso exige observar las
previsiones de los artículos 83.1 y.2 del RGPD, preceptos que, respectivamente, disponen lo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/37
siguiente:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en
los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.?
?2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso
individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58,
apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía
en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate, así como el número
de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar
los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida
cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos
25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción
y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular
si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida
;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación
aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente
, a través de la infracción.?
Dentro de este apartado, la LOPDGDD contempla en su artículo 76, titulado ?Sanciones y
medidas correctivas?:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)
2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el
apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán
tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos per-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/37
sonales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la
infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción
, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos
de resolución alternativa de conflictos, en aquellos supuestos en los que existan
controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las
restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE)
2016/679.?
Para la valoración de la sanción que se implementaría en este acuerdo de inicio, se contemplan
los siguientes factores:
El reclamado es una entidad del sector sanitario en el que se tratan datos de salud (83.2.g) y
debe tener establecidos unos protocolos para que la información y datos del servicio asistencial
prestado en régimen de seguro privado no se trasvase a las que se originen en el régimen
público. Existe una relación cercana entre los datos de salud que se tratan y los datos
de carácter personal, siendo una faceta diaria y ligada un elemento a otro.
Como consecuencia con los elementos que se disponen, se impone la sanción en 10.000
euros
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación
de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1, S.A., con CIF
***CIF.1, por una infracción del aArtículo 5.1.f) del RGPD, en relación con el artículo 5 de la
LOPDGDD, de conformidad con el artículo 83.5 a) del RGPD, una multa de 10.000 euros
SEGUNDO: NOTIFICAR la presente resolución a CENTRO DE DIAGNÓSTICO ***LOCALIDAD.1, S.A.
TERCERO : Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez
que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b)
de la ley 39/2015, de 1/10 del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante LPACAP), en el plazo de pago voluntario establecido en el art. 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29/07, en
relación con el art. 62 de la Ley 58/2003, de 17/12, mediante su ingreso, indicando el NIF del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/37
sancionado y el número de procedimiento que figura en el encabezamiento de este documento
, en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la
Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En
caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días
16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo
mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución
se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD
, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados
podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia
Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución o directamente recurso contencioso administrativo ante la
Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto
en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses
a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado
deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española
de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros
previstos en el art. 16.4 de la citada Ley 39/2015, de 1/10. También deberá trasladar a la
Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo
en el plazo de dos meses desde el día siguiente a la notificación de la presente
resolución, daría por finalizada la suspensión cautelar.
938-131120
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es