CONDENA AL SERVICIO PÚBLICO DE SALUD GALLEGO POR DEFICIENCIAS EN SU FUNCIONAMIENTO POR CONSENTIR EL ACCESO INDEBIDO AL HISTORIAL CLÍNICO DE UN TRABAJADOR

En numerosos artículos de este blog hemos hablado de accesos a historiales clínicos en el ámbito sanitario, como, por ejemplo, aquí, en el que se condenó a prisión a una enfermera por acceder hasta en dieciocho ocasiones al historial clínico de una compañera, y aquí, en el que se denegó a un padre acceder al historial clínico de su hijo, mayor de edad, pese a que contaba con un poder notarial general. En este caso, vamos a analizar una sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Galicia sobre responsabilidad patrimonial de la Administración que ha terminado en condena para el Servicio Público de Salud gallego (en adelante, SERGAS) como consecuencia del acceso indebido al historial clínico de uno de sus trabajadores.

Los hechos se remontan a que el reclamante, un trabajador del Servicio de Facturación del Complejo Hospitalario Universitario de Santiago de Compostela, se vio afectado por un acceso indebido a su historial clínico. En concreto, la irregularidad se produjo cuando una o varias personas, que no han podido ser identificadas, accedieron a su historia clínica utilizando la tarjeta y número PIN personal del Jefe de Servicio que, al parecer, la dejaba introducida y activada, de modo permanente, en el ordenador, para acceder al sistema “IANUS”.Esto, aparentemente,comportaba que el PIN era conocido por la mayoría de los trabajadores pertenecientes al mismo servicio.

A consecuencia de ello, el trabajador interpuso recurso contencioso administrativo contra una resolución de la Consejería de Sanidad de la Junta de Galicia por la que estimaba parcialmente la solicitud deducida por el mismo en reclamación de responsabilidad patrimonial por el deficiente funcionamiento de los servicios públicos por acceso indebido a su historial clínico y en la que, a priori, se fijó, a su favor, una indemnización por importe de 1.500 euros.

Disconforme con la cantidad, el reclamante acudió a la jurisdicción ordinaria y el Juzgado de lo Contencioso administrativo de Santiago de Compostela anuló el acto administrativo impugnado por entenderlo contrario al ordenamiento jurídico y elevó la indemnización fijada a la cantidad de 5.000 euros por todos los conceptos.

Tampoco consideró pertinente esta cantidad el empleado y contra dicha sentencia interpuso recurso de apelación, interesando su revocación y que, en su lugar, se dictase otra resolución en la que se acogiesen íntegramente todos los pedimentos de la demanda.

Específicamente, el actor mantenía que el montante indemnizatorio establecido por la Administración resultaba insuficiente porque sólo se había tomado en consideración la edad del impugnante y que el acto constituía un hecho aislado con un único acceso a la historia clínica sin difusión de los datos contenidos en la misma.

El SERGAS se opuso a este recurso de apelación en lo concerniente a la cantidad solicitada, pero no puso en duda el hecho ilícito y el indebido acceso.

Por tanto, en este recurso de apelación, no se discute sobre la responsabilidad patrimonial de la Administración, sino que la cuestión objeto de debate queda circunscrita a determinar si la cuantía fijada por el Juez en instancia en concepto de indemnización de 5000 euros debe ser mantenida o elevada.

Hay que tener en cuenta que estos hechos no se quedaron en esta jurisdicción, sino que también se siguieron diligencias penales ante el Juzgado de Instrucción, pero sin éxito alguno, dado que se interpuso por el órgano judicial auto de sobreseimiento provisional por la imposibilidad de identificar al autor o autores del acceso indebido. Esto no es óbice ni excluye la negligente conducta del Jefe de Servicio y, de ahí, la responsabilidad que asume el Servicio Público de Salud gallego.

En cuanto a esta conducta del Jefe de Servicio, el reclamante argumenta que el acceso no se realiza de forma casual, sino de forma deliberada. Además, la actuación del Jefe del servicio de dejar introducida la tarjeta en el ordenador, sabedor de que el código PIN de la misma era conocido por la mayoría de los trabajadores del Servicio de Facturación, constituye un hecho de suma gravedad que va más allá de una simple negligencia. Más a más, porque ni el propio Jefe tiene derecho a acceder a los historiales clínicos para el desarrollo del trabajo de facturación. Asimismo, dispone el actor, que mantener que no se ha producido una difusión de los datos tras el acceso es cuestionable, dado que no se explica entonces cómo llegó a su conocimiento aquel acceso ilegítimo, motivándole, precisamente, a promover la correspondiente demanda.

Por su parte, el SERGAS alega el artículo 9 del Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica, en cuanto al acceso por el personal de gestión y servicios, que dispone que el sistema IANUS permitirá el acceso a la información contenida en la historia clínica electrónica al personal de gestión y servicios. El acceso mencionado estará restringido a los datos imprescindibles para el ejercicio de sus funciones en relación con su puesto de trabajo y respetará el derecho a la intimidad personal y familiar de los/as pacientes o usuario/as”. Aduce también el artículo 15 de este mismo Decreto que, bajo la rúbrica de acceso a la historia clínica electrónica a efectos de facturación de servicios sanitarios, establece que “a las compañías de aseguramiento privado sólo se les facilitarán aquellos datos de la historia clínica electrónica imprescindibles a efectos de facturación con la finalidad de la justificación del gasto. Cualquier otra información clínica solicitada por la compañía aseguradora requerirá el consentimiento del/de la paciente”.

El órgano colegiado se atreve a manifestar que la postura del Letrado del Servicio de Salud gallego es sorprendente al tratar de justificar lo injustificable. Expone que el abogado, quizás, no haya leído con detenimiento los preceptos que menciona o, quizás, llegue a creerse a pie juntillas la interpretación que intenta trasladar a la Sala, la cual resulta, no sólo rechazable sino, alarmante para la protección de los pacientes ya que, según el SERGAS, al historial clínico de los pacientes puede acceder libremente no ya cualquier trabajador de gestión y servicios, sino cualquier compañía de seguros.

El Tribunal Superior de Justicia afirma, por tanto, que se trata de un caso de daño estrictamente moral, pero, en todo caso, resarcible. Resalta que es evidente que no cabe acudir a ningún baremo que permita establecer una horquilla en la que fluctuar económicamente para reparar el daño moral producido, pero aclara que las circunstancias valoradas por la Administración resultan escasamente ajustadas atendiendo a la gravedad del hecho. Considera que los 5000 euros otorgados son insuficientes para reparar el daño, fundamentalmente porque la Administración no ha culminado la investigación a que venía obligada por la reprobable actitud del Jefe de Servicio de facturación y de la persona o personas que accedieron indebidamente al historial clínico, cuestión que no hubiera sido difícil descubrir por el número escaso de trabajadores que tiene el propio servicio.

En consecuencia, teniendo en cuenta la gravedad del hecho, el daño moral ejercido y la difusión de los datos médicos ilegítimamente obtenidos, el Tribunal estima el recurso de apelación promovido, revoca la sentencia recurrida, anula el acto administrativo impugnado y condena a la Administración a satisfacer al afectado una indemnización por todos los conceptos de 9.000 euros.

Queda, por tanto, en interrogante si el propio Servicio Público de Salud va a repetir contra el Jefe de servicio por su conducta negligente. Esta entrada del blog podría acercarnos y darnos una respuesta a una de las posibles decisiones que podría tomar el SERGAS. Lo que podría producirse es una conducta reprobable para el Jefe de Servicio por su conducta negligente en la custodia de sus credenciales y al propio SERGAS, como responsable del tratamiento, por no respetar el artículo 32 del Reglamento General de Protección de Datos, es decir, por carecer de medidas técnicas y organizativas para garantizar el nivel de seguridad adecuado que incluye, entre otros, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Tendremos, en consecuencia, que esperar si este caso se queda aquí o trasciende a la responsabilidad personal del Jefe de Servicio en cuestión.

En todo caso, para saber más sobre el tratamiento de tus datos personales en el ámbito sanitario puedes acudir a la Guía para pacientes y usuarios de la Sanidad de la Agencia Española de Protección de Datos.