Acceso ilícito a historias clínicas por parte de profesionales: tres casos y tres sentencias dispares.
Javier García Correas
Director Jurídico y Compliance Officer Iberia en Grünenthal
¿Qué factores pueden hacer que una violación de este tipo pueda tener consecuencias penales para un profesional sanitario? Podría decirse que difícilmente, atendiendo a las tres sentencias analizadas relacionadas con este asunto, aunque cuando las tiene son verdaderamente contundentes.
Podemos hablar de una discordancia notable entre la teoría jurídica y la práctica judicial.
La teoría sostiene que la infracción de los derechos de intimidad y confidencialidad por parte de un médico puede acarrear consecuencias penales severas, previendo penas privativas de libertad e inhabilitación. Sin embargo, la práctica judicial demuestra que es excepcionalmente difícil lograr una sentencia condenatoria en estos casos.
Caso 1: Absolución en Navarra
En el primer caso, un médico fue acusado de acceder sin autorización a la historia clínica de un compañero. Aunque inicialmente parecería un claro caso de violación de la confidencialidad, la sentencia de la Audiencia Provincial de Navarra, confirmada por el Tribunal Superior de Justicia de Navarra, resultó en absolución. La razón principal de esta decisión fue la falta de pruebas directas que vincularan al acusado con los accesos indebidos, dado que se demostró que otros médicos también podrían haber accedido utilizando la sesión abierta del acusado.
Este caso resalta un problema recurrente en la protección de datos: la dificultad de atribuir la responsabilidad cuando las medidas de seguridad son laxas y permiten múltiples accesos no autorizados.
Caso 2: Acceso a datos de familiares
El segundo caso involucra a una médica acusada de acceder a la historia clínica de las hijas de su expareja. Aquí, la Audiencia Provincial de Castellón también optó por la absolución, argumentando que, aunque se probó el acceso no autorizado, no se demostró un daño real derivado de este acto, dado que no se accedió a datos sensibles que pudieran causar un perjuicio directo.
Este veredicto subraya otra faceta crítica del derecho penal aplicado a la privacidad: la necesidad de probar no solo el acceso no autorizado sino también un perjuicio específico y tangible derivado de dicho acceso, lo cual es a menudo difícil de establecer.
Estos casos ilustran cómo la jurisprudencia actual puede resultar insuficiente para afrontar las complejidades asociadas con la protección de la privacidad en el sector médico.
La práctica de dejar sesiones abiertas o de compartir credenciales, aunque eficiente desde un punto de vista operativo, crea una brecha significativa en la protección de datos. Adicionalmente, la carga de la prueba sobre el perjuicio real dificulta aún más las condenas en estos casos.
Por tanto, mientras la legislación es clara en su intento de proteger la privacidad de los pacientes, la implementación de estas leyes enfrenta obstáculos significativos en la práctica judicial. Es crucial que los sistemas de salud implementen medidas más estrictas para asegurar la confidencialidad y que la jurisprudencia evolucione para adaptarse a las realidades del manejo de datos en entornos médicos.
Análisis comparativo entre las sentencias absolutorias y la sentencia condenatoria de Pontevedra
La discrepancia entre los casos de Navarra y Castellón con respecto al caso en Pontevedra pone de manifiesto la variabilidad en la aplicación de la ley relativa a la violación de la confidencialidad médica. Mientras que en los primeros casos observamos una tendencia a la absolución ante la ausencia de daños directos o la dificultad de demostrar la autoría específica, el caso de la enfermera en Pontevedra culminó en una sentencia significativamente más severa. Este análisis explorará las razones de estas diferencias y la implicación de estas para la protección de la privacidad en el ámbito médico.
Recomendado por LinkedIn
Caso de Pontevedra: un estándar diferente
A diferencia de los casos anteriores, aquí se documentaron numerosos accesos —320 en total— lo que refleja una conducta continuada y sistemática.
La gravedad de la pena refleja no solo la frecuencia de los accesos, sino también la naturaleza deliberada y personal de los mismos, algo que no pudo ser claramente establecido en los casos anteriores.
Elementos diferenciadores en la sentencia condenatoria frente a las absolutorias
1. Frecuencia y duración: La enfermera accedió a las historias clínicas en múltiples ocasiones durante un período prolongado, lo que indica premeditación y un abuso continuo de su posición y acceso.
2. Naturaleza de los datos accedidos: Aunque no se demostró un perjuicio directo, el simple hecho de acceder a datos altamente sensibles sin consentimiento constituye un delito, especialmente cuando se trata de datos de salud.
3. Contexto personal y motivación: Los accesos se realizaron en un contexto de relaciones personales conflictivas, lo que sugiere un uso de la información para fines personales o vengativos, aumentando la gravedad del acto.
4. Medidas reparadoras: A pesar de haber consignado una suma para indemnización, la acción no fue suficiente para mitigar la severidad de la pena, aunque sí se consideró como un atenuante.
Implicaciones para la Protección de la Privacidad
El contraste entre las sentencias de Navarra, Castellón y Pontevedra resalta la importancia de las circunstancias específicas y las intenciones detrás de cada caso. Mientras que en algunos casos la falta de pruebas concretas de daño o de autoría directa puede llevar a una absolución, en otros, la evidencia de un patrón continuado de comportamiento indebido y la falta de justificaciones legítimas llevan a consecuencias penales severas.
Necesidad de mejoras en los sistemas de Seguridad
En definitiva los casos analizados sugieren una necesidad urgente de mejorar los sistemas de seguridad y protocolos en entornos médicos para prevenir accesos no autorizados. La implementación de mejores prácticas de seguridad, como el cierre automático de sesiones y la restricción de accesos por roles, podría reducir significativamente la posibilidad de estos incidentes.
La protección de la confidencialidad en el sector médico es compleja y desafiante. La variabilidad en las sentencias muestra que cada caso debe ser evaluado en su contexto específico, aunque también subraya la necesidad de un marco legal y operativo más robusto que garantice consistentemente la protección de los datos personales de los pacientes.