Resolución del Defensor del Pueblo Andaluz formulada en la queja 16/4589 dirigida a Consejería de Salud, Servicio Andaluz de Salud, Complejo Hospitalario Torrecárdenas (Almería)
El Defensor del Pueblo Andaluz formula Resolución ante el Complejo Hospitalario Torrecárdenas por la que recomienda que se inicie una investigación detallada que permita conocer los fallos de seguridad en el mecanismo de protección de datos personales de ese centro hospitalario, y se proceda a corregir los mismos.
Recomienda igualmente que efectivamente se inicie el procedimiento de rectificación en relación con los ficheros que contienen los datos de salud de la interesada, así como el correspondiente a los de la otra paciente de haberse visto igualmente afectada, y que se dé cuenta a esta última de lo sucedido advirtiéndole del derecho que le asiste a recabar la tutela de la agencia española de protección datos.
ANTECEDENTES
La interesada acudió a esta Institución para relatar las incidencias acaecidas en relación con su solicitud de acceso a su historial clínico, motivada por las circunstancias que tuvieron lugar en el curso de la asistencia proporcionada desde ese centro hospitalario.
En concreto nos refiere que fue en diversas ocasiones al servicio de urgencias del centro de salud Virgen del Mar con dolores abdominales, y que por el mismo motivo también se personó en el servicio de urgencias hospitalario, sin que se llegara a detectar la causa de su dolencia.
Con posteriordad en consulta de ginecología se le llegó a diagnosticar de endometriosis y adenomiosis, programándose su intervención quirúrgica, aunque con carácter previo sufrió una torsión ovárica, siendo definitivamente operada el 17.6.2013.
Pues bien, el problema que nos traslada se plantea inicialmente cuando en la consulta de revisión prevista, la facultativa no puede constatar que hubiera sido previamente intervenida, interpelándola al respecto de la causa de su comparecencia.
Fue entonces cuando por boca de aquella tuvo conocimiento de que su historia estaba mezclada con la de otra paciente (al parecer con igual nombre y apellidos), circunstancia que la llevó a solicitar copia de aquella.
Puesta a disposición de la misma tras una espera de varios meses, la interesada comprobó que en la documentación aportada figuraban datos personales correspondientes a la otra paciente (número de la Seguridad Social, domicilio, y DNI), aparte de que el historial no se correspondía con el suyo, por lo que efectuó la correspondiente reclamación que dio como resultado la comunicación de la subsanación de los defectos apreciados, a la que se acompañaba la afirmación de que no se reiteraría lo ocurrido.
No dejaron de sucederse incidentes en consultas subsiguientes, puesto que las citas solicitadas por ella eran anuladas a veces por la otra paciente y viceversa, decantándose entonces, y ante la alarma que le producía esta situación, por la suscripción de un seguro sanitario privado para garantizar su continuidad asistencial.
Con el paso del tiempo quiso de nuevo comprobar si se había cumplido el compromiso de ese centro, y en torno a mayo del año pasado ejerció de nuevo su derecho a acceder a su historial, siendo avisada para la recogida del mismo, y entregada directamente de una copia de la historia de la otra paciente, con revelación de todos sus datos médicos y personales, en lugar de la suya propia.
Pues bien, tras admitir la queja a trámite y solicitar el informe previsto en el art. 18.1 de nuestra Ley reguladora a esa Dirección Gerencia, recibimos un breve escrito por el cual se limitan a decirnos que efectivamente existió un error humano a la hora de entregrar la documentación solicitada, pero además reconocen que aún persiste un episodio asistencial con los datos erróneos, por lo que anuncian la iniciación de oficio de un procedimiento de rectificación de datos clínicos, para la subsanación de los errores detectados, tanto en el formato papel como en el electrónico.
CONSIDERACIONES
La interesada acude a esta Institución ante la preocupación que le suscita la confusión de los datos relacionados con su historia sanitaria, con los de otra paciente de su mismo nombre y apellidos, por las consecuencias que de esta situación se le pueden generar en caso de precisar nuevamente asistencia, a la vista de las incidencias acaecidas, y la comprobación de que los errores reiteradamente detectados no han sido subsanados por ese hospital, a pesar de los anuncios realizados en tal sentido.
Ciertamente, ni de la comunicación de la interesada ni del contenido del informe se deduce con claridad el alcance de dicha confusión, deduciendo en definitiva que se le han asignado episodios asistenciales propios y ajenos, y que se le ha entregado por dos ocasiones documentación relativa a estos últimos, produciéndose una vulneración del derecho a la intimidad y la protección de datos personales de la paciente afectada.
Nos encontramos por una parte que la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, efectúa un reconocimiento del derecho a la intimidad de aquel, el cual se traduce en “el respeto del carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la ley”.
Al mismo tiempo se prevé el derecho del paciente a acceder a la documentación de la historia clínica, y los datos que figuren en ella.
Por otro lado, tanto la Ley 15/99, de 13 de diciembre, de protección de datos de carácter personal, como el reglamento que la desarrolla (aprobado por Real Decreto 1720/2007, de 21 de diciembre), se dedican a establecer medidas destinadas a proteger las libertades y derechos de las personas físicas en lo que concierne al tratamiento de sus datos personales.
Así, la primera califica los datos relacionados con la salud como especialmente protegidos, existiendo la obligación de adoptar medidas organizativas y técnicas que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado. El segundo por su parte los incluye dentro del grupo de ficheros respecto a los que deben aplicarse medidas de seguridad de nivel alto.
Pues bien, a pesar de todo ello, del relato de la interesada y el contenido del informe administrativo se deduce que han existido fallos reiterados en las medidas de seguridad aplicadas, que han permitido una cesión ilegítima de los datos personales relativos a la salud de una tercera persona.
Y es que, ya en un primer momento, la facultativa que atendió a la interesada detectó las disfunciones que afectaban a su historia y la falta de correspondencia de los espisodios asistenciales que se vinculaban a sus datos identificativos, sin que ello motivara ningún tipo de rectificación.
De hecho, la interesada solicitó a raíz de dicho incidente el acceso a su historial clínico, y pudo comprobar personalmente lo anteriormente indicado, tras el análisis de la documentación entregada.
Pero es que a pesar de las afirmaciones de ese centro en orden a la subsanación de este problema, y transcurrido un plazo de tiempo más que prudencial, la segunda petición de copia de la historia clínica que efectuó la interesada se saldó con una nueva cesión prohibida de los datos personales de la otra paciente.
No es de extrañar, por tanto, a la vista de lo expuesto, que el anuncio de inicio del procedimiento para la rectificación, que se contiene en el informe emitido por ese hospital, nos suscite desconfianza en cuanto a su efectiva realización.
Desconocemos por otra parte si la persona afectada por esta evidente vulneración de los derechos a la intimidad y protección de datos personales ha tenido conocimiento de ello, y si de alguna manera la interesada en queja se ha visto afectada recíprocamente por el conocimiento por parte de aquella de sus datos de salud.
Pero resulta obvio que se ha cometido una infracción grave de la normativa de protección de datos, que podría dar lugar a la intervención de la Agencia Española de Protección de Datos, con el inicio de un procedimiento sancionador, y aún cuando a la vista de la titularidad pública del fichero no cabría la imposición de sanciones de carácter pecuniario, si podrían ordenarse medidas para el cese o la corrección de los efectos de la infracción, aparte de proponerse el inicio de actuaciones disciplinarias, si procediere.
Por ello, con independencia de que la interesada o la otra paciente afectada pudieran recurrir a dicho organismo, y al margen del procedimiento para la rectificación de los archivos correspondientes a las historias clínicas implicadas, nos parece que ese hospital debería llevar a cabo una investigación detallada de lo sucedido con revisión de las medidas de seguridad, para poder detectar el origen de las vulneraciones que se han puesto de manifiesto y establecer los mecanismos que realmente impidan que vuelvan a suceder.
Al mismo tiempo, creemos que la paciente cuyos datos han sido cedidos a la interesada, debería ser informada al respecto por ese hospital, advirtiéndole de la posibilidad que le asiste de solicitar el amparo de la mencionada agencia española de protección de datos, e incluso en caso de acreditar la existencia de daño efectivo, de requerir la reparación del mismo por medio de la correspondiente indemnización.
Y es que, en todo caso, no podemos olvidar el riesgo cierto de perjuicio para la salud de la interesada (y puede que para la de la otra paciente también) por la asignación de procesos patológicos, o episodios asistenciales que realmente no ha padecido, tratamientos que no ha recibido, etc.
Las consideraciones expuestas nos permiten realizar a esa Dirección Gerencia del hospital Torrecárdenas, de acuerdo con lo previsto en el art. 29.1 de la Ley 9/83, de 1 de diciembre, reguladora del Defensor del Pueblo Andaluz, RECORDATORIO DE DEBERES LEGALES por considerar incumplidos los siguientes preceptos:
*De la Ley 14/86, de 25 de abril, General de Sanidad: art. 10.1
*De la Ley 2/98, de 15 de junio, de Salud de Andalucía: art. 6.1.b)
*De la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica: art. 7.1
*De la Ley 5/99, de 13 de diciembre, de Protección de datos de carácter personal: art. 7.3 y 11
RESOLUCIÓN
Con idéntico fundamento normativo estimamos conveniente dirigirle las siguientes:
RECOMENDACIÓN 1: Que se inicie una investigación detallada que permita conocer los fallos de seguridad en el mecanismo de protección de datos personales de ese centro hospitalario, que han producido la vulneración de derechos constatada, y se proceda a corregir los mismos con el objeto de que este tipo de infracciones no vuelvan a producirse.
RECOMENDACIÓN 2: Que efectivamente se inicie el procedimiento de rectificación en relación con los ficheros que contienen los datos de salud de la interesada, así como el correspondiente a los de la otra paciente de haberse visto igualmente afectada.
RECOMENDACIÓN 3: Que se de cuenta a esta última de lo sucedido advirtiéndole del derecho que le asiste a recabar la tutela de la agencia española de protección datos.
Ver asunto solucionado o en vías de solución
Jesús Maeztu Gregorio de Tejada Defensor del Pueblo Andaluz
0 Comentarios