El Consejo de Transparencia y Protección de Datos de Andalucía (CTPD) ha emitido un Dictamen en el que indica que el derecho de acceso que ejercite un paciente a su historia clínica puede suponer, a su vez, el acceso a los datos de los profesionales que accedieron a la misma y, en particular, cuando dichos accesos supongan dudas razonables sobre su legitimidad. 

El RGPD regula las consideraciones generales sobre el derecho de acceso incluyendo el contenido mínimo en que deba consistir la historia clínica, siendo la Ley de Autonomía del Paciente la que regula el régimen de acceso a la misma. El RGPD dispone que el paciente tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en su caso, el acceso a sus datos personales. Sin embargo, el RGPD no otorga el derecho a que el paciente pueda obtener información relativa a la identidad de los profesionales que llevaron a cabo operaciones de consulta de dicho historial, salvo en aquellos supuestos en los que esa información resulte indispensable para permitir al paciente el ejercicio efectivo de los derechos que le conciernen bajo el RGPD. Asimismo, es preceptivo cumplir con la obligación de llevar a cabo una ponderación entre los derechos y libertades de quienes efectuaron las referidas consultas y la finalidad misma, que nos permita discernir entre un acceso legítimo o un acceso que pueda atentar contra los derechos y libertades de terceros. 

Partimos de la base de que siempre que sea posible, ha de optarse por aquella modalidad con la que no se vulneren los intereses de otros, teniendo en cuenta que tales consideraciones no deben tener como resultado la negativa de prestar toda la información al interesado. En este sentido, el TJUE precisa que los empleados del responsable del tratamiento no pueden considerarse como destinatarios cuando tratan datos personales bajo la autoridad de aquel y de conformidad con sus instrucciones. En cambio, si el responsable es capaz de comprobar que un empleado ha actuado sin cumplir con los procedimientos establecidos y tratado datos personales para su propia finalidad, en este supuesto, entonces dicho empleado sí tendría la condición de destinatario y el responsable tendría la obligación de informar al interesado de la identidad de éste.

Más información: https://www.ctpdandalucia.es/sites/default/files/inline-files/dictamen-3-2023.pdf