La Agencia de Protección de Datos también puede cometer infracciones en la materia que normalmente le compete a dirimir, por lo menos esa es la opinión del Tribunal Superior de Justicia de Cataluña (TSJC) que ha condenado a la Agencia Catalana de Protección de Datos (ACPD) y al Consorcio de Sanitario del Maresme por negarse a destruir unos informes clínicos de un paciente relacionados con un trastorno psiquiátrico que padeció hace casi 20 años. Sin lugar a duda esta sentencia constituye un precedente y podríamos considerarla bastante valiente por condenar un ente poco dispuesto a admitir sus propios errores, si no fuera por la irrisoria cuota de 1.200 euros, que ya incluye las costas judiciales derivadas del recurso, con la que deben indemnizar al demandante ambas entidades. Basta subrayar que si la misma denuncia fuese dirigida contra una entidad privada a la propia Agencia y ésta la considerase culpable de una infracción, estos hechos hubiesen supuesto una infracción grave y la multa que le fuese impuesta a la entidad denunciada ascendería entre los 40.000 y 300.000 euros. Desde la perspectiva de la normativa de protección de datos los hechos denunciados suponen una veneración del principio de calidad de datos recogido en el artículo 4.3 de la LOPD que obliga a los responsables de tratamiento a que los datos que se incorporen a cualquier fichero deban ser exactos y responder en todo momento a la situación actual de los afectados. Este último hecho ha tenido muy en cuanta el TSJC dando la razón al demandante que solicitó a la agencia que obligara al Hospital de Mataró a destruir los datos de su historial clínico sobre una asistencia que recibió entre septiembre de 1985 y junio de 1986 alegando que desde aquel momento no ha vuelto a padecer problema psiquiátrico alguno.
Lo novedoso de esta sentencia seguramente radica en que en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (Ley 41/2002) no regula de forma expresa el tiempo máximo de conservación de las historias clínicas estableciendo solo un plazo mínimo de conservación de 5 años para estos casos (artículo 17.1 de la Ley 41/2002): “Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.”
No obstante, hay que tener en cuenta que conforme lo dispuesto a el artículo 16.1 de la misma Ley, el fin principal de la historia clínica es garantizar una asistencia adecuada al paciente, por lo que el periodo de conservación de la historia debe ser el adecuado ante todo a tal fin, sin perjuicio de que la historia clínica pueda servir para otras finalidades: judiciales, epidemiológicos, de salud pública, de investigación o de docencia (artículo 16.3 de la Ley 41/2002). Pero en estos casos caben otras opciones para tratar esta información sin vulnerar derechos de intimidad de las personas. Por ejemplo la historia puede ser conservada con estos fines, bien con el consentimiento expreso del interesado o bien de tal manera que quede asegurado su anonimato disociando los datos personales. Obviamente quedarían exceptuados los supuestos de investigaciones o requerimientos judiciales que considerasen imprescindible la inclusión de datos identificativos de los pacientes en la documentación de las historias clínicas solicitada, en los cuales se estaría a lo que dispongan los jueces y tribunales en cada proceso sometido a su autoridad.
Puesto que en este caso concreto la ACPD y el hospital se negaron a cancelar esos datos clínicos, el TSJC consideró probado en su sentencia que no existen “razones de orden sanitario susceptibles de justificar la conservación de los datos personales controvertidos”, aunque “evidentemente la agencia no es quién —ni tampoco este tribunal— para determinar si unos concretos datos médicos son necesarios para una eventual asistencia futura de la paciente”.
Karol Sedkowski
Consultor Legal
Áudea, Seguridad de la Información