Crónica Administrativa en Materia de Relaciones de Trabajo1

José Luis Monereo Pérez

Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Granada.

Presidente de la Asociación Española de Salud y Seguridad Social.

Director de las Revistas de Derecho de la Seguridad Social y Crítica de las Relaciones de Trabajo, Laborum

  • https://orcid.org/0000-0002-0230-6615

Guillermo Rodríguez Iniesta

Catedrático Acreditado de Derecho del Trabajo y de la Seguridad Social de la Universidad de Murcia.

Magistrado (supl.) del Tribunal Superior de Justicia de Murcia.

Subdirector de las Revistas de Derecho de la Seguridad Social y Crítica de las Relaciones de Trabajo, Laborum

  • https://orcid.org/0000-0001-5054-8822

Cita Sugerida: MONEREO PÉREZ, J.L. y RODRÍGUEZ INIESTA, G. «Crónica Administrativa en Materia de Relaciones de Trabajo». Revista Crítica de Relaciones de Trabajo, Laborum. nº 11 (2024): 273-324.

Asunto: Prevención de Riesgos Laborales. Acceso a las historias clínicas de los empleados públicos por parte del Servicio de Prevención.

Entidad: Agencia Española de Protección de Datos. Gabinete Jurídico.

Referencia: Informe 0055/2023

La consulta plantea si es conforme a la normativa de protección de datos personales, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que el Servicio de Prevención de Riesgos Laborales de los empleados públicos de la Administración Pública de la Región de Murcia pueda acceder a las historias clínicas de éstos con el fin de desarrollar diferentes actividades.

En concreto identifica expresamente como tales las siguientes:

I

Antes de abordar la adecuación a la normativa de protección de datos que supone el tratamiento que va a analizarse, es preciso realizar una diferenciación de dos conceptos esenciales para resolver la consulta planteada y es la diferencia entre la “historia clínica laboral” y la historia clínica ordinaria o convencional.

Mientras la primera está vinculada a las competencias y funciones de los Servicios de Prevención de Riesgos Laborales, por estar referida a la Salud Laboral, sin que exista una definición oficial, la otra se puede considerar como aquella que está vinculada a cualquier actuación médico-asistencial, ya sea realizada por los servicios de atención primaria o de atención especializada, a través del Sistema Nacional de Salud o a través de la sanidad privada. Las distintas normas de carácter básico y autonómico definen su finalidad y contenido. Así el artículo 14 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, LAP en lo sucesivo, establece:

La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.

Por su parte, la Ley 3/2009, de 11 de mayo, de los derechos y deberes de los usuarios del sistema sanitario de la Región de Murcia, de aplicación al ámbito territorial de la consulta, dispone en su artículo 50:

1. La historia clínica es el conjunto de documentos sanitarios en los que se recoge toda la información clínica de un paciente, que se va generando en los diferentes procesos asistenciales del usuario.

En cuanto al concepto de historia clínica laboral, como se indicado antes, no hay una definición oficial, por lo que su contenido lo podemos extraer de diferentes fuentes como estudios y publicaciones tanto de ámbito nacional y autonómico como internacional, así como de diferentes cuerpos jurídicos de distintos ámbitos.

Así, por ejemplo, la Guía Básica y General de Orientación “Vigilancia de las Salud para la Prevención de Riesgos Laborales3” aprobada por la Comisión de Salud Pública del Consejo Interterritorial del Sistema Nacional de Salud en la reunión de 14 de marzo de 2019, de acuerdo con el Artículo 11 del Real Decreto 843/2011 de 17 de junio, (la Guía en lo sucesivo) nos indica al respecto que:

(…) La documentación básica de la vigilancia de salud de cada trabajador está constituida por: la historia clínico-laboral individual del trabajador y los resultados de la vigilancia que se comunican a cada persona mediante informes médicos laborales. Los contenidos de la historia clínico-laboral están definidos en el Reglamento de los servicios de prevención. Los informes médicos laborales han de identificar claramente al trabajador, su puesto de trabajo, exposiciones laborales conocidas y han de incluir las conclusiones que se derivan de los reconocimientos efectuados. Este informe ha de ser entregado a los trabajadores como modo de comunicación de los resultados de la vigilancia de la salud (…).

(…) El contenido de dichos reconocimientos incluirá como mínimo una historia clínico-laboral, donde además de los datos de anamnesis, exploración física y mental, control biológico y exámenes complementarios, se hará constar una descripción detallada del puesto de trabajo, del tiempo de permanencia en el mismo, de los riesgos detectados y de las medidas de prevención adoptadas, así como la información sobre los antecedentes de exposición en anteriores puestos de trabajo. (…)

Por su parte, en el documento “Historia Clínico Laboral” elaborado por el Instituto Vasco de Seguridad y Salud laboral4, se define a la historia clínico laboral como:

El conjunto único de documentos y registros informáticos o en otro formato que abarca toda la información clínica y laboral del trabajador y que contiene de forma clara y concisa los datos, valoraciones e informaciones generados en los procesos de vigilancia de la salud, asistenciales y de condiciones de trabajo (tareas y exposiciones) a los que se somete a un trabajador y en los que se recoge su estado de salud, la evolución de ese estado, las actuaciones realizadas sobre él, los daños y/o las patologías laborales sufridas y la descripción de las tareas que realiza y las exposiciones a las que se somete a lo largo de su vida laboral.

A nivel internacional podemos citar el documento “Historia Clínica Laboral” elaborado por el Departamento de Salud Pública de la Facultad de Medicina de la Universidad Nacional Autónoma de México5 que define la historia clínica laboral como:

(…) un instrumento de recolección de información sistematizada de datos individuales en torno a los antecedentes laborales y exposición actual a factores de riesgo presentes en el ambiente de trabajo, y sus repercusiones en la salud de los trabajadores ocupacionalmente expuestos (…)

En cuanto a los cuerpos jurídicos de los que se puede deducir el concepto y contenido de la historia clínica laboral, podemos citar el Reglamento de los Servicios de Prevención, aprobado por Real Decreto 39/1997, de 17 de enero, al que hace referencia la citada Guía, que dispone en su artículo 37.3 c) lo siguiente:

Los exámenes de salud incluirán, en todo caso, una historia clínico- laboral, en la que además de los datos de anamnesis, exploración clínica y control biológico y estudios complementarios en función de los riesgos inherentes al trabajo, se hará constar una descripción detallada del puesto de trabajo, el tiempo de permanencia en el mismo, los riesgos detectados en el análisis de las condiciones de trabajo, y las medidas de prevención adoptadas.

Deberá constar igualmente, en caso de disponerse de ello, una descripción de los anteriores puestos de trabajo, riesgos presentes en los mismos, y tiempo de permanencia para cada uno de ellos.

En definitiva, de lo expuesto hasta ahora se puede concluir que la historia clínico-laboral recoge las actuaciones que realizan los servicios médicos de Prevención de Riesgos Laborales en su cometido de Vigilancia de la Salud laboral, centrándose en la promoción, prevención y vigilancia en relación con el paciente y su entorno laboral, pasado, presente y futuro.

Es decir, ese componente “laboral” (elemento esencial del contexto y de la finalidad que persigue dicha historia clínica) y la naturaleza jurídica de quien realiza la Vigilancia de la Salud Laboral, los Servicios de prevención de Riesgos Laborales, será la nota diferenciadora de la historia clínica, a la que podemos añadir el adjetivo de ordinaria o convencional, a los efectos del presente informe.

La diferenciación que se acaba de realizar cobra importancia pues la consultante propone que los Servicios de Prevención de Riesgos Laborales, cuyas funciones se analizaran en el presente informe y que están estrechamente ligadas a la historia clínica laboral, puedan acceder a la historia clínica ordinaria o convencional para cumplir diferentes cometidos.

II

Planteados los términos de la consulta, debe indicarse que para que un tratamiento de datos personales sea conforme al RGPD deben cumplirse, entre otros elementos del sistema de protección de datos, los principios de protección de datos contenidos en el artículo 5.1 del RGPD, a cuyo tenor los datos personales serán:

  1. Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
  2. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
  3. Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
  4. Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
  5. Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

En el presente caso y atendiendo a los términos de la consulta se va a centrar el análisis del presente informe en los principios de licitud (apartado a) y limitación de la finalidad (apartado c).

Todo ello sin perjuicio de abordar otros aspectos relacionados con el derecho a la protección de datos que de modo directo o indirecto se vean afectados.

III

El principio de licitud es aquel que determina en qué supuestos o bajo qué condiciones un tratamiento de datos personales debe considerarse lícito.

Con carácter general los supuestos o bases jurídicas que legitiman el tratamiento de datos personales se encuentra en el artículo 6 del RGPD, y respecto de las categorías especiales de datos, además, en el artículo 9.2 del RGPD que recoge los supuestos en los que se considera que la prohibición general de tratamiento de este tipo de datos establecida en el apartado 1 no resulta aplicable, es decir, está excepcionada.

Esto quiere decir que para poder someter lícitamente a tratamiento datos pertenecientes a categorías especiales debe existir simultáneamente una base jurídica de las previstas en el art. 6.1 RGPD y una cobertura en el artículo 9.2 RGPD que levante la prohibición general prevista en el artículo 9.1. Así lo indicó el Grupo de Trabajo del Articulo 29 (cuyas funciones han sido asumidas por el Comité europeo de Protección de Datos) en su dictamen “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679” al indicar que (…) Los responsables del tratamiento solo pueden tratar datos personales de categoría especial si se cumplen una de las condiciones previstas en el artículo 9, apartado 2, así como una condición del artículo 6. (…).

En el presente caso se pretende someter a tratamiento los datos de las historias clínicas, que contienen, ambas (la laboral y la ordinaria) datos de salud y por tanto supone un tratamiento de categorías especiales de datos a las que se refiere el citado artículo 9 del RGPD.

IV

Como se acaba de indicar, el acceso a la historia clínica -ya sea laboral y ordinaria- supone un tratamiento de datos personales referidos a la salud, cuyo análisis ha sido abordado en reiteradas ocasiones por este Gabinete Jurídico desde múltiples perspectivas.

En efecto, procede citar el Informe 41/2023 que analiza la legitimación para el tratamiento de datos personales mediante el intercambio de información de la historia clínica de los trabajadores entre los médicos del servicio público de salud y los médicos de las Mutuas, y que, si bien difiere de lo propuesto por la consultante, comparte que estamos ante el acceso a la historia clínica como datos de salud, y por tanto como categorías especiales de datos con un especial régimen de protección:

(…) I

Para dar respuesta a la presente consulta, debe partirse de la regulación contenida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que desplaza la aplicación de la Ley Orgánica 15/1999, por lo que debe examinarse la cuestión planteada a la luz de lo previsto en el mismo.

Dicho Reglamento define en su artículo 4.15 los datos relativos a la salud como los “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.”

El considerando 35 del Reglamento aclara dicha definición señalando que “Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.”

El Tribunal de Justicia (TJUE) interpretó dicho concepto en un sentido amplio, considerando como datos relativos a la salud, la información relativa a todos los aspectos, tanto físicos como psíquicos, de la salud de una persona, tanto relativo a su estado de salud (que se ha lesionado un pie) como que la misma se encuentra en una situación de baja parcial (STJUE de 6 de noviembre de 2003, Lindqvist, C-101/01).

Por su parte, el número 2 del artículo 4 define el tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

Condición esencial para que un tratamiento de datos sea lícito es que quien lo lleve a cabo se encuentre legitimado para ello en la forma prevista en el aludido Reglamento (UE) 2016/679. A este respecto debe tomarse en consideración que el artículo 9 de dicho Reglamento, relativo al tratamiento de categorías especiales de datos personales, establece que “1.Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

En su apartado 2 se recogen las excepciones que levantan la prohibición al indicar que no será de aplicación en los siguientes supuestos:

  1. El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
  2. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
  3. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento
  4. El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
  5. El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
  6. El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  7. El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
  8. El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
  9. El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
  10. El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

El apartado 3 recoge una garantía específica para los supuestos de la letra h) que, como posteriormente veremos, es el que resulta de aplicación en el presente caso:

Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

Y, por último, el apartado 4 atribuye a los Estados Miembros la facultad de introducir otras garantías específicas para la licitud del tratamiento:

Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Por su parte en los Considerandos 10, 52 a 54 del RGPD respecto del tratamiento de categorías especiales de datos y la posibilidad de que los Estados miembros establezcan una regulación adicional o complementaria sobre dichos datos, se indica lo siguiente:

(10) (…). El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.

Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. (…)

54) El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse en la definición del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (11), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. (…)

De lo indicado hasta ahora se extrae la conclusión de que si bien el RGPD establece unos supuestos que excepcionan la prohibición de tratamiento de categorías especiales de datos, a través del derecho de los Estados miembros se pueden introducirse regulaciones ad hoc a fin de adaptar la realidad de los sectores implicados para garantizar una protección efectiva de los derechos de los ciudadanos de la unión.

Por su parte, el artículo 9.2 de la LOPDGDD completa dichas previsiones en los siguientes términos:

“2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”

II

Por consiguiente, los tratamientos de datos de salud deberán realizarse, en todo caso, con sujeción a las previsiones establecidas por el Derecho europeo y por la normativa nacional con rango de ley que los regule.

En cuanto a las limitaciones legales, debe recordarse que el derecho a la protección de datos personales es un derecho fundamental, cuyo contenido consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso» (STC 76/2019, de 22 de mayo, y STC 292/2000, de 30 de noviembre). Pero, además, estas sentencias señalaron igualmente la necesidad de que la injerencia esté prevista en una ley o norma de la Unión Europea, con respeto, en todo caso, al principio de proporcionalidad.

En concreto, el Tribunal Constitucional, en la ya citada STC 76/2019, de 22 de mayo, tras citar, entre otras, a su anterior STC 292/2000, de 30 de noviembre, señala:

- En segundo lugar, por mandato expreso de la Constitución, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas ora incida directamente sobre su desarrollo (art. 81.1 CE), ora limite o condicione su ejercicio (art. 53.1 CE), precisa una habilitación legal (por todas, STC 49/1999, de 5 de abril, FJ 4). En la STC 49/1999, FJ 4, definimos la función constitucional de esa reserva de ley en los siguientes términos:

Esa reserva de ley a que, con carácter general, somete la Constitución española la regulación de los derechos fundamentales y libertades públicas reconocidos en su Título I, desempeña una doble función, a saber: de una parte, asegura que los derechos que la Constitución atribuye a los ciudadanos no se vean afectados por ninguna injerencia estatal no autorizada por sus representantes; y, de otra, en un Ordenamiento jurídico como el nuestro en el que los Jueces y Magistrados se hallan sometidos “únicamente al imperio de la Ley” y no existe, en puridad, la vinculación al precedente (SSTC 8/1981, 34/1995, 47/1995 y 96/1996) constituye, en definitiva, el único modo efectivo de garantizar las exigencias de seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas. Por eso, en lo que a nuestro Ordenamiento se refiere, hemos caracterizado la seguridad jurídica como una suma de legalidad y certeza del Derecho (STC 27/1981, fundamento jurídico 10).”

Esta doble función de la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal “ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica”, esto es, “ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención” (STC 49/1999, FJ 4). En otras palabras, “no sólo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites” (STC 292/2000, FJ 15).

Además, dicha ley deberá respetar en todo caso el principio de proporcionalidad, tal y como recuerda la Sentencia del Tribunal Constitucional 14/2003, de 28 de enero:

“En otras palabras, de conformidad con una reiterada doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan basta con recordar que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si la medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto; SSTC 66/1995, de 8 de mayo [ RTC 1995, 66] , F. 5; 55/1996, de 28 de marzo, FF. 7, 8 y 9; 270/1996, de 16 de diciembre, F. 4.e; 37/1998, de 17 de febrero, F. 8; 186/2000, de 10 de julio, F. 6).”

La misma doctrina sostiene el Tribunal de Justicia de la Unión Europea (TJUE). Así, si el art. 8 de la Carta Europea de los Derechos Fundamentales reconoce el derecho de toda persona a la protección de los datos de carácter personal que le conciernan, el art. 52.1 reconoce que ese derecho no es ilimitado y permite la limitación del ejercicio de esos derechos y libertades reconocidos por la Carta, limitación que deberá ser establecida por la ley y respetar el contenido esencial de los mismos.

La STJUE de 6 de octubre de 2020, en los casos acumulados C-511/18, C-512/18 y C-520/18, La Quadrature du Net y otros, en su apartado 175, recuerda que:

En cuanto a la justificación de dicha injerencia, cabe precisar que el requisito, previsto en el artículo 52, apartado 1, de la Carta, de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que la permita debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 175 y jurisprudencia citada).

Igualmente, el apartado 65 de la Sentencia (STJUE) de la misma fecha 6 de octubre de 2020 (C-623/17), Privacy International contra Secretary of State for Foreign and Commonwealth Affairs y otros, con cita, como la anterior, de la sentencia Schrems 2, dice:

65 Cabe añadir que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 175 y jurisprudencia citada).

En definitiva, el apartado 175 de la STJUE de 16 de julio de 2020, C-311/2020, Schrems 2, dice:

Cabe añadir, sobre este último aspecto, que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate [dictamen 1/15 (Acuerdo PNR UE- Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 139 y jurisprudencia citada].

Es pues, la misma ley que establece la injerencia en el derecho fundamental la que ha de determinar las condiciones y garantías, esto es, el alcance y la limitación, que han de observarse en dichos tratamientos,

Y en dicha STJUE de 16 de julio de 2020, Schrems 2, se añade (y se reitera posteriormente en las citadas sentencias de 6 de octubre de 2020):

176 Finalmente, para cumplir el requisito de proporcionalidad según el cual las excepciones a la protección de los datos personales y las limitaciones de esa protección no deben exceder de lo estrictamente necesario, la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso. En particular, dicha normativa deberá indicar en qué circunstancias y con arreglo a que requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de tales garantías reviste especial importancia cuando los datos personales se someten a un tratamiento automatizado [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE- Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 140 y 141 y jurisprudencia citada).

Como ya mencionamos más arriba en este informe, la STC 76/2019, tan reiterada, dispone:

Esta doble función de la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal «ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica», esto es, «ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención» (STC 49/1999, FJ 4). En otras palabras, «no sólo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites» (STC 292/2000, FJ 15).

Sobre las características de las leyes que pretendan regular el tratamiento de categorías especiales de datos, el Tribunal Constitucional ya se ha pronunciado extensamente en la citada Sentencia núm. 76/2019 de 22 mayo.

La sentencia analiza, en primer término, el régimen jurídico al que se encuentra sometido el tratamiento de las categorías especiales de datos en el RGPD:

“De acuerdo con el apartado 1 del art. 9 RGPD, está prohibido el tratamiento de datos personales que revelen las opiniones políticas, del mismo modo que lo está el tratamiento de datos personales que revelen el origen étnico o racial, las convicciones religiosas o filosóficas o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. No obstante, el apartado 2 del mismo precepto autoriza el tratamiento de todos esos datos cuando concurra alguna de las diez circunstancias allí previstas [letras a) a j)]. Algunas de esas circunstancias tienen un ámbito de aplicación acotado (laboral, social, asociativo, sanitario, judicial, etc.) o responden a una finalidad determinada, por lo que, en sí mismas, delimitan los tratamientos específicos que autorizan como excepción a la regla general. Además, la eficacia habilitante de varios de los supuestos allí previstos está condicionada a que el Derecho de la Unión o el de los Estados miembros los prevean y regulen expresamente en su ámbito de competencias: es el caso de las circunstancias recogidas en las letras a), b), g), h), i) y j).

El tratamiento de las categorías especiales de datos personales es uno de los ámbitos en los que de manera expresa el Reglamento General de Protección de Datos ha reconocido a los Estados miembros “margen de maniobra” a la hora de “especificar sus normas”, tal como lo califica su considerando 10. Este margen de configuración legislativa se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos -es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos- como al establecimiento de “medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado” [art. 9.2 g) RGPD]. El Reglamento contiene, por tanto, una obligación concreta de los Estados miembros de establecer tales garantías, en el caso de que habiliten para tratar los datos personales especialmente protegidos.”

Por otro lado, en cuanto a las garantías que debe adoptar el legislador, la citada sentencia núm. 76/2019 de 22 mayo, recuerda que

“A la vista de los potenciales efectos intrusivos en el derecho fundamental afectado que resultan del tratamiento de datos personales, la jurisprudencia de este Tribunal le exige al legislador que, además de cumplir los requisitos anteriormente mencionados, también establezca garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos, pues solo así se puede procurar el respeto del contenido esencial del propio derecho fundamental”.

Dicha sentencia reitera, por tanto, la necesidad de contar con garantías adecuadas a los tratamientos que se pretendan llevar a cabo, con especial cuidado cuando aquellos tratamientos envuelven datos de categorías especiales, como es aquí el caso, porque, como añade el Tribunal Constitucional:

Por último, debemos recordar que el Reglamento general de protección de datos establece las garantías mínimas, comunes o generales para el tratamiento de datos personales que no son especiales. En cambio, no establece por sí mismo el régimen jurídico aplicable a los tratamientos de datos personales especiales, ni en el ámbito de los Estados miembros ni para el Derecho de la Unión. Por ende, tampoco fija las garantías que deben observar los diversos tratamientos posibles de datos sensibles, adecuadas a los riesgos de diversa probabilidad y gravedad que existan en cada caso; tratamientos y categorías especiales de datos que son, o pueden ser, muy diversos entre sí. El reglamento se limita a contemplar la posibilidad de que el legislador de la Unión Europea o el de los Estados miembros, cada uno en su ámbito de competencias, prevean y regulen tales tratamientos, y a indicar las pautas que deben observar en su regulación. Una de esas pautas es que el Derecho del Estado miembro establezca «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [artículo 9.2.g) RGPD] y que «se ofrezcan garantías adecuadas» (considerando 56 RGPD). Es patente que ese establecimiento de medidas adecuadas y específicas solo puede ser expreso. Si la norma interna que regula el tratamiento de datos personales relativos a opiniones políticas no prevé esas garantías adecuadas, sino que, todo lo más, se remite implícitamente a las garantías generales contenidas en el Reglamento general de protección de datos, no puede considerarse que haya llevado a cabo la tarea normativa que aquel le exige.

Asimismo, en un pronunciamiento de especial relevancia, analiza cuál es la norma que debe contener las citadas garantías:

“Por tanto, la resolución de la presente impugnación exige que aclaremos una duda suscitada con respecto al alcance de nuestra doctrina sobre las garantías adecuadas, que consiste en determinar si las garantías adecuadas frente al uso de la informática deben contenerse en la propia ley que autoriza y regula ese uso o pueden encontrarse también en otras fuentes normativas.

La cuestión solo puede tener una respuesta constitucional. La previsión de las garantías adecuadas no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del art. 53.1 CE (RCL 1978, 2836) para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales.

Según reiterada doctrina constitucional, la reserva de ley no se limita a exigir que una ley habilite la medida restrictiva de derechos fundamentales, sino que también es preciso, conforme tanto a exigencias denominadas -unas veces- de predeterminación normativa y -otras- de calidad de la ley como al respeto al contenido esencial del derecho, que en esa regulación el legislador, que viene obligado de forma primaria a ponderar los derechos o intereses en pugna, predetermine los supuestos, las condiciones y las garantías en que procede la adopción de medidas restrictivas de derechos fundamentales. Ese mandato de predeterminación respecto de elementos esenciales, vinculados también en último término al juicio de proporcionalidad de la limitación del derecho fundamental, no puede quedar deferido a un ulterior desarrollo legal o reglamentario, ni tampoco se puede dejar en manos de los propios particulares” (FJ 8).

(…)”

V

Procede analizar las concretas normas legales que regulan los tratamientos de datos de salud a los que se refiere la consulta partiendo de las exigencias del tratamiento de categorías especiales de datos que se han citado anteriormente.

Debe analizarse la finalidad de la historia clínica, y, por tanto, aquellos usos permitidos y las excepciones a los mismos en caso de que existan, así como las garantías o salvaguardas previstas en su normativa específica.

Comenzando por la legislación estatal básica la LAP, respecto de la finalidad de la historia clínica, dispone en su artículo 15.2 lo siguiente:

“La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud”.

Y en cuanto a los usos de la misma, el articulo 16 bajo la rúbrica “usos de la historia clínica” nos indica en el apartado 1 que:

“La historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia.”

Por su parte, en el apartado 3 se establece que:

“El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico asistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo, se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.”

Y el apartado 5 indica que:

“El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.”

Finalmente, en cuanto a las garantías para el paciente, el articulo 7 hace referencia al “derecho a la intimidad” señalando lo siguiente:

  1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.
  2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.

En segundo término, procede acudir a la normativa autonómica que resulta de aplicación, la Ley 3/2009, de 11 de mayo, de los derechos y deberes de los usuarios del sistema sanitario de la Región de Murcia.

El articulo 52.2 determina respecto de la su finalidad, lo siguiente:

La finalidad esencial de la historia clínica es facilitar en cada momento la asistencia sanitaria del paciente, por incluir de forma acumulativa toda información sanitaria de interés, tales como, datos clínicos, valoraciones, resultados de exploraciones o procedimientos, evolución clínica de los pacientes, así como la identificación de médicos y profesionales sanitarios que intervinieron durante el proceso. Todo ello permitirá un conocimiento integral y actualizado del estado de salud del paciente a lo largo de sus episodios asistenciales.

Y respecto de los usos de la misma, el articulo 55 bajo la denominación “Acceso y uso de la historia clínica por los profesionales e instituciones sanitarias”, lo siguiente:

1.Los profesionales sanitarios que por razones diagnósticas o asistenciales atiendan a un paciente tienen derecho a acceder libremente a su historia clínica. A estos efectos, los centros sanitarios establecerán los medios y mecanismos necesarios que hagan posible un acceso ágil a la historia clínica en el momento del proceso asistencial en que sea necesario.

2. El personal encargado de tareas administrativas y de gestión de los centros sanitarios podrá acceder exclusivamente a los datos de la historia clínica, de conformidad con las funciones que tengan encomendadas.

3. En cualquier caso, todas las personas que por motivos asistenciales o de gestión tengan acceso a las historias clínicas deberán guardar la confidencialidad y sigilo, exigidos por la legislación aplicable.

4. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos, de conformidad con las previsiones contenidas en la legislación básica.

5. Quedan exceptuados del apartado anterior, los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico- asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

6.El personal acreditado de la Administración Sanitaria que ejerza funciones de inspección y control de los servicios sanitarios, podrá acceder a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, de garantía de los derechos del paciente o de cualquier otra obligación que advierta la Administración Sanitaria en defensa de la asistencia sanitaria, como puede ser en materia de expedientes.

Y en cuanto a las garantías previstas en la regulación autonómica, para tratar datos de salud y por tanto aplicables a las historias clínicas, procede citar los artículos 24, 25 y 28 a cuyo tenor:

Artículo 24. Derecho a la confidencialidad.

Los datos relativos a la salud de las personas tienen carácter confidencial, por lo que nadie puede acceder a ellos sino en los supuestos en que el acceso está autorizado y amparado por la normativa aplicable.

Artículo 25. Datos personales.

Los datos de carácter personal que hagan referencia a la salud, creencias, orientación sexual y, en general, cuantos otros datos pertenezcan a la esfera de su privacidad, deberán ser objeto de una especial protección y salvaguarda.

Artículo 28. Régimen de garantía y protección.

1. El conjunto de datos personales o del ámbito de la salud, a que se refiere este Título, se someterá al régimen de garantía y protección establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en la legislación básica estatal en materia de sanidad y demás normativa aplicable.

(…)

De lo indicado hasta ahora se deduce que, con carácter general, la finalidad del uso de la historia clínica responde a la función asistencial que los médicos de atención primaria y especializada llevan a cabo. Fuera de esta finalidad, los distintos usos o excepciones que prevén las normas citadas están tasados (apartados 3 y 5 del artículo 16 LAP y apartados 4 y 5 del artículo 55 de la ley autonómica) y en ninguno de ellos se identifican a los Servicios de Prevención de Riesgos laborales como potenciales destinatarios de la misma.

A lo que hay que añadir que el tratamiento de los datos de salud de la historia clínica debe respetar la intimidad, la confidencialidad y la protección de datos de carácter personal y cualquier acceso a dicha información debe estar previsto en la ley.

Lo que no obsta a que la legitimación para el tratamiento objeto de consulta pueda encontrarse en otro cuerpo normativo distinto de los analizados hasta ahora, tal como se expone a continuación y en consonancia con lo dispuesto en el artículo 9.2 LOPDGDD que establece la reserva de ley a estos efectos: “2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”

En este sentido el Informe de esta AEPD 362/2010 indica que (…) Por otra parte, las limitaciones establecidas por el citado artículo 16 no implican necesariamente que los datos de la historia clínica puedan ser únicamente objeto de acceso en los supuestos allí enumerados, sino que podría ser admisible una cesión en caso de contarse con otra norma con rango de Ley que la habilitase. (…)

Por tanto, teniendo en cuenta que el acceso por los Servicios de Prevención no está previsto en las normas analizadas, procede abordar el estudio de la normativa que resulta de aplicación a los Servicios de Prevención de riesgos laborales, para ver si en la misma se encuentran los tratamientos que propone la consultante y que impliquen necesariamente el acceso a la historia clínica ordinaria o convencional.

VI

Los Servicios de Prevención están regulados principalmente en la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (LPRL en lo sucesivo) y en el Reglamento de los Servicios de Prevención, aprobado por Real Decreto 39/1997, de 17 de enero (RSP en lo sucesivo).

A tal efecto del articulo 31.3 LPRL se pueden deducir las funciones y cometidos de dichos servicios, al disponer lo siguiente:

  1. Los servicios de prevención deberán estar en condiciones de proporcionar a la empresa el asesoramiento y apoyo que precise en función de los tipos de riesgo en ella existentes y en lo referente a:
  1. El diseño, implantación y aplicación de un plan de prevención de riesgos laborales que permita la integración de la prevención en la empresa.
  2. La evaluación de los factores de riesgo que puedan afectar a la seguridad y la salud de los trabajadores en los términos previstos en el artículo 16 de esta Ley.
  3. La planificación de la actividad preventiva y la determinación de las prioridades en la adopción de las medidas preventivas y la vigilancia de su eficacia.
  4. La información y formación de los trabajadores, en los términos previstos en los artículos 18 y 19 de esta Ley.
  5. La prestación de los primeros auxilios y planes de emergencia.
  6. La vigilancia de la salud de los trabajadores en relación con los riesgos derivados del trabajo.

Teniendo en cuenta las funciones que describe el precepto hay que indicar que no resulta necesario para su cumplimiento, el acceso por parte de los Servicios de Prevención a la historia clínica de los servicios de atención primaria y/o especializada del sistema nacional de salud o de la sanidad privada.

Cuestión distinta es el acceso a la historia clínica laboral, que como se ha indicado antes, precisamente la nota diferenciadora es el elemento laboral, del que se desprende la protección y de la salud laboral, el análisis de los riesgos en el puesto de trabajo para la salud, las medidas concretas de planificación sobre prevención, etc., cuestiones que obviamente están ligadas a las funciones de los Servicios de Prevención de Riesgos Laborales.

En algunas de las funciones que se citan en el precepto, dada su obviedad no merecen análisis ninguno -como pueden ser las previstas en las letras a) a d) - y en otras debe indicarse lo siguiente:

En relación con la prestación de los primeros auxilios y planes de emergencia prevista en el apartado e), puede resultar conveniente conocer episodios anteriores del trabajador en cuestión a la hora de prestarle primeros auxilios, pero dicha información la proporcionaría, en la medida de lo posible, el trabajador en ese momento, integrándose así en la historia clínica laboral, pues dicha información es obtenida en ese momento, precisamente al amparo de las funciones que la ley le atribuye al citado Servicio de Prevención. Precisamente, la propia mención de la ley a los “primeros auxilios” implica que no necesariamente se ha de contar, en ese momento, con el acceso a una historia clínica del paciente.

En cuanto al apartado f) referido al a vigilancia de la salud de los trabajadores en relación con los riesgos derivados del trabajo, ya la propia literalidad del texto nos reconduce por sí sólo al entorno o contexto laboral, excluyéndose lógicamente, el contexto ordinario que se deriva de la atención primaria y/o especializada cuyos resultados de su actividad se plasman en la historia clínica.

Y finalmente, en relación con la vigilancia de la salud a la que hace referencia dicho apartado, es preciso acudir al artículo 22 de la LPRL que dispone lo siguiente:

1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo.

Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. De este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.

(…)

3. Los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados

2. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.

(…)

Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

(…)

Del articulo 22 LPRL se extraen importantes conclusiones en relación con la consulta planteada, ya que, (i) el examen que supone la vigilancia de la salud por parte de los servicios de prevención es, con carácter general, voluntario, salvo los supuestos tasados; (ii) los resultados se comunican al trabajador afectado; (iii) y el acceso a información médica de carácter personal está limitado a personal médico y autoridades sanitarias que lleven a cabo la vigilancia de la salud; fuera de este supuesto, también es necesario el consentimiento.

Por lo tanto, el tratamiento que propone la consultante quiebra estas salvaguardas que se acaban de citar.

En efecto, los reconocimientos médicos laborales son, con carácter general, voluntarios, por lo que una utilización de la historia clínica ordinaria para fines distintos de los estrictamente médicos no estaría justificada y no sería proporcionada a la intrusión en el derecho fundamental que se pretende.

Por ejemplo, en los tratamientos que la consulta predica que se quieren realizar (entre ellos: Estudiar las enfermedades susceptibles de estar relacionadas con el trabajo, a los solos efectos de poder identificar cualquier relación entre las causas de enfermedad y los riesgos para la salud que puedan presentarse en los lugares de trabajo.) se prescinde en absoluto del consentimiento del trabajador, por lo que los servicios de prevención podrían conocer enfermedades que en modo alguno están relacionadas con el trabajo, sin una base legal que lo justifique, y sin consentimiento del trabajador, quien puede no querer someterse a los reconocimientos médicos de la empresa. Lo que la ley, salvo excepciones, avala.

Es decir, si cualquier proceso asistencial de atención primaria y/o especializada que se refleje en la historia clínica va a utilizarse, o poder utilizarse, por los servicios de prevención laboral, ello ni se haría con la debida información sobre el tratamiento de sus datos de salud (ya que la LAP no prevé dicha finalidad), con lo cual el paciente difícilmente puede prever lo que va a ocurrir con sus datos médicos, y de otro tampoco se le podría ofrecer información objetiva y fiable pues podría producirse la comunicación de datos o no, y tampoco se sabría con certeza el destinatario, ya que los Servicios de Prevención podrían ser cambiantes.

A lo que hay que añadir que, sin información o con las carencias apuntadas, tampoco se produciría dicha comunicación con consentimiento (como exige la LPRL), como tampoco los cesionarios de la misma serían los habilitados por la norma al efecto, y en su defecto autorizados por el titular de los datos, tal como expresamente se hace constar en el apartado 4.

Es decir, estaríamos ante el hipotético supuesto en que una persona acude al médico para una finalidad determinada y con posterioridad, esa información seria utilizada por los Servicios de Prevención del empleador de dicho paciente, incluso en el caso de que éste en su entorno laboral hubiera declinado la opción de realizarse el reconocimiento médico. Ninguna expectativa de privacidad ni previsibilidad del tratamiento haría formarse al titular de los datos cuando acude a la consulta o a una prueba determinada en relación con el tratamiento posterior que pretende la consultante.

VII

Analizadas las normas que resultan de aplicación con carácter general, como son la LAP y la LPRL, procede abordar las actividades concretas a las que se refiere la consultante y que a su entender justificarían o harían necesario que los Servicios de Prevención accedieran a las historias clínicas de la atención primaria y/o especializada.

En primer lugar, “Estudiar, las enfermedades susceptibles de estar relacionadas con el trabajo, a los solos efectos de poder identificar cualquier relación entre las causas de enfermedad y los riesgos para la salud que puedan presentarse en los lugares de trabajo.”, puede llevarse a cabo a través de la recogida de información en los reconocimientos médicos previstos en el artículo 22 LPRL y en su caso, a través de entrevistas voluntarias. Es decir, todo ello sin que sea necesario acceder a la historia clínica ordinaria del trabajador.

En segundo lugar, en cuanto a “Comunicar las enfermedades que podrían ser calificadas como profesionales, tal y como establece el artículo 5 del Real Decreto 1299/2006, de 10 de noviembre, por el que se aprueba el cuadro de enfermedades profesionales en el sistema de la Seguridad Social”, debe indicarse que el propio precepto citado establece el cauce y procedimiento adecuado:

Cuando los facultativos del Sistema Nacional de Salud, con ocasión de sus actuaciones profesionales, tuvieran conocimiento de la existencia de una enfermedad de las incluidas en el anexo 1 que podría ser calificada como profesional, o bien de las recogidas en el anexo 2, y cuyo origen profesional se sospecha, lo comunicarán a los oportunos efectos, a través del organismo competente de cada comunidad autónoma y de las ciudades con Estatuto de Autonomía, a la entidad gestora, a los efectos de calificación previstos en el artículo 3 y, en su caso, a la entidad colaboradora de la Seguridad Social que asuma la protección de las contingencias profesionales. Igual comunicación deberán realizar los facultativos del servicio de prevención, en su caso.

En este caso, resulta clarificadora la Guía Básica y General de Orientación “Vigilancia de las Salud para la Prevención de Riesgos Laborales” aprobada por la Comisión de Salud Pública del Consejo Interterritorial del Sistema Nacional de Salud en la reunión de 14 de marzo de 2019, que nos indica que:

“Para comunicar la sospecha de enfermedad profesional por parte de los facultativos, a través del órgano competente que designe cada Comunidad Autónoma, es necesario definir el procedimiento y criterios a cumplir en cada caso.”

Los potenciales declarantes de la sospecha son:

La comunicación de cualquiera de estos facultativos irá dirigida al órgano competente, a determinar por cada Comunidad Autónoma (en las iniciativas existentes ubicado en la Dirección General de Salud Pública) mediante una opción disponible en la historia clínica informatizada, de acuerdo a lo establecido en cada Comunidad Autónoma.

El órgano competente actuará en su territorio como Unidad Central de Salud Laboral, con la función básica de estudiar y catalogar los casos sospechosos en tres categorías posibles:

  1. Sospecha de enfermedad profesional
  2. Sospecha de enfermedad relacionada con el trabajo
  3. No existe evidencia de relación laboral

    En el caso de que se mantenga la sospecha de enfermedad profesional, la Unidad Central de Salud Laboral, u órgano competente, lo trasladará a la entidad gestora y entidades colaboradoras de la Seguridad Social. El reconocimiento final de la enfermedad profesional corresponde a la Seguridad Social, que lo difunde a través de su Observatorio de Enfermedades Profesionales, y que a su vez debe informar periódicamente a los órganos competentes de las Comunidades Autónomas.

Es decir, resulta obvio que ya existe un procedimiento ad hoc para comunicar enfermedades que podrían ser calificadas como profesionales, que no hace necesario que los Servicios de prevención puedan acceder a las historias clínicas de la atención primaria y/o especializada, sino que el flujo de información es otro, distinto al tratamiento de datos personales que propone la consultante.

Y en cuanto al acceso a las historias clínicas para cumplir lo dispuesto en los artículos 38 y 39 del RSP, estos disponen lo siguiente:

Artículo 38. Colaboración con el Sistema Nacional de Salud.

  1. De acuerdo con lo establecido en el artículo 10 de la Ley 31/1995, de Prevención de Riesgos Laborales, y artículo 21 de la Ley 14/1986, General de Sanidad, el servicio de prevención colaborará con los servicios de atención primaria de salud y de asistencia sanitaria especializada para el diagnóstico, tratamiento y rehabilitación de enfermedades relacionadas con el trabajo, y con las Administraciones sanitarias competentes en la actividad de salud laboral que se planifique, siendo las unidades responsables de salud pública del Área de Salud, que define la Ley General de Sanidad, las competentes para la coordinación entre los servicios de prevención que actúen en esa Área y el sistema sanitario. Esta coordinación será desarrollada por las Comunidades Autónomas en el ámbito de sus competencias.
  2. El servicio de prevención colaborará en las campañas sanitarias y epidemiológicas organizadas por las Administraciones públicas competentes en materia sanitaria.

Artículo 39. Información sanitaria.

  1. El servicio de prevención colaborará con las autoridades sanitarias para proveer el Sistema de Información Sanitaria en Salud Laboral. El conjunto mínimo de datos de dicho sistema de información será establecido por el Ministerio de Sanidad y Consumo, previo acuerdo con los órganos competentes de las Comunidades Autónomas, en el seno del Consejo Interterritorial del Sistema Nacional de Salud. Las Comunidades Autónomas en el ámbito de sus respectivas competencias, podrán desarrollar el citado sistema de información sanitaria.
  2. El personal sanitario del servicio de prevención realizará la vigilancia epidemiológica, efectuando las acciones necesarias para el mantenimiento del Sistema de Información Sanitaria en Salud Laboral en su ámbito de actuación.
  3. De efectuarse tratamiento automatizado de datos de salud o de otro tipo de datos personales, deberá hacerse conforme a la Ley Orgánica 5/1992, de 29 de octubre.

Basta con la lectura de sus preceptos para deducir que nada se indica ni directa ni indirectamente sobre la necesidad de acceder a la historia clínica de los trabajadores para cumplir dichos cometidos. Pero incluso si se admitiera a meros efectos dialecticos dicha interpretación, no puede olvidarse que estamos ante disposiciones reglamentarias que no cumplen los requisitos (ni formales ni materiales) que se han ido exponiendo a lo largo del presente informe y que parten de la doctrina constitucional en la ya citada STC 76/2019, de 22 de mayo.

VIII

No obstante lo anterior, debe indicase que el tratamiento de datos de salud que realizan los Servicios de Prevención de Riesgos Laborales está amparado en el artículo 9.2 del RGPD en el apartado h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.

A lo que hay que añadir la legitimación del articulo 6.1 c) y e) del RGPD, en relación con el artículo 8 de la LOPDGDD siendo la norma con rango legal que exige el precepto la LPRL. Y también en la LOPDGDD en el artículo 9.2:

“2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”

Y en la Disposición Adicional 17ª LOPDGDD que en su apartado 1 indica lo siguiente:

1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo:

b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.

Ahora bien, esta legitimación es para las funciones que se derivan de dicha ley, y en su caso, su normativa de desarrollo y no pueden suponer una habilitación erga omnes para que los Servicios de Prevención puedan tratar datos de salud para cualquier finalidad como parece entender la consultante.

Por lo tanto, una vez analizadas las normas que resultan de aplicación, por un lado, la LAP y la Ley 3/2009 de 11 de mayo, dónde se regula el uso de la historia clínica de forma tasada -sin perjuicio de que exista otra norma que permita otros usos- y por otro, la LPRL y su Reglamento de desarrollo, que regula las funciones de los Servicios de Prevención, debe concluirse que no existe legitimación conforme al principio de licitud para llevar a cabo los tratamientos de datos personales que se derivan de las actividades que propone la consultante.

IX

En cuanto a la adecuación al principio de limitación de finalidad, nos indica el articulo 5.1 b) del RGPD que los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; y el Considerando 39 de la misma norma que, En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.

Pues bien, debe indicarse que tampoco sería conforme el tratamiento propuesto por no resultar compatible con el tratamiento inicialmente previsto.

En efecto, la finalidad del tratamiento de los datos personales que resulta de la atención primaria y especializada es distinta a la Vigilancia de la Salud Laboral que hacen los Servicios de Prevención.

Además, las finalidades que pretende la consultante (sin perjuicio de que no encuentran su legitimación en los artículos 9.2 y 6 del RGPD) no están determinadas en el momento de su recogida, pues si así fuera deberían informárselas al titular de los datos en los términos de los artículos 12 y 13 del RGPD, y nada consta al respecto que se haya estado haciendo, sino que más bien dichas finalidades se determinan a posteriori, una vez que se ha producido la recogida de los datos personales.

Resulta interesante en este sentido el “test de compatibilidad de finalidades” que recoge el artículo 6.4 RGPD, que si bien resultaría especialmente clarificador para aplicarlo a tratamientos que realice un mismo responsable, más lo será cuando estemos ante dos tratamientos que los llevan a cabo distintos responsables:

  1. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
  1. Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto.
  2. El contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
  3. La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10; las posibles consecuencias para los interesados del tratamiento ulterior previsto; la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

En relación con el primer apartado, debe indicarse que las finalidades son distintas, y si bien ambas parten de la asistencia sanitaria, debe hacerse la oportuna remisión que se ha hecho al inicio del presente informe sobre la diferencia entre el concepto de historia clínica laboral de la historia clínica ordinaria o convencional que es a la que pretende la consultante que los Servicios de Prevención accedan. En consecuencia, a mayor distancia entre los fines mayor incompatibilidad.

En relación con el segundo apartado, teniendo en cuenta que la recogida de los datos se produce en un contexto determinado, (atención primaria y/o especializada) y se pretenden usar para las “actividades” descritas por la consultante, las notas de previsibilidad y control por parte del titular de los datos, resultan determinantes. Así en el Dictamen 3/2013 sobre la limitación de la finalidad del Grupo de Trabajo del Art. 29, actualmente sustituido por el Comité Europeo de Protección de Datos, se indica lo siguiente:

(…) Previsibilidad

Si una finalidad es suficientemente específica y clara, los ciudadanos sabrán qué es lo que cabe esperar: el modo en que se procesan los datos será predecible. Esto aporta seguridad jurídica a los interesados, así como a los que tratan datos personales en nombre del responsable del tratamiento.

La previsibilidad también es pertinente a la hora de evaluar la compatibilidad de las actividades de tratamiento posteriores. En general, el tratamiento ulterior no puede considerarse previsible si no está suficientemente relacionado con el propósito inicial y no cumple las expectativas razonables de los interesados en el momento de la recogida, sobre la base del contexto de la recogida.

Control del usuario

El control por parte de los usuarios solo es posible cuando el tratamiento de los datos sea suficientemente claro y previsible. Si los interesados son conscientes de los fines del tratamiento, pueden ejercer sus derechos de la manera más eficaz. Por ejemplo, pueden oponerse al tratamiento o solicitar la rectificación o la supresión de sus datos. (…)

También en relación con los fines, nos dice el Dictamen que (…), cuanto mayor sea la distancia entre los fines de la recogida y los fines de tratamiento ulterior, más problemática será la evaluación de la compatibilidad. (…)

En relación con el tercer apartado, estamos ante el tratamiento de categorías especiales de datos, y cuando son este tipo de datos los que van a “cambiar” de finalidad, el criterio debe ser prudente y restrictivo. En este sentido el citado Dictamen adopta la misma postura al señalar que (…) En general, cuanto más delicada sea la información, más restringido sería el ámbito de aplicación para un uso compatible (…)

En relación con el cuarto apartado, referido a las consecuencias para los interesados, debe indicarse que dada la información que se aporta en la consulta se desconocen las mismas a priori, pero es fácilmente deducible que determinada información que conste en la historia clínica ordinaria o convencional, pueda tener efectos negativos o discriminatorios en el entorno laboral, a pesar de no tener por qué afectar a dicho entorno. El acceso por parte de los servicios de prevención y un posible acceso por terceros en dicho entorno -ya sea por un tratamiento ilícito o por unas medidas de seguridad insuficientes- podría tener efectos discriminatorios y/o de estigmatización, aun cuando esa específica enfermedad que conste en la historia clínica hoy día no suponga un riesgo para el entorno laboral. Es decir, se presenta un riesgo que resulta innecesario y con un alto coste para los derechos y libertades de los afectados. En cualquier caso, como se indica en el Dictamen “cuanto más negativo o incierto sea el impacto de un tratamiento posterior, más improbable es que se considere un uso compatible. La disponibilidad de métodos alternativos para lograr los objetivos perseguidos por el responsable del tratamiento, con un impacto menos negativo para el interesado, en este contexto, debe tenerse en cuenta, sin duda, una consideración pertinente.”

Y finalmente, en cuanto a las garantías adecuadas que recoge el apartado quinto, debe indicarse que éstas se desconocen ya que la consultante tan solo hace una declaración de intenciones de medidas genéricas sin especificación alguna que se adapte las “diferentes actividades” que propone. En este sentido debe recordarse que el análisis de riesgos y la adopción de medidas no puede suponer una mera transcripción de los preceptos del RGPD, sino que deben adaptarse al tratamiento concreto, y dados los genéricos términos de la consulta sobre las actividades a realizar, difícilmente pueden ser objeto de análisis a estos efectos.

X

De acuerdo con lo expuesto debe concluirse que el tratamiento de datos personales que propone la consultante no cumple el principio de licitud por resultar un tratamiento de categorías especiales de datos sin observar lo dispuesto en los artículos 9 y 6 del RGPD.

Asimismo, el tratamiento de datos que resultaría de las actividades propuestas resultaría contrario e incompatible con la finalidad del tratamiento inicial. Por tanto, tampoco se cumple el principio de limitación de finalidad.

Asunto: Tratamiento de datos personales mediante intercambio de información de la historia clínica de los trabajadores entre los médicos del Servicio Público de Salud y los médicos de las Mutuas.

Entidad: Agencia Española de Protección de Datos. Gabinete Jurídico

Referencia: Informe 0041/2023.

La consulta plantea una serie de cuestiones relacionadas con la legitimación para el tratamiento de datos personales mediante el intercambio de información de la historia clínica de los trabajadores entre los médicos del servicio público de salud y los médicos de las Mutuas.

Tal y como se señala en la consulta, las Mutuas y los SPS de las Comunidades Autónomas, están analizando la forma de compartir la información clínica de la que son responsables del tratamiento de manera independiente, concretamente:

Por un lado, se pretende que los médicos de las Mutuas tengan acceso telemático a la información clínica que tengan los SPS sobre los trabajadores protegidos por estas Entidades que se encuentren en situación de baja médica por Contingencia Común o Profesional afectados por un proceso de Incapacidad Temporal por Contingencia Común o Contingencia Profesional que hayan recibido asistencia sanitaria en las Organizaciones dependientes del SPS, con la finalidad de comprobar sus circunstancias de salud, para que el médico de las Mutuas pueda realizar adecuadamente cualquiera de las actividades que tiene legalmente encomendadas.

Por otro lado, resulta conveniente que los médicos de los SPS tengan acceso telemático a las historias clínicas de los trabajadores protegidos por las Mutuas.

I

Para dar respuesta a la presente consulta, debe partirse de la regulación contenida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que desplaza la aplicación de la Ley Orgánica 15/1999, por lo que debe examinarse la cuestión planteada a la luz de lo previsto en el mismo.

Dicho Reglamento define en su artículo 4.15 los datos relativos a la salud como los “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.”

El considerando 35 del Reglamento aclara dicha definición señalando que “Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.”

El Tribunal de Justicia (TJUE) interpretó dicho concepto en un sentido amplio, considerando como datos relativos a la salud, la información relativa a todos los aspectos, tanto físicos como psíquicos, de la salud de una persona, tanto relativo a su estado de salud (que se ha lesionado un pie) como que la misma se encuentra en una situación de baja parcial (STJUE de 6 de noviembre de 2003, Lindqvist, C-101/01).

Por su parte, el número 2 del artículo 4 define el tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

Condición esencial para que un tratamiento de datos sea lícito es que quien lo lleve a cabo se encuentre legitimado para ello en la forma prevista en el aludido Reglamento (UE) 2016/679. A este respecto debe tomarse en consideración que el artículo 9 de dicho Reglamento, relativo al tratamiento de categorías especiales de datos personales, establece que “1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

En su apartado 2 se recogen las excepciones que levantan la prohibición al indicar que no será de aplicación en los siguientes supuestos:

El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

El apartado 3 recoge una garantía específica para los supuestos de la letra h) que, como posteriormente veremos, es el que resulta de aplicación en el presente caso:

Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

Y, por último, el apartado 4 atribuye a los Estados Miembros la facultad de introducir otras garantías específicas para la licitud del tratamiento:

Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Por su parte en los Considerandos 10, 52 a 54 del RGPD respecto del tratamiento de categorías especiales de datos y la posibilidad de que los Estados miembros establezcan una regulación adicional o complementaria sobre dichos datos, se indica lo siguiente:

(10) (…).El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.

Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. (…)

54) El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse en la definición del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (11), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. (…)

De lo indicado hasta ahora se extrae la conclusión de que si bien el RGPD establece unos supuestos que excepcionan la prohibición de tratamiento de categorías especiales de datos, a través del derecho de los Estados miembros se pueden introducirse regulaciones ad hoc a fin de adaptar la realidad de los sectores implicados para garantizar una protección efectiva de los derechos de los ciudadanos de la unión.

Por su parte, el artículo 9.2 de la LOPDGDD completa dichas previsiones en los siguientes términos:

“2. Los tratamientos de datos contemplados en las letras g), h) e

i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”

II

Por consiguiente, los tratamientos de datos de salud deberán realizarse, en todo caso, con sujeción a las previsiones establecidas por el Derecho europeo y por la normativa nacional con rango de ley que los regule.

En cuanto a las limitaciones legales, debe recordarse que el derecho a la protección de datos personales es un derecho fundamental, cuyo contenido consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso» (STC76/2019, de 22 de mayo, y STC 292/2000, de 30 de noviembre). Pero, además, estas sentencias señalaron igualmente la necesidad de que la injerencia esté prevista en una ley o norma de la Unión Europea, con respeto, en todo caso, al principio de proporcionalidad.

En concreto, el Tribunal Constitucional, en la ya citada STC 76/2019, de 22 de mayo, tras citar, entre otras, a su anterior STC 292/2000, de 30 de noviembre, señala:

- En segundo lugar, por mandato expreso de la Constitución, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas ora incida directamente sobre su desarrollo (art. 81.1 CE), ora limite o condicione su ejercicio (art. 53.1 CE), precisa una habilitación legal (por todas, STC 49/1999, de 5 de abril, FJ 4). En la STC 49/1999, FJ 4, definimos la función constitucional de esa reserva de ley en los siguientes términos:

Esa reserva de ley a que, con carácter general, somete la Constitución española la regulación de los derechos fundamentales y libertades públicas reconocidos en su Título I, desempeña una doble función, a saber: de una parte, asegura que los derechos que la Constitución atribuye a los ciudadanos no se vean afectados por ninguna injerencia estatal no autorizada por sus representantes; y, de otra, en un Ordenamiento jurídico como el nuestro en el que los Jueces y Magistrados se hallan sometidos “únicamente al imperio de la Ley” y no existe, en puridad, la vinculación al precedente (SSTC 8/1981, 34/1995, 47/1995 y 96/1996) constituye, en definitiva, el único modo efectivo de garantizar las exigencias de seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas. Por eso, en lo que a nuestro Ordenamiento se refiere, hemos caracterizado la seguridad jurídica como una suma de legalidad y certeza del Derecho (STC 27/1981, fundamento jurídico 10).”

Esta doble función de la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal “ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica”, esto es, “ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención” (STC 49/1999, FJ 4). En otras palabras, “no sólo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites” (STC 292/2000, FJ 15).

Además, dicha ley deberá respetar en todo caso el principio de proporcionalidad, tal y como recuerda la Sentencia del Tribunal Constitucional 14/2003, de 28 de enero:

“En otras palabras, de conformidad con una reiterada doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan basta con recordar que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si la medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto; SSTC 66/1995, de 8 de mayo [ RTC 1995, 66] , F. 5; 55/1996, de 28 de marzo, FF. 7, 8 y 9; 270/1996, de 16 de diciembre, F. 4.e; 37/1998, de 17 de febrero, F. 8; 186/2000, de 10 de julio, F. 6).”

La misma doctrina sostiene el Tribunal de Justicia de la Unión Europea (TJUE). Así, si el art. 8 de la Carta Europea de los Derechos Fundamentales reconoce el derecho de toda persona a la protección de los datos de carácter personal que le conciernan, el art. 52.1 reconoce que ese derecho no es ilimitado y permite la limitación del ejercicio de esos derechos y libertades reconocidos por la Carta, limitación que deberá ser establecida por la ley y respetar el contenido esencial de los mismos.

La STJUE de 6 de octubre de 2020, en los casos acumulados C-511/18, C-512/18 y C-520/18, La Quadrature du Net y otros, en su apartado 175, recuerda que:

En cuanto a la justificación de dicha injerencia, cabe precisar que el requisito, previsto en el artículo 52, apartado 1, de la Carta, de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que la permita debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 175 y jurisprudencia citada).

Igualmente, el apartado 65 de la Sentencia (STJUE) de la misma fecha 6 de octubre de 2020 (C-623/17), Privacy International contra Secretary of State for Foreign and Commonwealth Affairs y otros, con cita, como la anterior, de la sentencia Schrems 2, dice:

65 Cabe añadir que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 175 y jurisprudencia citada).

En definitiva, el apartado 175 de la STJUE de 16 de julio de 2020, C-311/2020, Schrems 2, dice:

Cabe añadir, sobre este último aspecto, que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate [dictamen 1/15 (Acuerdo PNR UE- Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 139 y jurisprudencia citada].

Es pues, la misma ley que establece la injerencia en el derecho fundamental la que ha de determinar las condiciones y garantías, esto es, el alcance y la limitación, que han de observarse en dichos tratamientos,

Y en dicha STJUE de 16 de julio de 2020, Schrems 2, se añade (y se reitera posteriormente en las citadas sentencias de 6 de octubre de 2020):

176 Finalmente, para cumplir el requisito de proporcionalidad según el cual las excepciones a la protección de los datos personales y las limitaciones de esa protección no deben exceder de lo estrictamente necesario, la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso. En particular, dicha normativa deberá indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de tales garantías reviste especial importancia cuando los datos personales se someten a un tratamiento automatizado [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE- Canadá), de 26 de julio de 2017, EU:C:2017:592, apartados 140 y 141 y jurisprudencia citada).

Como ya mencionamos más arriba en este informe, la STC 76/2019, tan reiterada, dispone:

Esta doble función de la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal «ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica», esto es, «ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención» (STC 49/1999, FJ 4). En otras palabras, «no sólo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites» (STC 292/2000, FJ 15).

Sobre las características de las leyes que pretendan regular el tratamiento de categorías especiales de datos, el Tribunal Constitucional ya se ha pronunciado extensamente en la citada Sentencia núm. 76/2019 de 22 mayo.

La sentencia analiza, en primer término, el régimen jurídico al que se encuentra sometido el tratamiento de las categorías especiales de datos en el RGPD:

De acuerdo con el apartado 1 del art. 9 RGPD, está prohibido el tratamiento de datos personales que revelen las opiniones políticas, del mismo modo que lo está el tratamiento de datos personales que revelen el origen étnico o racial, las convicciones religiosas o filosóficas o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. No obstante, el apartado 2 del mismo precepto autoriza el tratamiento de todos esos datos cuando concurra alguna de las diez circunstancias allí previstas [letras a) a j)]. Algunas de esas circunstancias tienen un ámbito de aplicación acotado (laboral, social, asociativo, sanitario, judicial, etc.) o responden a una finalidad determinada, por lo que, en sí mismas, delimitan los tratamientos específicos que autorizan como excepción a la regla general. Además, la eficacia habilitante de varios de los supuestos allí previstos está condicionada a que el Derecho de la Unión o el de los Estados miembros los prevean y regulen expresamente en su ámbito de competencias: es el caso de las circunstancias recogidas en las letras a), b), g), h), i) y j).

El tratamiento de las categorías especiales de datos personales es uno de los ámbitos en los que de manera expresa el Reglamento General de Protección de Datos ha reconocido a los Estados miembros “margen de maniobra” a la hora de “especificar sus normas”, tal como lo califica su considerando 10. Este margen de configuración legislativa se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos -es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos- como al establecimiento de “medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado” [art. 9.2 g) RGPD]. El Reglamento contiene, por tanto, una obligación concreta de los Estados miembros de establecer tales garantías, en el caso de que habiliten para tratar los datos personales especialmente protegidos.”

Por otro lado, en cuanto a las garantías que debe adoptar el legislador, la citada sentencia núm. 76/2019 de 22 mayo, recuerda que:

A la vista de los potenciales efectos intrusivos en el derecho fundamental afectado que resultan del tratamiento de datos personales, la jurisprudencia de este Tribunal le exige al legislador que, además de cumplir los requisitos anteriormente mencionados, también establezca garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos, pues solo así se puede procurar el respeto del contenido esencial del propio derecho fundamental”.

Dicha sentencia reitera, por tanto, la necesidad de contar con garantías adecuadas a los tratamientos que se pretendan llevar a cabo, con especial cuidado cuando aquellos tratamientos envuelven datos de categorías especiales, como es aquí el caso, porque, como añade el Tribunal Constitucional:

Por último, debemos recordar que el Reglamento general de protección de datos establece las garantías mínimas, comunes o generales para el tratamiento de datos personales que no son especiales. En cambio, no establece por sí mismo el régimen jurídico aplicable a los tratamientos de datos personales especiales, ni en el ámbito de los Estados miembros ni para el Derecho de la Unión. Por ende, tampoco fija las garantías que deben observar los diversos tratamientos posibles de datos sensibles, adecuadas a los riesgos de diversa probabilidad y gravedad que existan en cada caso; tratamientos y categorías especiales de datos que son, o pueden ser, muy diversos entre sí. El reglamento se limita a contemplar la posibilidad de que el legislador de la Unión Europea o el de los Estados miembros, cada uno en su ámbito de competencias, prevean y regulen tales tratamientos, y a indicar las pautas que deben observar en su regulación. Una de esas pautas es que el Derecho del Estado miembro establezca «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [artículo 9.2.g) RGPD] y que «se ofrezcan garantías adecuadas» (considerando 56 RGPD). Es patente que ese establecimiento de medidas adecuadas y específicas solo puede ser expreso. Si la norma interna que regula el tratamiento de datos personales relativos a opiniones políticas no prevé esas garantías adecuadas, sino que, todo lo más, se remite implícitamente a las garantías generales contenidas en el Reglamento general de protección de datos, no puede considerarse que haya llevado a cabo la tarea normativa que aquel le exige.

Asimismo, en un pronunciamiento de especial relevancia, analiza cuál es la norma que debe contener las citadas garantías:

Por tanto, la resolución de la presente impugnación exige que aclaremos una duda suscitada con respecto al alcance de nuestra doctrina sobre las garantías adecuadas, que consiste en determinar si las garantías adecuadas frente al uso de la informática deben contenerse en la propia ley que autoriza y regula ese uso o pueden encontrarse también en otras fuentes normativas.

La cuestión solo puede tener una respuesta constitucional. La previsión de las garantías adecuadas no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del art. 53.1 CE (RCL 1978, 2836) para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales.

Según reiterada doctrina constitucional, la reserva de ley no se limita a exigir que una ley habilite la medida restrictiva de derechos fundamentales, sino que también es preciso, conforme tanto a exigencias denominadas -unas veces- de predeterminación normativa y -otras- de calidad de la ley como al respeto al contenido esencial del derecho, que en esa regulación el legislador, que viene obligado de forma primaria a ponderar los derechos o intereses en pugna, predetermine los supuestos, las condiciones y las garantías en que procede la adopción de medidas restrictivas de derechos fundamentales. Ese mandato de predeterminación respecto de elementos esenciales, vinculados también en último término al juicio de proporcionalidad de la limitación del derecho fundamental, no puede quedar deferido a un ulterior desarrollo legal o reglamentario, ni tampoco se puede dejar en manos de los propios particulares ” (FJ 8).(…)”

III

Conforme a lo expuesto anteriormente, procede analizar las concretas normas legales que regulan los tratamientos de datos de salud a los que se refiere la consulta.

Para ello, hay que partir de lo dispuesto en la actualidad en el art. 71.3 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, (TRLGSS), según la redacción dada a este precepto por la disposición final 5.2 del Real Decreto-ley 2/2021, de 26 de enero:

3. En los procedimientos de declaración y revisión de la incapacidad permanente, a efectos de las correspondientes prestaciones económicas de la Seguridad Social, así como en lo que respecta al reconocimiento y control de las prestaciones por incapacidad temporal, orfandad o asignaciones familiares por hijo a cargo, las instituciones sanitarias, las mutuas colaboradoras con la Seguridad Social y las empresas colaboradoras remitirán a las entidades gestoras de la Seguridad Social los informes, la historia clínica y demás datos médicos, relacionados con las lesiones y dolencias padecidas por el interesado que resulten relevantes para la resolución del procedimiento.

Los inspectores médicos adscritos al Instituto Nacional de la Seguridad Social, en el ejercicio de sus funciones, cuando sea necesario para el reconocimiento y control del percibo de las prestaciones de los trabajadores pertenecientes al sistema de la Seguridad Social, y para la determinación de contingencia, así como los médicos de sanidad marítima adscritos al Instituto Social de la Marina, para llevar a cabo los reconocimientos médicos de embarque marítimo, informando de estas actuaciones, y en los términos y condiciones que se acuerden entre el Instituto Nacional de la Seguridad Social y los Servicios de Salud de las Comunidades Autónomas y el Instituto Nacional de Gestión Sanitaria, tendrán acceso electrónico y en papel a la historia clínica de dichos trabajadores, existente en los servicios públicos de salud, en las mutuas colaboradoras con la Seguridad Social, en las empresas colaboradoras y en los centros sanitarios privados.

Las entidades gestoras de la Seguridad Social, en el ejercicio de sus competencias de reconocimiento y control de las prestaciones, recibirán los partes médicos de incapacidad temporal expedidos por los servicios públicos de salud, las mutuas colaboradoras con la Seguridad Social y las empresas colaboradoras, a efectos del tratamiento de los datos contenidos en los mismos. Asimismo, las entidades gestoras y las entidades colaboradoras con la Seguridad Social podrán facilitarse, recíprocamente, los datos relativos a las beneficiarias que resulten necesarios para el reconocimiento y control de las prestaciones por riesgo durante el embarazo y riesgo durante la lactancia natural.

La inspección médica de los servicios públicos de salud tendrá acceso electrónico a los datos médicos necesarios para el ejercicio de sus competencias, que obren en poder de las entidades gestoras de la Seguridad Social.

En los supuestos previstos en este apartado no será necesario recabar el consentimiento del interesado, de conformidad con lo dispuesto en los artículos 6.1. e) y 9.2 h), del Reglamento (UE 2016/679) del Parlamento y el Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Como puede observarse, el legislador ha determinado de un modo amplio la posibilidad de que para los fines previstos en este precepto se pueda acceder y tratar datos de salud, singularmente respecto de las entidades gestoras y los inspectores médicos.

La base jurídica elegida por el legislador es la del art. 6.1. e) RGPD (el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento), y como causa que levanta la prohibición del art. 9.1 RGPD, la del art. 9.2. h) RGPD (el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social (…)).

Se cumple por tanto lo dispuesto en el art. 9.2 de la LOPDGDD:

2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.

En el presente caso, se han identificado suficientemente en la ley (art. 71.3 TRLGSS) las finalidades de las injerencias en el derecho fundamental (esto es, las finalidades de los tratamientos de datos), como son la gestión de los procedimientos de declaración y revisión de la incapacidad permanente, a efectos de las correspondientes prestaciones económicas de la Seguridad Social, así como en lo que respecta al reconocimiento y control de las prestaciones por incapacidad temporal, orfandad etc.

Al mismo tiempo, esta Agencia, en sus informes 39/2022 y 42/2022, relativos a los proyectos de disposiciones reglamentarias que desarrollan dicho precepto, considera que la Administración de la Seguridad Social (entendiendo por esta a todas las autoridades previstas en el art. 71.3 TRLGSS citado), al poder recabar para esos fines la historia clínica de los trabajadores, y regularse esta en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, está sujeta a las salvaguardas y garantías establecidas en esta ley 41/2002 para su uso. Esta consideración permitiría salvar la circunstancia de que el art. 71.3 TRLGSS no establece, en sí mismo, estas garantías para los tratamientos de datos personales que se lleven a cabo para el cumplimiento de estos fines.

IV

Procede, por tanto, analizar las garantías establecidas en la Ley 41/2002 para el acceso y uso de la historia clínica.

Este Gabinete Jurídico, en el Informe 101/2019, analiza la posibilidad de que por parte de los servicios de Inspección Médica de la Comunidad Autónoma de Canarias, pueda accederse a las historias clínicas tanto de atención primaria como de atención especializada a los efectos realizar sus funciones de verificación control, confirmación y extinción de la incapacidad temporal y en el mismo se hace un especial análisis de las garantías contenidas en la Ley 41/2002, que por su importancia se transcribe a continuación:

V

En cuanto al acceso a las historias clínicas (de atención primaria y de atención especializada) por parte de los médicos adscritos a la Inspección Médica de la Dirección General de Modernización y Calidad de los Servicios (Consejería de Presidencia, Justicia e Igualdad, de la Administración de la Comunidad Autónoma de Canarias) para el ejercicio de sus funciones de verificación control, confirmación y extinción de la incapacidad temporal, deben realizarse las siguientes consideraciones.

El acceso a los datos de las historias clínicas supone una comunicación de datos que ha de considerarse tratamiento de datos de carácter personal, a tenor de lo indicado en el artículo 4.2 RGPD que considera como tal: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Asimismo, estamos ante el tratamiento de datos de salud, que el artículo 4.15 del RGPD los define como define como aquellos datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

Por su parte el Considerando (35) nos indica que “Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (9); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.”

Por lo tanto, estamos ante el tratamiento de categorías especiales de datos (artículo 9.1 RGPD) y de acuerdo con lo indicado en el citado dictamen sobre “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679” del CEPD, para tratar categorías especiales de datos debe encontrarse cobertura en el artículo 9.2 RGPD y una vez excepcionada la prohibición general, hay que acudir a los supuestos del artículo 6 RGPD para dar licitud al tratamiento en cuestión. (…)Los responsables del tratamiento solo pueden tratar datos personales de categoría especial si se cumplen una de las condiciones previstas en el artículo 9, apartado 2, así como una condición del artículo 6.(…).

Dicho lo anterior, procede acudir en primer lugar a la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (o LAP en lo sucesivo), que define la Historia clínica como el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.

En su artículo 15. 2 establece que “La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud”.

Y en el artículo 16 bajo la rúbrica “usos de la historia clínica” nos indica en el apartado 1 que “La historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia.”

Por su parte, en el apartado 3 se establece que “El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico asistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.”

Y en el apartado 5 indica que: “El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.”

De lo indicado hasta ahora se deduce, que con carácter general la finalidad del uso de la historia clínica responde a la función asistencial que los médicos de atención primaria y especializada llevan a cabo, sin perjuicio de las excepciones previstas en los apartados 3 y 5.

Lo que no obsta a que la legitimación para el tratamiento objeto de consulta pueda encontrarse en otro cuerpo normativo tal como se expone a continuación y en consonancia con lo dispuesto en el artículo 9.2 LOPDGDD que establece la reserva de ley a estos efectos: “2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”

En este sentido el Informe 362/2010 que más adelante se reproduce indica que (…)Por otra parte, las limitaciones establecidas por el citado artículo 16 no implican necesariamente que los datos de la historia clínica puedan ser únicamente objeto de acceso en los supuestos allí enumerados, sino que podría ser admisible una cesión en caso de contarse con otra norma con rango de Ley que la habilitase.(…)

En efecto, la Ley 11/1994, de 26 de julio, de Ordenación Sanitaria de Canarias, en su Disposición Adicional Tercera indica lo siguiente:

…)El personal médico que tenga la condición de empleado público tendrá acceso a los datos de las historias clínicas del Servicio Canario de la Salud, tanto de atención primaria como especializada, en las circunstancias y con los requisitos siguientes:

Que el acceso se realice en el ejercicio de sus funciones como médico para el órgano administrativo, organismo público o entidad de derecho público al que se encuentre adscrito, el cual que ha de tener la consideración de Administración pública en los términos contemplados en la legislación básica sobre régimen jurídico del sector público.

Que el acceso sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

Que los fines que justifican el acceso, de entre los señalados en el apartado anterior, se encuentren entre las competencias propias del órgano administrativo, organismo público o entidad de derecho público al que esté adscrito el médico.

Que el ejercicio profesional como médico para el órgano administrativo, organismo público o entidad de derecho público al que se encuentre adscrito, así como los fines que justifican el acceso, de entre los señalados en el apartado b) anterior, sean inherentes al puesto de trabajo, nombramiento o contrato que le vincule al mismo.

Este personal quedará sujeto a la obligación de secreto profesional respecto de la información de la que tenga conocimiento como consecuencia del acceso señalado.

El acceso se facilitará por la Dirección del Servicio Canario de la Salud, previa comprobación del cumplimiento de los requisitos señalados y aplicando el principio de proporcionalidad.”

Por su parte, el Decreto 113/2013, de 15 de noviembre, de evaluación médica del personal del sector público de la Comunidad Autónoma de Canarias, en el Capítulo III referido a la “Verificación, Control, Confirmación y Extinción de la incapacidad temporal” regula en su artículo 15 referido a la “Comprobación de la regularidad de las bajas médicas” indica lo siguiente: El personal inspector médico de la Inspección Médica adscrita a la Inspección General de Servicios comprobará la regularidad de los partes, y podrán requerir, en su caso, al personal afectado, para que se presente ante la Inspección Médica a fin de ser sometido a reconocimiento médico pertinente, pudiendo asimismo, llevar a cabo las visitas domiciliarias y demás actuaciones inspectoras que sean precisas para el seguimiento de la incapacidad temporal, tanto por lo que se refiere a su efectiva existencia, como por lo que afecta al grado de cumplimiento por parte del personal de las directrices de tratamiento y curación que se le haya prescrito, en función de los correspondientes protocolos de actuación.

El Artículo 16 referido al Reconocimiento médico indica lo siguiente:

La unidad de inspección médica de Inspección General de Servicios, cuando de los partes de baja médica o confirmación, de la información complementaria de la que disponga, aportada por el personal afectado o recabada de los facultativos o servicio médico correspondiente, así como de las demás actuaciones inspectoras que haya realizado, no pueda determinar la efectiva existencia de la incapacidad temporal, podrá asimismo disponer que las personas que se encuentren en dicha situación sean reconocidos por la Comisión de Evaluación Médica correspondiente.

El personal en situación de incapacidad temporal que sea requerido por la Inspección Médica para ser sometido a reconocimiento médico viene obligado a presentarse en el lugar señalado para efectuar el mismo, salvo que acredite que su estado físico o psíquico impide o hace difícil la comparecencia, aportando la correspondiente justificación, preferentemente el informe médico en el que se refleje su estado o situación en el momento del requerimiento. .(…)

El Artículo 23 referido a las Competencias de la Inspección Médica indica lo siguiente:

La Inspección Médica, respecto de todo el personal incluido en el ámbito de aplicación de este Decreto, y sin perjuicio de las que corresponden a los Servicios de Prevención de Riesgos Laborales, tiene las funciones siguientes:

La determinación de los criterios generales y la coordinación con la inspección médica del Servicio Canario de la Salud, a fin de garantizar una actuación homogénea respecto del personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias y de sus organismos autónomos, entidades públicas empresariales, entidades de Derecho Público, sociedades mercantiles y fundaciones públicas integrantes del sector público autonómico.

El reconocimiento, evaluación e informe de la capacidad para el servicio en el sector público de la Comunidad Autónoma de Canarias.

La verificación, control, confirmación y extinción de la incapacidad temporal.

El asesoramiento médico al órgano competente para la concesión de licencias por enfermedad del personal adscrito a los regímenes especiales de la Seguridad Social del mutualismo administrativo, de acuerdo con lo establecido en su normativa específica.

La verificación de las solicitudes de reconocimiento del abono de la totalidad de las retribuciones durante los veinte primeros días de duración de la incapacidad temporal por derivar la misma de los supuestos excepcionales que dan lugar a su reconocimiento.

La solicitud al órgano competente para que proponga al Instituto Nacional de la Seguridad Social el inicio del expediente de Incapacidad Permanente del personal adscrito al Régimen General de la Seguridad Social.

La propuesta de inicio de expediente de Incapacidad Permanente del personal adscrito a los regímenes especiales de la Seguridad Social del mutualismo administrativo al órgano de gestión de personal correspondiente.

Las demás que le atribuya el ordenamiento jurídico.

La Inspección Médica, a los solos efectos del ejercicio de sus competencias, de acuerdo con lo establecido legalmente y con las garantías previstas en la Ley Orgánica de Protección de Datos de Carácter Personal:

Dispondrá de toda la información médica necesaria para valorar el proceso de enfermedad, teniendo acceso a los ficheros automatizados de datos con denominación fichero: UVMI y tarjeta sanitaria, de la consejería competente en materia de sanidad respecto a todo el personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias, y de sus organismos autónomos, entidades públicas empresariales, entidades de Derecho Público, sociedades mercantiles y fundaciones públicas integrantes del sector público autonómico.

Tendrá acceso a los ficheros automatizados de datos referidos al mencionado personal de la Administración Pública y de las entidades del sector público autonómico.”

De acuerdo con lo expuesto, el acceso a las historias clínicas, tanto de atención primaria, como especializada por parte de los servicios de inspección médica a los efectos de evaluar la capacidad laboral en relación con los procesos de incapacidad temporal, encuentra su amparo en la normativa indicada.

Por lo tanto, la licitud en el tratamiento se encuentra en primer lugar en el artículo 9.2 del RGPD en el apartado h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3; asimismo, se cumple el principio de reserva de ley que contempla el articulo 9.2 LOPDGDD.

En segundo lugar, en relación con los supuestos previstos en el artículo 6 del RGPD, en el apartado e) referido el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

Sobre este último la LOPDGDD en su artículo 8.2 bajo la rúbrica “Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos” establece en su apartado 2 lo siguiente: El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.” En este caso la norma con rango de ley que atribuye las competencias es la Ley 11/1994, de 26 de julio, de Ordenación Sanitaria de Canarias y su normativa de desarrollo.

VI

No obstante lo anterior, debe tenerse en cuenta que el acceso a la historia clínica en los términos que plantea la consulta, supone que médicos que no participan en el proceso asistencial del paciente conozcan determinada información confidencial, por lo que dicho tratamiento debe realizarse cumpliendo determinadas garantías que responden a preservar el derecho a la intimidad y a la protección de datos de los afectados.

La propia LAP en su artículo 7 reconoce el derecho a la intimidad indicando lo siguiente:

“1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.

2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.”

Y en el mismo sentido, el citado artículo 16 LAP apartado 6, dispone que “El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.”

Por su parte, el RGPD recoge los principios de minimización, limitación de finalidad y confidencialidad, previstos en el artículo 5 apartados b), c) y f) del RGPD nos indican que los datos personales serán:

recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Por su parte, la LOPDGDD establece en el artículo 5 bajo la denominación “Deber de confidencialidad” lo siguiente:

Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

El cumplimiento de estos principios implica que el acceso que se realice servirá única y exclusivamente a la finalidad de evaluación, control y seguimiento de los procesos de incapacidad temporal con las limitaciones cualitativas y cuantitativas propias de la finalidad a la que sirve el acceso.

El acceso debe ser el estrictamente necesario, en este sentido la evaluación de lo que es «necesario» implica una evaluación conjunta y factual del tratamiento y del objetivo «en relación con el objetivo perseguido y de si es menos intrusiva que otras opciones para alcanzar el mismo objetivo».

Si existen alternativas realistas, menos intrusivas, el tratamiento no es «necesario»( TJUE, asunto C-13/16, Valsts policijas regionalia Rigas regiona parvaldes KartIbas policijas, Rigas pasvaldIbas SIA «Rigas satiksme», apartado 30). «por lo que se refiere al requisito relativo a la necesidad de tratar datos personales, debe tenerse en cuenta que las excepciones y limitaciones en relación con la protección de datos personales deben aplicarse únicamente en la medida en que sea estrictamente necesario».

Es decir, el acceso debe considerarse subsidiario a otras medidas con menor injerencia en el derecho a la protección de datos de los pacientes, teniendo en cuenta que el propio Decreto 113/2013, de 15 de noviembre, de evaluación médica del personal del sector público de la Comunidad Autónoma de Canarias, pone a disposición de la inspección médica otros mecanismos que sirven a tal fin ( verificación y control de la incapacidad temporal ) a través de la emisión y presentación de partes médicos ( artículos 13 a 15 ), y el propio reconocimiento médico previsto en el artículo 16.

En definitiva, no estaría amparado un acceso ( indiscriminado ) a toda la historia clínica referido a acontecimientos que por su cualidad y temporalidad no estén relacionados con el proceso de incapacidad temporal que se pretenda evaluar. Como tampoco podrá darse una finalidad distinta y en todo caso ha de respetarse la confidencialidad de la información a la que se accede.

Ahora bien, deben articularse mecanismos para dotar de eficacia a los citados principios, como son los registros de accesos a la historia clínica que contengan, al menos, la identificación del profesional que accede, la finalidad, la fecha y hora del acceso y a la información consultada.

En este sentido el artículo 32 del RGPD establece que:

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Previsión que ya recoge la propia LAP en su apartado 7 al indicar que las Comunidades Autónomas regularán el procedimiento para que quede constancia del acceso a la historia clínica y de su uso.

Por su parte, el Grupo de Trabajo del Articulo 29 en su Dictamen WP 131 “Sobre el tratamiento de datos personales relativos a la salud en los historiales médicos electrónicos (HME)” ya ponía de manifiesto la importancia de la adopción de determinadas medidas como las citadas, cuyo fin responde a garantizar los principios que conforman el derecho a la protección de datos, al indicar: b) Por otra parte, habida cuenta de la especial sensibilidad de los datos sobre la salud, es imperativo que no sea posible el acceso de personas no autorizadas. Un control fiable del acceso depende de una identificación y una autenticación fiables. Esto hace necesario identificar de forma única y autenticar correctamente a los usuarios.

Puesto que una de las principales ventajas de los sistemas de HME es su disponibilidad para el acceso por vía electrónica con independencia de la hora y la localización, será necesario establecer unas rutinas para la identificación y autenticación electrónicas fiables. La autenticación mediante la firma electrónica, que se concede a usuarios autorizados junto con una identificación oficial adecuada, por ejemplo en tarjetas inteligentes especiales, debe preverse al menos en una perspectiva a más largo plazo, a fin de evitar los riesgos conocidos de la autenticación mediante contraseña.

Para los profesionales de la salud será necesario desarrollar un sistema de identificación y autenticación, que pruebe no sólo la identidad, sino también la calidad en que actúa electrónicamente, por ejemplo, como psiquiatra o como enfermera.”

En conclusión, en la medida en que el acceso por parte de los servicios de inspección médica del Servicio de Salud de Canarias a la historia clínica de los usuarios del sistema nacional de salud, supone una excepción a la finalidad descrita en la LAP, (ya que permite que profesionales que no forman parte del proceso asistencial tenga acceso a determinada información) , la adopción de mecanismos y garantías como los descritos que sirvan al cumplimiento de los principios de minimización, limitación de finalidad y confidencialidad resultan imprescindibles para garantizar el derecho a la protección de datos de los usuarios del sistema nacional de salud.

VII

Finalmente indicar que, en relación con la posibilidad de acceder a historias clínicas por parte de los servicios de inspección médica del Instituto Nacional de la Seguridad Social, se emitió el Informe 362/2010 a solicitud del Servicio Canario de Salud, y que por la similitud a las cuestiones ahora planteadas procede reproducir su contenido:

(…)I

La consulta plantea, en primer lugar, la conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, y en su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre, del acceso por parte del personal de la inspección del Instituto Nacional de la Seguridad Social a los datos incluidos en las historias clínicas de los pacientes que se encuentren o se hayan encontrado en situación de incapacidad temporal en virtud de un Convenio para el control de la incapacidad temporal, celebrado entre la consultante y el Instituto Nacional de la Seguridad Social.

Del tenor de la consulta se desprende que dicho convenio viene a asimilarse a los que han sido objeto de análisis por parte de esta Agencia en informe de 18 de mayo de 2011, referentes a convenios ya celebrados entre el citado Instituto y los Departamentos de salud de las Comunidades de Madrid, Cataluña y Valencia, cuyo contenido y conclusiones son, a juicio de esta Agencia suficientes para dar respuesta a las cuestiones planteadas en esta primera consulta, por lo que a continuación se reproduce su contenido:

“En virtud del citado convenio se establece un marco de cooperación entre ambas administraciones para “el desarrollo del Programa Específico, que se acompaña como parte integrante del Convenio. Con él, se pone en marcha un programa de estudio y seguimiento en procesos de IT de corta duración. Asimismo se inicia un proceso para que los Inspectores Médicos del INSS accedan a la base de datos informatizada de las historias clínicas”.

De este modo, la Administración sanitaria se compromete a “realizar las actividades encaminadas a capacitar a los Inspectores Médicos del INSS para el acceso informatizado a las historias clínicas desde su puesto de trabajo”.

El programa de desarrollo de estas actividades aparece recogido en el Anexo del Convenio, estableciéndose como segunda de las mismas la relativa al acceso por los inspectores del INSS a la documentación contenida en las historias clínicas, a cuyo efecto se indica lo siguiente:

“Con este objetivo, ambas administraciones firmantes se comprometen a desarrollar las actividades necesarias a fin de alcanzar, para los Inspectores Médicos del INSS en la Comunidad, la capacidad de acceder informáticamente, a las historias clínicas correspondientes a los procesos de incapacidades laborales que se gestionen en su territorio.

La consecución de este objetivo, exige la elaboración de un plan de actividades secuenciales que habrá de especificar la Comunidad, estableciendo un calendario de ejecución de las mismas para el año 2010. Dicho plan de actividades y la ponderación que éstas tengan entre sí será objeto de consenso en la Comisión Mixta Central de seguimiento.”

Se plantea, en consecuencia, si será posible el citado acceso, que deberá ser considerado como una cesión de datos de carácter personal, definida en el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”.

Además, tratándose del acceso a datos de la historia clínica deberá tenerse en cuenta que los mismos deben ser considerados como datos relacionados con la salud de las personas, dado el concepto establecido por el artículo 5.1 del Reglamento de desarrollo de la Ley Orgánica, que en su apartado g) define como tales a “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética”.

De este modo, el tratamiento y cesión de los datos de carácter personal relacionados con la salud queda sometido al régimen específico establecido por el artículo 7.3 de la Ley Orgánica, a cuyo tenor “Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente”.

Sentada esta premisa, y en relación con la cesión de datos relacionados con la historia clínica la norma de referencia a tener en consideración, junto con la Ley Orgánica 15/1999 a la que se viene haciendo referencia es la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, cuyo artículo 16 regula los posibles accesos a la historia clínica, disponiendo en sus apartados 2 a 5 lo siguiente:

“2. Cada centro establecerá los métodos que posibiliten en todo momento el acceso a la historia clínica de cada paciente por los profesionales que le asisten.

El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

El personal de administración y gestión de los centros sanitarios sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones.

El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.”

El último de los apartados citados podría otorgar cobertura a la cesión planteada en el presente caso, dado que el personal del Instituto Nacional de la Seguridad Social sería el de carácter inspector. No obstante, del tenor de la norma parece desprenderse que la función inspectora a la que se refiere el precepto aparecería vinculada a la evaluación y control de la calidad de la prestación sanitaria, lo que plantearía el problema de su efectivamente la cesión encuentra cobertura en tal precepto.

Por otra parte, las limitaciones establecidas por el citado artículo 16 no implican necesariamente que los datos de la historia clínica puedan ser únicamente objeto de acceso en los supuestos allí enumerados, sino que podría ser admisible una cesión en caso de contarse con otra norma con rango de Ley que la habilitase.

En este sentido se ha pronunciado esta Agencia Española de Protección de datos en resolución de 31 de julio de 2008, recaída en el procedimiento E/00205/2008, en que se señalaba lo siguiente:

“En el presente caso el hecho denunciado consiste en que se facilitaron los datos personales del denunciante y de las historias clínicas de sus pacientes, por parte de SALUD ARAGÓN, a los inspectores médicos del Cuerpo de Inspección Sanitaria de la Administración de la Seguridad Social, designados para la instrucción del expediente disciplinario que se acordó incoar al denunciante y dentro de la tramitación de dicho expediente, como datos necesarios para dicha instrucción.

En primer lugar, el citado artículo 11 de la LOPD, permite la comunicación de los datos personales del afectado, a un tercero, sin necesidad de obtener previamente su consentimiento, cuando así lo disponga una Ley. Así, para el presente caso, el citado artículo 16.5 de la Ley 41/2002, prevé que “el personal debidamente acreditado que ejerza funciones de inspección” acceda a las historias clínicas de los pacientes. Por lo tanto, el personal médico de Cuerpo de Inspección Sanitaria, que desempeña la función de Inspección estaba habilitado legalmente para acceder a las historias clínicas de los pacientes, y poder ejercitar, de acuerdo con la normativa establecida, las funciones propias de su cargo.

En segundo lugar, encontramos en la redacción dada por la citada Ley 55/1999 que los inspectores del Cuerpo de Inspección Sanitaria de la Administración de la Seguridad Social, son considerados de autoridad pública en el ejercicio de esa función, en calidad de lo cual, reciben de las autoridades y de sus agentes la colaboración que necesitan. Por tanto, dentro de la tramitación del expediente disciplinario incoado al denunciante, se facilitó a los inspectores la documentación, que consideraron necesaria para efectuar dicha tramitación, tanto del denunciante, como de sus pacientes.

En tercer lugar, el citado artículo 16.6 de la Ley 41/2002, garantiza que el citado personal que accede a dichos datos en el ejercicio de sus funciones queda sujeto al deber de secreto. Por tanto, establece las medidas necesarias para que esos datos permanezcan dentro del ámbito laboral-sanitario, sin que puedan trascender fuera de él, respetando los principios de garantía establecidos por la LOPD, como es el deber de secreto.

Así pues, de acuerdo a lo anterior expuesto, la actuación del SERVICIO ARAGONÉS DE SALUD fue conforme a la normativa legal establecida y no se observa vulneración alguna a la LOPD.”

Pues bien, en el supuesto objeto del presente informe, el Convenio se celebra al amparo de lo previsto en la disposición adicional undécima del texto Refundido de la Ley General de la Seguridad Social, aprobada por Real decreto Legislativo 1/1994, de 20 de junio, cuyo apartado 3 dispone en su párrafo primero que “Las disposiciones reglamentarias a que se refieren los meros anteriores establecerán, con respeto pleno a las competencias del sistema público en el control sanitario de las altas y las bajas, los instrumentos de gestión y control necesarios para una actuación eficaz en la gestión de la prestación económica por incapacidad temporal llevada a cabo tanto por las entidades gestoras como por las Mutuas”, añadiendo el párrafo segundo que “De igual modo, las entidades gestoras o las Mutuas podrán establecer acuerdos de colaboración con el Instituto Nacional de Gestión Sanitaria o los Servicios de Salud de las Comunidades Autónomas”.

La disposición adicional quincuagésima segunda del citado Texto Refundido establece que “Hasta el cumplimiento de la duración máxima de trescientos sesenta y cinco días de los procesos de incapacidad temporal del Sistema de la Seguridad Social, el Instituto Nacional de la Seguridad Social, y, en su caso, el Instituto Social de la Marina, a través de los Inspectores Médicos adscritos a dichas entidades, ejercerán las mismas competencias que la Inspección de Servicios Sanitarios de la Seguridad Social u órgano equivalente del respectivo Servicio Público de Salud, para emitir un alta médica a todos los efectos. Cuando el alta haya sido expedida por el Instituto Nacional de la Seguridad Social o el Instituto Social de la Marina, éstos serán los únicos competentes, a través de sus propios médicos, para emitir una nueva baja médica en la situación de incapacidad temporal si aquélla se produce en un plazo de ciento ochenta días siguientes a la citada alta médica por la misma o similar patología”.

Por último, conforme al párrafo segundo de la disposición adicional cuadragésima “Las entidades gestoras de la Seguridad Social, en el ejercicio de sus competencias de control y reconocimiento de las prestaciones, podrán solicitar la remisión de los partes médicos de incapacidad temporal expedidos por los servicios públicos de salud, las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social y las empresas colaboradoras, a efectos del tratamiento de los datos contenidos en los mismos. Asimismo, las entidades gestoras y las entidades colaboradoras de la Seguridad Social podrán facilitarse, recíprocamente, los datos relativos a las beneficiarias que resulten necesarios para el reconocimiento y control de las prestaciones por riesgo durante el embarazo y riesgo durante la lactancia natural”.

Estas previsiones aparecen desarrolladas en el ámbito regulado por el Convenio objeto del presente informe por el Real Decreto 575/1997, de 18 de abril, por el que se regulan determinados aspectos de la gestión y control de la prestación económica de la Seguridad Social por incapacidad temporal, cuya artículo

3.1 dispone que “los actos de comprobación de la incapacidad que lleven a cabo los médicos del respectivo Servicio Público de Salud, de las Entidades Gestoras de la Seguridad Social o de las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social deberán basarse tanto en los datos que fundamenten el parte médico de baja, y de los partes de confirmación de la baja, como en los derivados específicamente de los ulteriores reconocimientos y dictámenes realizados por unos y otros médicos”.

El propio artículo 3 establece en sus apartados 3 y 4 determinadas especificaciones a fin de garantizar la confidencialidad de las informaciones y la protección de los datos de carácter personal. Así en cuanto a la primera, establece el artículo 3.3 que “los datos derivados de las actuaciones médicas a que se refiere este artículo tendrán carácter confidencial, estando sujetos quienes los consulten al deber de secreto profesional. Dichos datos no podrán ser utilizados con fines discriminatorios ni en perjuicio del trabajador, ni para otras finalidades distintas del control de los procesos de incapacidad temporal”.

Asimismo, según el artículo 3.4, “para garantizar el derecho a la intimidad de los trabajadores afectados, los datos reservados podrán cifrarse mediante claves codificadas. En todo caso, dichos datos quedarán protegidos según lo dispuesto en la Ley 5/1992, de 29 de octubre, sobre tratamiento automatizado de los datos de carácter personal”, hoy reemplazada por la Ley Orgánica 15/1999..

El seguimiento de la prestación se regula igualmente en el artículo 4 del Real decreto, que estipula lo siguiente:

“1. Las Entidades Gestoras o las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, según corresponda, ejercerán el control y seguimiento de la prestación económica de incapacidad temporal objeto de cobertura, pudiendo realizar a tal efecto aquellas actividades que tengan por objeto comprobar el mantenimiento de los hechos y de la situación que originaron el derecho al subsidio, a partir del momento en que corresponda a aquéllas asumir la gestión del gasto de la prestación económica por incapacidad temporal, sin perjuicio de sus facultades en materia de declaración, suspensión, anulación o extinción del derecho, y de las competencias que corresponden a los Servicios Públicos de Salud en orden al control sanitario de las altas y las bajas médicas.

2. Los servicios médicos del Sistema Nacional de Salud, los médicos adscritos a las Entidades Gestoras, así como los de las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, están facultados para acceder a los informes y diagnósticos relativos a las situaciones de incapacidad temporal, a fin de ejercitar las respectivas funciones encomendadas. Los datos referentes al estado sanitario del trabajador tendrán la consideración de confidenciales, siéndoles de aplicación lo previsto en los apartados 3 y 4 del artículo 3.”

Por último, el artículo 8 se refiere a la cooperación entre las Administraciones Públicas implicadas, estableciendo en primer lugar, como criterio general la posibilidad de desarrollar acuerdos como el objeto del presente informe, al indicar que “la cooperación y coordinación en la gestión de la incapacidad temporal entre las Entidades Gestoras de la Seguridad Social o las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, el Instituto Nacional de la Salud, y los Servicios de Salud de las Comunidades Autónomas se instrumentarán institucionalmente a través de acuerdos, teniendo en cuenta los criterios que establezca, en su caso, el Consejo Interterritorial del Sistema Nacional de la Salud. Los referidos acuerdos podrán ser desarrollados a través de convenios específicos”.

Finalmente, conforme al artículo 8.2, “en virtud de la referida cooperación y coordinación, las entidades que suscriban los acuerdos y convenios promoverán el perfeccionamiento y la utilización en común de la información, con el fin primordial de hacer más eficaz el seguimiento y control de la gestión relativa a las situaciones de incapacidad temporal”.

Quiere todo ello decir que el acceso por los inspectores del Instituto Nacional de Seguridad Social a los datos contenidos en las historias clínicas relacionadas con los episodios que impliquen una situación de incapacidad temporal se encuentra amparada por el artículo 7.3 de la Ley Orgánica 15/1999, en conexión con lo previsto en las disposiciones adicionales cuadragésima y quincuagésima segunda de la Ley General de Seguridad Social, conforme las mismas aparecen desarrolladas por los artículos 3, 4 y 8 del Real decreto 575/1997, de 18 de abril. Por ello, el acceso planteado en el Convenio es conforme a lo establecido en la Ley Orgánica 15/1999.

Lógicamente, el acceso a los datos deberá limitarse a los necesarios para el adecuado desarrollo del Convenio sometido a informe, de forma que dicho acceso se limite a los datos “adecuados, pertinentes y no excesivos” en relación con el objeto del convenio, sin comprender necesariamente toda la historia clínica del paciente. A tal efecto deberían implantarse medidas que limitasen la autorización del usuario para el acceso a toda la historia clínica, reduciéndose a las informaciones citadas. No obstante, esta Agencia no puede valorar qué informaciones de las contenidas en la historia resultará adecuada a la finalidad perseguida, debiendo ser esa cuestión resuelta por la administración autonómica competente en el marco de la ejecución del convenio de colaboración.

Aplicando tales conclusiones al supuesto ahora planteado debe señalarse que, como se indica en la consulta reproducida, el acceso no debería ser indiscriminado, sino limitarse a los datos de la historia clínica que se encontrasen vinculados con el proceso asistencial causante de la situación de incapacidad temporal, si bien es posible que puedan existir determinadas informaciones de la historia que se encuentren directamente vinculadas con dicha situación respecto de las que debería igualmente verificarse el acceso, cuestión esta que por razones lógicas no puede resolver esta Agencia Española de Protección de Datos.

En cuanto al acceso a la historia por el persona que realice las actuaciones de inspección sanitaria, cabría considerar que el mismo se encuentra amparado por el artículo 16.5 de la Ley 41/2002, teniendo en cuenta lo que se ha venido señalando en el informe reproducido, siempre que dicho servicio sea el titular de las funciones relacionadas con la comprobación de la calidad de la asistencia sanitaria.(…).

VI

Una vez analizado el marco legal aplicable a los accesos a la historia clínica en los procedimientos de incapacidad temporal, procede hacer referencia a la naturaleza jurídica de las mutuas y su condición en relación con los tratamientos de datos personales.

En este sentido, debe partirse de que el texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, regula en la sección segunda de su capítulo VI las mutuas colaboradoras con la Seguridad Social. El artículo 80 de dicha norma, relativo a su definición y objeto establece lo siguiente:

“Son mutuas colaboradoras con la Seguridad Social las asociaciones privadas de empresarios constituidas mediante autorización del Ministerio de Empleo y Seguridad Social e inscripción en el registro especial dependiente de este, que tienen por finalidad colaborar en la gestión de la Seguridad Social, bajo la dirección y tutela del mismo, sin ánimo de lucro y asumiendo sus asociados responsabilidad mancomunada en los supuestos y con el alcance establecidos en esta ley.

Las mutuas colaboradoras con la Seguridad Social, una vez constituidas, adquieren personalidad jurídica y capacidad de obrar para el cumplimiento de sus fines. El ámbito de actuación de las mismas se extiende a todo el territorio del Estado.

Las mutuas colaboradoras con la Seguridad Social tienen por objeto el desarrollo, mediante la colaboración con el Ministerio de Empleo y Seguridad Social, de las siguientes actividades de la Seguridad Social:

La gestión de las prestaciones económicas y de la asistencia sanitaria, incluida la rehabilitación, comprendidas en la protección de las contingencias de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, así como de las actividades de prevención de las mismas contingencias que dispensa la acción protectora.

La gestión de la prestación económica por incapacidad temporal derivada de contingencias comunes.

La gestión de las prestaciones por riesgo durante el embarazo y riesgo durante la lactancia natural.

La gestión de las prestaciones económicas por cese en la actividad de los trabajadores por cuenta propia, en los términos establecidos en el título V.

La gestión de la prestación por cuidado de menores afectados por cáncer u otra enfermedad grave.

Las demás actividades de la Seguridad Social que les sean atribuidas legalmente.”

El artículo 82 de la citada Ley establece las particularidades de prestaciones y servicios gestionados por las mutuas, disponiendo su número primero que “Las prestaciones y los servicios atribuidos a la gestión de las mutuas colaboradoras con la Seguridad Social forman parte de la acción protectora del sistema y se dispensarán a favor de los trabajadores al servicio de los empresarios asociados y de los trabajadores por cuenta propia adheridos conforme a las normas del régimen de la Seguridad Social en el que estén encuadrados y con el mismo alcance que dispensan las entidades gestoras en los supuestos atribuidos a las mismas, con las particularidades establecidas en los siguientes apartados.”

En cuanto a su posición jurídica en relación con el tratamiento de datos personales, las mismas ostentan la de responsable del tratamiento, tal y como señalábamos en el Informe 100/2018:

Así pues, las Mutuas actuarán en calidad de responsables del tratamiento respecto de aquellos tratamientos de datos personales que efectúen en el ejercicio de las funciones que el texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, les atribuye cuando las empresas y los trabajadores por cuenta propia contratan con ellas las contingencias profesionales, la prestación económica por incapacidad temporal derivada de contingencias comunes y la protección por cese de actividad, ya que, en tales supuestos, el acceso a los datos por parte de las Mutuas no constituye un tratamiento realizado por cuenta de las empresas que con ellas contratan y sujeto a las instrucciones de éstas, sino que tales tratamientos vienen determinados en la propia Ley de la Seguridad Social.

Por consiguiente, planteándose en la consulta la posible legitimación para el tratamiento de los datos de saludo por los Servicios Públicos de Salud y las mutuas en los procedimientos de incapacidad temporal, la misma se encontraría, tal y como ha reconocido expresamente el legislador en los artículos 6.1. e) y 9.2 h), del Reglamento (UE) 2016/679.

No obstante, dicha legitimación no permite un intercambio de la información que forma parte de la historia clínica como el que se pretende en la consulta, ya que, tal y como se ha analizado en el presente informe, los tratamientos de datos de salud deben realizarse en los términos y con observancia de las limitaciones y garantías específicas recogidas en las normas legales que los legitiman, que no han previsto dicho intercambio generalizado, facultando el acceso a las historias clínicas, con carácter general, a las entidades gestoras y a la inspección médica.

Por otro lado, un tratamiento como el pretendido también podría ser contrario a los principios recogidos en el artículo 5 de dicho Reglamento. En este sentido, ya existen precedentes de sanciones impuestas por esta Agencia como consecuencia de la infracción de dichos principios en casos análogos al planteado, como el PS/00262/2021, en el cual se sancionó a un centro médico que facilitó a una mutua datos de salud previos a la realización de la prueba que había realizado a instancia de la mutua, por infracción del principio de confidencialidad del artículo 5.1.f) del RGPD.

Cuestión distinta es cuando, atendiendo a las circunstancias del caso concreto, existe una vinculación y ese acceso se produce a través del Servicio de Inspección Médica, tal y como se razona en la Sentencia de la Audiencia Nacional de 20 de septiembre de 2020 (Recurso 186/2019):

A todo lo cual debe añadirse que esta Sala no aprecia la infracción del deber de seguridad por la que se sanciona en la Resolución de la AEPD impugnada, pues además de que dicha resolución no especifica ni razona qué concreta infracción las medidas de seguridad contempladas en la Ley y/o en el Reglamento de Protección de Datos vulnera la conducta del Hospital actor, sí se cumple con el principio de vinculación, contrariamente a lo argumentado por tal Agencia, tomando en consideración que los médicos de la Mutua MUGENAT, que a través del Servicio de Inspección Médica accedieron a la cita médica privada de la denunciante, sí tenían relación asistencial con la misma. Y dado que la historia clínica única en cada centro hospitalario, cuyo objetivo, como se ha indicado, es obtener la máxima integración posible de la documentación clínica de cada paciente, se adecua a la normativa de aplicación, tanto la Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo (aprobado por RD 1720/2007 (RCL 2008, 150) ) como la Ley de Autonomía del Paciente, y también a la Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud.

Por último, en relación con la posible legitimación por el consentimiento de los afectados, debe recordarse que en estos supuestos se presume que el mismo no es libre, tal y como se recoge en el Considerando 43 del RGPD:

Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.


  1. 1 Todas las disposiciones, instrucciones, criterios, respuestas a consultas de organismos de la Administración, etcétera, que se incluyen en esta sección se reproducen literalmente y están accesibles en el Portal de Transparencia del Gobierno.

    Selección y notas a cargo de José Luis Monereo Pérez y Guillermo Rodríguez Iniesta

  1. 2 El art. 39 del RD 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, dispone

    Artículo 39. Información sanitaria.

    1. El servicio de prevención colaborará con las autoridades sanitarias para proveer el Sistema de Información Sanitaria en Salud Laboral. El conjunto mínimo de datos de dicho sistema de información será establecido por el Ministerio de Sanidad y Consumo, previo acuerdo con los órganos competentes de las Comunidades Autónomas, en el seno del Consejo Interterritorial del Sistema Nacional de Salud. Las Comunidades Autónomas en el ámbito de sus respectivas competencias, podrán desarrollar el citado sistema de información sanitaria.

    2. El personal sanitario del servicio de prevención realizará la vigilancia epidemiológica, efectuando las acciones necesarias para el mantenimiento del Sistema de Información Sanitaria en Salud Laboral en su ámbito de actuación.

    3. De efectuarse tratamiento automatizado de datos de salud o de otro tipo de datos personales, deberá hacerse conforme a la Ley Orgánica 5/1992, de 29 de octubre.

  1. 3 Accesible en: https://www.sanidad.gob.es/ciudadanos/saludAmbLaboral/docs/guiavigisalud.pdf

  1. 4 Accesible en: https://www.osalan.euskadi.eus/contenidos/informacion/nueva_historia_clinica_laboral/es_jt120903/adjuntos/presentacion_historia_clinica_jt140219.pdf

  1. 5 Accesible en https://dsp.facmed.unam.mx/wp-content/uploads/2022/02/HISTORIA_CLINICA.pdf