La audiencia provincial de Ávila mediante sentencia 7/2025 ha impuesto a una médico de familia que ejercía en un centro de salud la pena de 2 años de prisión, con la accesoria de inhabilitación especial para el sufragio pasivo; inhabilitación absoluta para el ejercicio profesional como médica durante seis años, y el pago de indemnización y costas judiciales por importe de 50.000 euros. La sentencia ha contado con la conformidad de las partes. El motivo de la sentencia es el acceso injustificado a la historia clínica de una compañera también médica, que se encontraba en situación de incapacidad temporal. No es, desde luego, la primera vez que se dicta una sentencia condenatoria por infracción del derecho a la intimidad de una persona, ni tampoco la primera en que la infracción la comete un profesional sanitario. Lo que llama la atención es la contundencia de la sanción, dos años de prisión, aunque suspendida, e inhabilitación profesional por seis años, en una sentencia dictada con la conformidad de las partes.
Lucas Brandeis que fue juez del Tribunal Supremo de los Estados Unidos llamó la atención por primera vez sobre el hecho de que: “Recientes inventos y métodos comerciales llaman la atención sobre el siguiente paso que debe darse para la protección de la persona, y para asegurar al individuo… el derecho ‘a que se le deje en paz’… Numerosos dispositivos mecánicos amenazan con hacer realidad la predicción de que ‘lo que se susurra en el armario se proclamará desde las azoteas’”. Brandeis reclamó “El derecho a la intimidad” en la Harvard Law Review en 1890, en el primer artículo que abogaba por ese derecho legal. También fue el primer jurista en reconocer la amenaza que la tecnología suponía para los ciudadanos. Casi 30 años después, en 1928, con la popularización del teléfono y la invención de las escuchas telefónicas, el juez del Tribunal Supremo Brandeis defendió el derecho constitucional a la intimidad en una opinión disidente en el caso Olmstead contra Estados Unidos. Desde entonces, las agresiones a la intimidad no han hecho más que aumentar y el mejor ejemplo lo tenemos en los accesos indebidos -delictivos- a las aplicaciones de historia clínica electrónica, porque los servicios de salud no conceden la prioridad debida a la protección de su confidencialidad.
Desde luego, la historia clínica digital cuenta con mecanismos y procedimientos de protección más que suficientes, si se implantan de manera correcta, y son muy superiores a los que tenía la historia en papel. Como decía el Dr. Fernando Escolar cuando implantaba la historia clínica electrónica en el Hospital Reina Sofía de Tudela a finales de los años 80 y principios de la década siguiente, “la historia en papel solo está protegida por su propio caos”. Sin embargo, la relativa frecuencia con que se conocen actuaciones judiciales que sancionan accesos indebidos hacen pensar que existe un problema que los servicios de salud no afrontan como es debido. Todos los casos cuya sentencia se conoce presentan como aspecto común que la infracción la comete un profesional que cuenta con privilegios de acceso a la información clínica, porque los precisa para proporcionar la debida asistencia a sus pacientes. El problema se ha presentado cuando esos privilegios también se han utilizado para el acceso a la información de quien no es su paciente. En la mayoría de las sentencias se constata que se ha accedido a la historia de compañeros o familiares con quien se mantiene conflictos, de parejas en proceso de separación, de familiares de las parejas y circunstancias similares. La reiteración de las infracciones es la mejor demostración de que no se han adoptado medidas para evitarlas.
‘El daño que se produce a una persona cuya intimidad ha sido vulnerada es enorme y además no tiene reparación’
La seguridad de la información persigue que la información esté disponible cuando es necesaria, que esa información esté íntegra, es decir, sin alteraciones indebidas, que solo tenga acceso a ella quien esté debidamente autorizado y en las circunstancias para las que esté autorizado, y que todo acceso quede registrado para que pueda comprobarse su legitimidad. Las buenas prácticas en materia de proteger la confidencialidad exigen que las autorizaciones de acceso se concedan teniendo en cuenta el perfil profesional y el rol que se desempeña en la organización. Una autorización por perfil la tiene un médico o una enfermera por razón de su profesión. Una autorización por rol limita el acceso a la información de los pacientes que debe atender.
El problema se presenta porque en los servicios de salud, con carácter general, las autorizaciones se conceden teniendo en cuenta únicamente el perfil profesional pero no el rol. Esto quiere decir que un médico de atención primaria, o de hospital, o una enfermera, por el mero hecho de serlo, puede tener acceso a la información clínica de cualquier paciente, aunque no tenga ninguna relación con su asistencia. Con autorización por perfiles y roles esto no ocurriría, porque la autorización por rol circunscribiría el acceso únicamente a la información de los pacientes con quienes se tiene relación asistencial.
Se puede argumentar que conceder las autorizaciones por perfiles y roles es una tarea compleja, que exigiría un esfuerzo considerable de organización y que el número de infracciones que se presentan en relación con el número de pacientes es muy reducido. A esto se debe responder en primer lugar, que se trata de un derecho de los pacientes que se está obligado a proteger, y en segundo lugar, que en realidad solo se conocen los casos en los que el interesado presenta la correspondiente denuncia, es decir, no se conoce la verdadera dimensión del problema.
El daño que se produce a una persona cuya intimidad ha sido vulnerada es enorme y además no tiene reparación, aunque se indemnice. El derecho a la intimidad merece que se considere una prioridad por los servicios de salud para que se ponga remedio a una situación que resulta intolerable.
