09/12/2013 descargar pdf

Anuncio
Sesión 12 de diciembre de 2013
SEGURIDAD Y PROTECCIÓN DE
DATOS DE LA HISTORIA CLÍNICA
(Se puede acceder directamente a cada documento, activando
la “ herramienta mano” sobre su epígrafe)
1.- SAN 20-jun-2006
2.- SAN 02-feb-2010.
3.- Decreto nº 164-2013 de Galicia
Roj: SAN 2995/2006
Id Cendoj: 28079230012006100479
Órgano: Audiencia Nacional. Sala de lo Contencioso
Sede: Madrid
Sección: 1
Nº de Recurso: 141/2004
Nº de Resolución:
Procedimiento: CONTENCIOSO
Ponente: CARLOS LESMES SERRANO
Tipo de Resolución: Sentencia
SENTENCIA
Madrid, a veinte de junio de dos mil seis.
Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia
Nacional los autos del recurso contencioso-administrativo núm. 141/04 interpuesto por el
Procurador DON JOSE LUIS MARTIN JAUREGUIBEITIA, en nombre y representación de
OSAKIDETZA-SERVICIO VASCO DE SALUD, contra resolución de fecha 20 de octubre de 2003 de
la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, representada y defendida por el Sr.
Abogado del Estado, dictada en el Procedimiento de Infracción de Administraciones Públicas nº
1/2003, incoado contra Osakidetza mediante las Actas de Inspección E/219/2002-I/2/02 y
E/219/2002-I/1/02. La cuantía del recurso es indeterminada.
ANTECEDENTES DE HECHO
PRIMERO.- Por la parte recurrente se interpuso recurso contencioso-administrativo mediante escrito
de fecha 20 de febrero de 2004, acordándose por providencia de esta Sala de fecha 23 de marzo de 2004
su tramitación de conformidad con las normas establecidas en la Ley 29/98 , y la reclamación del expediente
administrativo.
SEGUNDO.- En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito
presentado el 14 de junio de 2004, en el cual, tras alegar los hechos y fundamentos de derecho que estimó
procedentes, terminó suplicando se dictara sentencia por la que, anulando la resolución R/00510/2003, se
declare que Osakidetza-Servicio de Salud Vasco no ha cometido ninguna infracción de las contempladas en
el Reglamento de Seguridad, o bien, subsidiariamente, que dicha infracción es de carácter leve.
TERCERO.- El Abogado del Estado contestó a la demanda mediante escrito presentado el 30 de
septiembre de 2004, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos,
terminó suplicando se dictara sentencia en la que se desestimara el recurso y se confirmara la resolución
administrativa impugnada por ser conforme a Derecho.
CUARTO.-Habiéndose solicitado el recibimiento a prueba de las presentes actuaciones, se acordó el
trámite mediante Auto de 4 de noviembre de 2004 , habiéndose practicado todas las pruebas propuestas por la
parte recurrente con el resultado que es de ver en las actuaciones, y declarado concluso el término probatorio,
se dio traslado a las partes por su orden para conclusiones, quienes las evacuaron en sendos escritos en los
que concretaron y reiteraron sus respectivos pedimentos.
QUINTO.- Conclusos los autos, se señaló para la votación y fallo de este recurso el día 9 de mayo de
2006, fecha en la que tuvo lugar la deliberación y votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don
Carlos Lesmes Serrano, quien expresa el parecer de la Sala.
FUNDAMENTOS JURÍDICOS
1
PRIMERO.- El Servicio Vasco de Salud -OSAKIDETZA- interpone recurso contencioso- administrativo
contra la Resolución de la Agencia de Protección de Datos de 20 de octubre de 2003 por la que se declara
que dicho Servicio ha infringido lo dispuesto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal , en relación con los artículos 10, 12 y 24 del Reglamento de
Medidas de Seguridad, RD 994/1999, de 11 de junio , lo que supone una infracción tipificada como grave en
el artículo 44.3.h) de la citada norma, y se requiere a dicho Servicio para que adopte las medidas de orden
interno que impidan en el futuro pueda producirse una infracción del artículo 9 de la citada Ley Orgánica , con
indicación de que si el requerimiento fuere desatendido la Agencia de Protección de Datos podrá inmovilizar
el fichero.
Hemos de indicar algunos antecedentes para la mejor comprensión de este pleito.
OSAKIDETZA es un Ente Público de Derecho privado adscrito al Departamento de la Administración
General competente en materia de sanidad de País Vasco, creado por Ley 8/1997, de Ordenación Sanitaria
de Euskadi .
En la estructura sanitaria de dicho Servicio, en el ámbito de la atención primaria, existen, entre otras
unidades, las denominadas Unidades de Atención Primaria (UAP). Dichas Unidades estaban informatizadas
de forma local en cada centro sin estar conectados entre sí.
En 1998 OSAKIDETZA inició un proyecto denominado OSABIDE que pretendía la informatización
integral y centralizada de toda la organización sanitaria vasca para facilitar el acceso a la información sanitaria
del paciente desde cualquier punto del ámbito territorial autonómico y en el momento en que se precise, siendo
un sistema de accesibilidad universal a la historia clínica. El proyecto OSABIDE pretende la existencia de una
única base de datos central ubicada en los Servicio Centrales de Osakidetza desapareciendo las bases de
datos existentes en cada una de la Unidades de Atención Primaria.
La Agencia de Protección de Datos recibió numerosas denuncias por la posible vulneración de la
seguridad y confidencialidad por el trasvase de historias clínicas desde los centros originales de atención a
los pacientes.
SEGUNDO.- Tras practicar diversas diligencias de comprobación la Agencia de Protección de Datos
incoó procedimiento sancionador que culminó en la resolución ahora impugnada. La Inspección trató
fundamentalmente de aspectos relativos a la información ofrecida a los afectados, la atención a sus derechos
de acceso, rectificación y cancelación, los aspectos relacionados con la seguridad y confidencialidad de los
datos de carácter personal y al grado de cumplimiento del resto del Reglamento de Medidas de Seguridad,
así como la relación con terceras empresas partícipes en el proyecto de implantación.
Las irregularidades detectadas se recogen como hechos probados en la resolución. Son los siguientes:
"PRIMERO: En relación al Registro de Incidencias, en la Inspección de fecha 10/07/2002 se obtuvo
copia en soporte papel de la estructura del "fichero de incidencia CAU datos.xsl" (doc. 12 del Acta de
inspección) aportado por Osakidetza, en el que se registran las incidencias relativas a telecomunicaciones.
En dicho documento consta la siguiente información:"fecha", "Hora", "f.cierre", "centro", "detector", "Tipo de
incidencia", "descripción" y "acción".
Anexo al citado documento 12 del Acta, figura la descripción del programa que gestiona
las incidencias (excepto las relativas a telecomunicaciones) distribuido en los Centros de
Atención al Usuario (CAU0) denominado "CAU de Osabide-(incidencias)". Las tablas asociadas
a dicho programa son tablas "SIAP_CAU_CONSULTAS:Tabla", "SIAP_CAU_CONSULTASLIN:Tabla",
"SIAP_CAU_DERIVADOA:Tabla","SIAP_CAU_ESTADOS:Tabla y SIAP_CAU_TIPOCOCONSULTA:Tabla".
Dichas tablas figuran en formato Access.
Ni el citado Registro de Incidencias relativo a telecomunicaciones ni en el aplicativo "CAU de Osabide(incidencias)" que gestiona el resto de las incidencias registradas en cada uno de los centros de atención al
usuario (CAU) (Doc. 12 citado) figura un campo de "activación del procedimiento LOPD".
Tampoco ha resultado acreditada la existencia en soporte papel que completan el protocolo de gestión
de incidencias, en los que se especifican los "procedimientos de recuperación de datos", "persona que ejecutó
el proceso", "datos restaurador", "datos que han sido necesarios grabar manualmente" y "autorización del
responsable del fichero para la ejecución de los procedimientos de recuperación".
SEGUNDO: En relación al Inventario de Soportes, en la Inspección de fecha 10/07/2002 se obtuvo
copia en soporte papel de los documentos denominados "Autorización de Entrada y Salida de soportes", DES
2
01(Justificante de Entrega de Soportes, Doc. 27 del Acta) y DES 02,(Registro de Entrada y Salida de Soportes,
Doc. 23 del Acta).
En dichos documentos figura la siguiente información:
En el formulario "DES 01": procedencia, tipo de soporte, identificación del soporte, número de unidades
del soporte, fecha de entrega, hora de entrega, persona que realiza la entrega, entidad que recibe el soporte,
persona que recibe el soporte, un campo de formato libre para describir posibles incidencias,, fecha y firma
del depositante y fecha y firma del depositario.
En el formulario "DES 02": número de registro, entrada/salida, fecha, hora, emisor/receptor, tipo de
soporte, número de soportes, nivel de información y forma de envío/entrega.
En el formulario "Autorización de Entrada y Salida de Soportes": Relación de personas autorizadas para
entrada y salida de soportes y sus cargos laborales y un campo denominado "Autoriza".
TERCERO: En el Documento de Seguridad aportado por Osakidetza en la Inspección de fecha
10/07/2002, resulta acreditada la existencia de Soportes informáticos. En el apartado 2, páginas 11 a 20
del citado Documento, figuran una relación de los equipos que conforman la Plataforma Tecnológica de
Osakidetza, entre los que se encuentran: Servidores de Producción, Servidores de Producción de Bases de
Datos, Servidores de Desarrollo y Test, y Servidores de Red, todos ellos con sus respectivos puestos de
trabajo tanto en Servicios Centrales, Provinciales como Centros Hospitalarios.
CUARTO: En la relación al registro de accesos, en la Inspección de fecha 10/07/2002 se obtuvo copia
de la estructura de la tabla "accesos" que gestiona el registro de accesos (Doc. 34 del Acta de Inspección
de fecha 10/06/2002).
En la citada tabla -denominada "Accesos"- figuran los siguientes campos: "ACCOD, CODPRO,
CODCEN, ACCFCHIN, ACCHORIN, ACCFCHFI, ACCHORFI, USÚA y CODC".
En el apartado 2.25 del Acta de Inspección de fecha 10 de julio de 2002 (página 14 de la citada Acta)
se recoge la descripción del contenido de cada uno de los campos, que son los siguientes:
"ACCOD: contador de accesos realizados, CODPRO: código de profesional, CODCEN: código de
centro, ACCFCHIN: fecha de acceso, ACCHORIN: este campo se utiliza para guardar la hora de acceso pero
el SGBD Oracle almacena la fecha y hora en único campo debiendo formatearla previamente al utilizar Access
para su visualización, formateo que no se ha realizado durante la inspección, ACCFCHFI y ACCHORFI son
campos iguales a los anteriores que recogen la finalización del acceso, USUUA: recoge el código de UAP del
usuario y CODC: se corresponde con el código de comarca del usuario, siendo este campo alternativo con el
del código de UAP, cumplimentándose dependiendo de dónde sea el usuario."
En ninguno de los citados campos figura la información relativa a la identificación del registro accedido.
En el registro de accesos cuya descripción y copia consta en el Doc. 34 del Acta de Inspección de fecha
10 de junio de 2002 no figura la tabla "SIAP.ACC_USU_EXT_HC" ni un campo "C C" o Código de Identificación
Corporativo de paciente.
QUINTO: La aplicación OSABIDE gestiona dos ficheros denominados "Usuarios TIS" (Usuarios de
Tarjeta de Identificación Sanitaria)e "Historial Clínico", ambos inscritos en el Registro General de Protección
de Datos, creados mediante disposición publicada en el Boletín Oficial del País Vasco nª 203 de 26/09/2001.
El fichero de "Usuarios TIS" (Doc. 6 Acta I/1/02) contiene todos los datos de identificación de las
personas que disponen de Tarjeta de Identificación Sanitaria.
El fichero "Historias Clínicas" (Doc.6 Acta I/1/02) contiene las historias clínicas de los pacientes
atendidos en los centros correspondientes a atención especializada. Dicho fichero se encuentra inscrito en el
Registro General de Protección de Datos con el mismo nombre.
Partiendo de estos hechos la resolución de la Agencia recuerda la obligación, recogida en el artículo
9 de la Ley Orgánica 15/1999 , del responsable del fichero y del encargado del tratamiento de adoptar las
medidas técnicas y organizativas que garanticen la seguridad de los datos, medidas que aparecen recogidas
en el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter
personal, aprobado por Real Decreto 994/1999, de 11 de junio .
Pues bien, según la Agencia se aprecian incumplimientos puntuales de las medidas de seguridad
relativas al Registro de Incidencias y especialmente al Registro de Accesos en lo que se refiere a dejar
3
consignado el registro accedido, por lo que se declara la infracción del artículo 44.3.h) de la Ley Orgánica
15/1999. TERCERO.- Los motivos de impugnación recogidos en la demanda y siguiendo su orden son los
siguientes:
1.- Infracción del principio de tipicidad.
El art. 44.3.h) de la LOPD atenta contra este principio al no concretar en la propia ley qué medidas deben
de adoptarse a efectos de determinar la mayor o menor importancia del peligro que se genera con su omisión.
2.- Preclusión del plazo para notificar el acuerdo de inicio del expediente.
El art. 6.2 del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora impone un
plazo de dos meses para dicha notificación, entendiendo que el cómputo del plazo se inicia desde el momento
en que la Administración ha tenido conocimiento de los hechos constitutivos de infracción, plazo que se ha
excedido, por lo que procede la declaración de caducidad del procedimiento.
3.- Indefensión causada por la denegación de una prueba.
Se propuso prueba presencial del inspector en la sede central de Osakidetsa a fin de que comprobara
in situ los extremos alegados y tal prueba fue denegada por la Administración.
4.- Vulneración del principio de presunción de inocencia.
Se ha dado valor a las actas de la Inspección pese a alegar reiteradamente que los inspectores no
llegaron a examinar la totalidad de las tablas que componían el registro de accesos y a pesar de aportar
certificaciones expedidas por las empresas informáticas en las que se recogía que dicho registro recogía todos
los accesos realizados a las historias clínicas de los pacientes.
5.- Los defectos relativos al registro de accesos ya fueron subsanados con anterioridad a que se dictara
la resolución, siendo menores los relativos al registro de incidencias, por lo que la infracción debería calificarse
como leve.
En relación a la identificación en el registro de acceso del registro accedido (historia clínica a la que se
accedía) se señala que queda registrada la identificación del paciente, y por tanto, al registro al que se accede
o intenta acceder, así como los accesos autorizados y los no autorizados.
En relación al registro de incidencias aporta el documento de seguridad de Osakidetza en el que
contempla un procedimiento para registrar incidencias y darles el cauce adecuado.
CUARTO.- Por su parte el Abogado del Estado se opone a la pretensión actora con los siguientes
argumentos:
1.- El procedimiento administrativo sancionador no ha caducado puesto que el plazo de dos meses
previsto en el art. 6 del Reglamento para el ejercicio de la potestad sancionadora no se computa desde el
momento en que la Administración ha tenido conocimiento de los hechos sino desde la fecha del acuerdo
de incoación.
2.- Sobre la denegación de prueba recuerda que los arts. 80. 2 y 3 y 134.4 de la ley 30/1992 no obligan
al instructor a acordar la apertura de período de prueba, pudiendo rechazarlas por improcedentes. En este
caso la prueba era impertinente ya que las inspectoras habían constatado los hechos a través de la inspección
realizada, sin que la corrección o subsanación posterior de las deficiencias apuntadas elimine la infracción.
3.- La Administración ha desplegado una mínima actividad probatoria de cargo que permite desvirtuar
la presunción de inocencia de la actora.
4.- Sobre la presunta infracción del principio de tipicidad señala que el Tribunal Constitucional ha
admitido que se utilicen para la tipificación de la conducta constitutiva de la infracción conceptos jurídicos
indeterminados, admitiéndose también la tipificación por remisión normativa.
5.- La subsanación o corrección posterior de los defectos apuntados no elimina la existencia de la
infracción: incumplimiento de medidas de seguridad preceptivas.
6.- La existencia de un documento de seguridad o la previsión formal de crear mecanismos de garantía
no suponen en sí mismos que dicha seguridad exista. Lo que la ley pretende no es que existan dichos
documentos o procedimientos, sino su implantación efectiva. En el presente caso es claro que no existe el
campo denominado "activación de procedimiento LOPD" y en consecuencia tanto la aplicación distribuidas en
los Centros de Atención al Usuario y la gestionada por los Servicios Centrales en relación con la gestión de
4
incidencias carecen de información relativa a los procedimientos de recuperación de datos, datos restaurados
y, en su caso, qué datos han sido necesario grabar manualmente en el proceso de recuperación, así como la
autorización por escrito del responsable del fichero para la ejecución de los citados procedimientos, tal y como
dispone el art. 21 del Reglamento de Medidas de Seguridad, aprobado por R.D. 994/1999, de 11 de junio .
7.- En cuanto al Registro de Accesos, el Reglamento de Medidas de Seguridad exige que quede
constancia de los registros a los que en cada caso se accede, cuestión ésta especialmente sensible cuando
se trata de datos de salud. Al efecto ha quedado acreditado en el documento 34 del acta de inspección de
fecha 10 de junio de 2002 que no figura la tabla "SIAP.ACC_USU_EXT_HC" ni un campo "C C" o Código de
Identificación Corporativo de paciente" en la que figura la identificación de registro accedido por el usuario
del sistema de información OSABIDE, lo que implica un claro incumplimiento del art. 24.2 del Reglamento de
Medidas de Seguridad .
QUINTO.- Hemos de comenzar el análisis de la cuestión litigiosa por las infracciones procedimentales
denunciadas por la actora, consistente la primera de ellas en la preclusión del plazo para notificar el acuerdo
de inicio del expediente.
El art. 6.2 del Reglamento del Procedimiento para el ejercicio de la Potestad Sancionadora, aprobado
por RD 1398/1993, de 4 de agosto , establece que transcurridos dos meses desde la fecha en que se inició
el procedimiento sin haberse practicado la notificación de éste al imputado, se procederá al archivo de las
actuaciones, notificándoselo al imputado, sin perjuicio de las responsabilidades en que se hubiera podido
incurrir.
El inicio del procedimiento, a diferencia de lo sostenido por el actor, no se produce cuando se recibe una
o varias denuncias, sino cuando la Administración dicta el acuerdo correspondiente de inicio del procedimiento
y es a partir de ese momento cuando comienza a computar el plazo de dos meses a que se refiere el precepto
trascrito, plazo que en el presente caso ha sido respetado por la Agencia de Protección de Datos.
La segunda infracción de procedimiento que se denuncia consiste en la indebida denegación de una
prueba solicitada, denegación que ha producido indefensión a la parte recurrente.
Al respecto hemos de recordar, como hace el Abogado del Estado, que entre las facultades que se
reconocen al instructor del expediente en la ley 30/92 está la de rechazar las pruebas propuestas que considere
impertinentes. En el presente caso la prueba propuesta consistía en la presencia del inspector de la Agencia
de Protección de Datos en la sede central de Osakidetza a fin de que comprobara in situ los extremos alegados
por el Servicio Vasco de Salud. Sobre la pertinencia de esta prueba no parece haber duda, a la vista del
resultado de la prueba pericial practicada en estos autos, que constató unos hechos que bien podían haber
apreciado los inspectores actuantes, pero de la denegación no se ha derivado una indefensión material al
haber podido la parte proponer y practicar pruebas en este proceso encaminadas a desvirtuar el contenido
del acta levantada por los funcionarios de la Agencia.
SEXTO.- Sobre el fondo del asunto litigioso comienza el actor denunciando la infracción de principio de
tipicidad consagrado en el artículo 25 de la Constitución como expresión del más amplio principio de legalidad.
La infracción trae causa de la amplitud de la remisión reglamentaria que realiza el artículo 44.3.h) de
la LOPD al definir la infracción.
El art. 44.3.h) de la LOPD considera como infracción grave "mantener los ficheros, locales, programas
o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen".
La Agencia de Protección de Datos, partiendo de los hechos declarados probados, que han sido
reproducidos en el fundamento primero de esta sentencia, considera que OSAKIDETZA ha incurrido en esta
infracción, infracción cuyos elementos esenciales vienen determinados por un Reglamento.
Sobre esta cuestión hemos de recordar que el Tribunal Constitucional admite ( STC 69/1989 ) que la
tipificación de las infracciones se realice mediante remisión normativa al Reglamento.
Esta misma Sala y Sección, como recuerda el Abogado del Estado, en relación con este mismo precepto
(art. 44.3.h)) ha expresado la suficiencia de la vía reglamentaria como complemento de la ley para determinar
las condiciones de seguridad (SAN de 31 de enero de 2003).
5
SÉPTIMO.- Despejadas las anteriores cuestiones hemos de centrarnos en la fundamental que genera
esta controversia y que radica en determinar si OSAKIDETZA ha infringido la normativa de seguridad que le
es exigible en materia de protección de datos.
Ya en el Convenio de 1981 se establecía en su artículo 8 que se tomarían medidas de seguridad
apropiadas para la protección de los datos contra el acceso, la modificación o la difusión no autorizada y en
el artículo 17 de la Directiva 95/46/CEE se dispone la obligación de los Estados miembros de establecer el
deber que pesa sobre el responsable del fichero de aplicar las medidas adecuadas para la protección de los
datos contra la destrucción accidental o ilícita, la pérdida accidental y contra la alteración, difusión o el acceso
no autorizados, en particular cuando el tratamiento incluya transmisión de datos dentro de una red, y contra
cualquier otra tratamiento ilícito de datos personales.
El artículo 9 de la Ley Orgánica de Protección de Datos se refiere a la seguridad de los datos y sobre
esta materia nos dice lo siguiente:
"1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas
de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la
naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana
o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se
determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las
personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley ."
Este precepto es reproducción del mismo artículo de la ley de 1992 y establece unas obligaciones muy
concretas a cargo del responsable del fichero y, en su caso, del encargado del tratamiento.
El Real Decreto 994/1999, de 11 de junio, aprobó el Reglamento de medidas de seguridad de los
ficheros que contengan datos de carácter personal, Reglamento que tiene por objeto según su artículo
primero establecer las medidas de índole técnica y organizativa necesarias que deben tener los ficheros
automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y personas que intervengan
en el tratamiento.
En su artículo 4 se recogen distintos niveles de seguridad:
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de
seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales,
Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el art. 28 de la Ley
Orgánica 5/1992 , deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida
sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas
afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan
obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio
establecidas en los arts. 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio
de las disposiciones legales o reglamentarias específicas vigentes.
Como vemos la seguridad debe extremarse, entre otros supuestos, cuando se trate de datos relativos
a la salud. En este sentido el Consejo de Europa en su Recomendación de 13 de febrero de 1997 sobre los
derechos del paciente ante el tratamiento informático de sus datos personales, insta a que se vigile para que
estos datos sean manejados por personas autorizadas y aconseja un acceso selectivo a los datos, separando
debidamente los relativos a la identificación de las personas, los datos médicos y los datos administrativos.
Pues bien, entre las medidas de seguridad previstas la propia ley contempla el denominado registro de
incidencias. Hace referencia a él el art. 10 de la ley , según el cual el procedimiento de notificación y gestión de
incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento
6
en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se
hubieran derivado de la misma.
Reproduce este precepto el artículo 10 del Reglamento , añadiendo el artículo 21 que en este registro
deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la
persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar
manualmente en el proceso de recuperación, siendo necesaria la autorización por escrito del responsable del
fichero para la ejecución de los procedimientos de recuperación de los datos.
Según la Agencia de Protección de Datos en los ficheros examinados de la demandante no consta
la existencia del campo denominado "Activación del Procedimiento LOPD" y, en consecuencia, tanto la
aplicación distribuida en los centros de Atención al Usuario (CAU) y la gestionada por los Servicios Centrales
en relación con la Gestión de Incidencias, como aquellas incidencias registradas en formato Excel relativas a
telecomunicaciones, carecen de información relativa a los procedimientos de recuperación de datos, persona
que ejecutó el proceso, datos restaurados y, en su caso, qué datos han sido necesario grabar manualmente en
el proceso de recuperación, así como la autorización por escrito del responsable del fichero para la ejecución
de los citados procedimientos tal y como dispone el art. 21 del Reglamento .
No obstante, la Agencia admite que existe un registro de incidencias en dos ficheros informáticos
denominados "Fichero de Incidencias CAU Datos.xls" y "Programa de Incidencias" con soporte de bases de
datos Access. También reconoce que Osakidetza tiene un procedimiento de Recuperación de Datos que se
encuentra previsto en el Documento de Seguridad.
Además de ello, la resolución impugnada reconoce que el Sistema de Información Osabide cumple con
rigor la mayor parte de las medidas exigibles por el Reglamento de Medidas de Seguridad para los ficheros
que contengan datos de salud y que en materia de Registro de Incidencias sólo se aprecian incumplimientos
puntuales.
Por ello, en materia de Registro de Incidencias no puede afirmarse que Osakidetza haya cometido la
infracción grave de mantener los ficheros que contienen datos de carácter personal sin las debidas condiciones
de seguridad.
OCTAVO.- No obstante el incumplimiento que realmente considera como grave la Agencia de
Protección de Datos es el relativo al control de accesos.
El artículo 12 del Reglamento de seguridad exige que los usuarios tendrán acceso autorizado
únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones y que el responsable
del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos
distintos de los autorizados, añadiendo que exclusivamente el personal autorizado para ello en el documento
de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a
los criterios establecidos por el responsable del fichero.
Por otra parte, el art. 24 recoge los siguientes mandatos referidos a los registros de accesos:
1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se
realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita
identificar el registro accedido.
3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán
bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la
desactivación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad competente se encargará de revisar periódicamente la información de
control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos
una vez al mes.
Según la Agencia de Protección de Datos no ha quedado acreditado la existencia de la tabla
"SIAP.ACC_USU_EXT_HC" ni un campo "C C" o Código de Identificación Corporativo de paciente en el que
figure la identificación del registro accedido por el usuario del Sistema de Información Osabide, tal y como
requiere el art. 24.2 del Reglamento de Medidas de Seguridad para ficheros sujetos a medidas de seguridad
de nivel alto.
7
Esta afirmación de la resolución impugnada, fundada en el acta de la Inspección de Datos, aparece
sin embargo desmentida por el informe pericial practicado por doña Lorea Gámiz Santalla, Ingeniero en
Informática, designada judicialmente, que de forma concluyente indica que tras el estudio del backup anual
(copia de seguridad que realiza un sistema informático) identificado como el backup anual de enero de 2002,
Osakidetza ya disponía de un sistema de registros de accesos a Historiales Clínicos que permitían identificar
la fecha y hora de dichos accesos, así como el profesional que accedía y el paciente a cuyos datos se estaba
accediendo. Asimismo afirma que en el momento de realización del backup anual de enero de 2002, existía una
tabla denominada ACC-USU-EXT-HC y que esta tabla contenía una columna denominada CIC que identifica
el paciente al que pertenecían los datos accedidos, conteniendo ya en dicha fecha la tabla 221413 registros
de acceso.
Queda desvirtuado pues el contenido del acta levantada por la Inspección, fundamento de la resolución
sancionadora y única prueba existente de la infracción apreciada por la Agencia de Protección de Datos.
Atendidas las razones expuestas no puede apreciarse que Osakidetza sea responsable de la infracción
grave del art. 44.3.h) de la ley 15/1999 , consistente en mantener los ficheros que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, por lo que debe
estimarse el recurso contencioso-administrtivo interpuesto frente a la resolución de la Agencia de Protección
de Datos de fecha 20 de octubre de 2003.
NOVENO.- No se aprecian motivos para imponer las costas procesales causadas, conforme a lo previsto
en el artículo 139.1 de la Ley Jurisdiccional. EN NOMBRE DE SU MAJESTAD EL REY
F A L L A M O S:
Que debemos estimar y estimamos el recurso contencioso-administrativo interpuesto por el Procurador
DON JOSE LUIS MARTIN JAUREGUIBEITIA, en nombre y representación de OSAKIDETZA-SERVICIO
VASCO DE SALUD, contra resolución de fecha 20 de octubre de 2003 de la AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS, dictada en el Procedimiento de Infracción de Administraciones Públicas nº
1/2003, incoado contra Osakidetza mediante las Actas de Inspección E/219/2002-I/2/02 y E/219/2002-I/1/02,
resolución que anulamos, sin que proceda hacer mención expresa acerca de las costas procesales causadas,
al no haber méritos para su imposición.
Así, por esta nuestra Sentencia, testimonio de la cual será remitida en su momento a la oficina de origen,
a los efectos legales, junto con el expediente administrativo, lo pronunciamos, mandamos y fallamos.
PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia en la forma legalmente establecida.
Doy fe. En Madrid, a
8
Roj: SAN 565/2010
Id Cendoj: 28079230012010100055
Órgano: Audiencia Nacional. Sala de lo Contencioso
Sede: Madrid
Sección: 1
Nº de Recurso: 453/2009
Nº de Resolución:
Procedimiento: CONTENCIOSO
Ponente: CARLOS LESMES SERRANO
Tipo de Resolución: Sentencia
SENTENCIA
Madrid, a dos de febrero de dos mil diez.
Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional
los autos del recurso
contencioso-administrativo núm. 453/09 interpuesto por la Procuradora DOÑA LUISA ESTRUGO
LOZANO, en nombre y
representación de UNMEQUI SANATORIOS, S.L., contra resolución de fecha 28 de mayo de 2009 de
la Agencia de Protección
de Datos, representada y defendida por el Sr. Abogado del Estado, desestimatoria del Recurso de
Reposición interpuesto contra
la Resolución de 16 de marzo de 2009 dictada en expediente sancionador. La cuantía del recurso es
18.000 Euros.
ANTECEDENTES DE HECHO
PRIMERO.- Por la entidad recurrente se interpuso recurso contencioso-administrativo mediante escrito
presentado el 9 de junio de 2009, acordándose por providencia de 16 de junio siguiente su tramitación de
conformidad con las normas establecidas en la Ley 29/98, y la reclamación del expediente administrativo.
SEGUNDO.- En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito
presentado el 2 de septiembre de 2009, en el cual, tras alegar los hechos y fundamentos de derecho que estimó
procedentes, terminó suplicando se dictara sentencia por la que se declare la inexistencia de responsabilidad
de la recurrente, ordenando el archivo del expediente. Subsidiariamente suplica la imposición de una sanción
de 601 Euros, por comisión de una falta grave, por infracción del artículo 9 LOPD.
TERCERO.- El Abogado del Estado contestó a la demanda mediante escrito presentado el 17 de
noviembre de 2009, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos,
terminó suplicando se dictar sentencia por la que se desestime el presente recurso y confirmando la resolución
administrativa impugnada por ser conforme a Derecho, con imposición de costas a la parte recurrente.
CUARTO.- No habiéndose solicitado por las partes el recibimiento a prueba de las presentes
actuaciones, ni tampoco el trámite de conclusiones orales o escritas, se señaló para la votación y fallo de
este recurso el día 27 de enero de 2010, fecha en la que tuvo lugar la deliberación y votación, habiendo sido
Ponente el Ilmo. Sr. Magistrado Don CARLOS LESMES SERRANO, quien expresa el parecer de la Sala.
FUNDAMENTOS JURÍDICOS
PRIMERO.- UNMEQUI SANATORIOS, S.L. interpone recurso contencioso-administrativo contra la
Resolución de la Agencia Española de Protección de Datos, de fecha 18 de mayo de 2009, por la que se
desestima el recurso de reposición interpuesto contra la Resolución de 16 de marzo de 2009 por la que se le
impuso una sanción de 18.000 euros por la vulneración de lo dispuesto en el art. 9 de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal, infracción tipificada como grave en el art.
44.3.h), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
1
En la resolución originariamente impugnada se declaraban como probados los hechos siguientes:
PRIMERO: Por medio de una denuncia formulada por la Policía Local de Alcalá de Henares se ha tenido
constancia que el día 13/1/07 apareció un vertido de residuos biosanitarios desperdigados en la C/ Diego de
Torres de Alcalá de Henares, junto a los contenedores de basuras urbanos, los cuales, según prueban varios
documentos encontrados, procedían del Sanatorio Vallés, situado en la C/ Santiago 14, muy cerca del lugar
del vertido. (Folios num.14-15)
SEGUNDO: Dichos residuos fueron, al parecer, depositados en una bolsa de basura normal, en la que
había mezclados tantos residuos generales (Clase I) de la clínica junto a otros biosanitarios de la clase II
(guantes de látex, tubos y pequeños recipientes con muestras, bolsas con cuero, tubuladuras, jeringuillas
usadas sin agujas y diferente material clínico). Se desconoce si alguien sacó dicha bolsa del contenedor o fue
depositada directamente fuera del mismo. (Folio num. 14)
TERCERO: Junto a los residuos generales, de los que se ha aportado documentación fotográfica,
se encontraron diferentes informes y documentos médicos y resultados de analíticas, en los que aparecía
nombre y apellidos de pacientes, (se ha adjuntado fotocopias de algunos de dichos documentos), en los que
se encuentran: pruebas diagnósticas a realizar, informe provisional de alta, relación de pacientes para ser
atendidos en una consulta, resultado de una analítica, y una autorización de un prueba diagnóstica.(Folios
num.16 a 22 y 33 a 42)
CUARTO: Con fecha 10/02/06 tuvieron lugar hechos idénticos constatados por agentes de la policía
local: aparición de tres bolsas de basura con residuos biosanitarios y documentación clínica procedente del
Sanatorio Valles. (Folio num.3)
QUINTO: En el Acta de Inspección (E/362/2008-I71), del día 14/01/08, levantada en la sede social de
UNMEQUI SANATORIOS S.L., se tuvo conocimiento de lo siguiente:
a - Unmequi Sanatorios S.L. es una entidad cuyo objeto social es la gestión y administración de centros
de asistencia sanitaria, tanto propios y ajenos, en todo el ámbito nacional. Uno de los centros que gestiona es el
denominado "Sanatorio Vallés", con domicilio en C/ Santiago 14 de Alcalá de Henares, en el que se encuentra
el laboratorio clínico, quirófanos, habitaciones para hospitalización, consultas externas y administración
b - La entidad mantiene un plan de formación a los empleados sobre Protección de Datos de
carácter personal y emite regularmente circulares informando sobre los tratamientos adecuados. Todos los
profesionales que entran a formar parte de la plantilla reciben información sobre los tratamientos adecuados
mediante documentos que deben firmar y que se mantienen dentro de su ficha en el departamento de personal.
c - Respecto al documento encontrado relativo a un análisis clínico, se ha manifestado que el documento
se corresponde con los que emite el laboratorio con los resultados de un análisis de sangre, aunque está
incompleto pues falta una segunda hoja en la que debería aparecer la firma del analista encargado, entre
otros datos.
d - En relación al documento relativo a las guardias médicas, se ha corroborado que el documento se
corresponde con los que se utilizan para controlar los pacientes a tratar en quirófano. El doctor identificado
en dicho documento forma parte de la plantilla del centro.
e - Respecto de los documentos y listados relativos a administración, el personal de administración
realiza las siguientes manifestaciones: El informe provisional de alta se corresponde con el modelo utilizado
por los médicos del centro. El original del referido documento se entrega al paciente y se realiza una fotocopia
que es adjuntada a la historia clínica. El listado se corresponde con el que se elaboraba en el año 2006
utilizando la aplicación que en ese momento se utilizaba en el centro. Dicha aplicación ha sido sustituida por
una nueva. Ese tipo de documento se remitía al centro situado en Guadalajara mediante correo interno, a los
efectos de facturación.
f - Finalmente se comprobó que dentro de una de las historias clínicas existía una copia del informe
provisional de alta aportado en la denuncia.
(Folios num. 53 a 71)
SEXTO: La concurrencia de los siguientes hechos: aparición en la vía pública de bolsa de basura
conteniendo restos biosanitarios y documentación clínica, procedentes del Sanatorio Valles, y denunciados
por la Policía Local de Alcalá de Henares, los días 13/01/07 y 10/02/07, motivó el inicio de procedimiento
2
sancionador iniciado por la Dirección General de Calidad, Acreditación, Evaluación e Inspección, de la
Consejería de Sanidad de la Comunidad de Madrid, por vulneración de las siguientes normas:
Art 3.1.b) del Decreto 83/99, de 3 de junio, en relación con los artículos 17.1 t 3, y artículo 19.1 y 2, del
mismo cuerpo legal (en lo que se refiere al control sobre residuos biosanitarios)
Art 4.1 y 2 de la Ley 41/2002, de 14 de diciembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica, (en lo relativo a la custodia
de documentación clínica) (Folios num. 139)
El apartado sexto de estos hechos probados pone de manifiesto la cuestión nuclear de este pleito.
UNMEQUI SANATORIOS, S.L. ha sido sancionada por los mismos hechos que fueron denunciados por
la Policía Local de Alcalá de Henares por la Dirección General de Calidad, Acreditación, Evaluación e
Inspección, de la Consejería de Sanidad de la Comunidad de Madrid, habiendo invocado la actora tanto en
sede administrativa como en ésta judicial la aplicación del principio del non bis in idem.
La Administración sancionadora rechazó la aplicación de este principio, consagrado en el art. 133 de
la Ley 30/1992, por entender que las infracciones son diferentes por lo que no concurre la identidad de
fundamento exigido en dicho precepto. Es decir, considera que resulta compatible sancionar a la entidad
denunciada por falta de control sobre su documentación clínica (en base a lo establecido en la Ley 41/2002), y
por el incumplimiento del deber de seguridad de los datos y la vulneración del deber de secreto de los mismos
(establecidos respectivamente en los arts. 9 y 10 de la L.O. 15/1999).
Y así literalmente se dice en la Resolución:
No puede estimarse la alegación de la entidad denunciada sobre que el bien jurídico protegido por
la ley 41/2002 y la LOPD es el mismo, pues aunque ambas tutelen el derecho a la intimidad, el desvalor
jurídico producido por la violación de ese derecho no se colma con la aplicación de una sola de las leyes, sino
que necesita el concurso de las dos. Independientemente del hecho de la existencia de concurrencia de la
competencia sancionadora de dos administraciones, hay que tener en cuenta la remisión que el art. 17.6 de
la ley 41/2002 realiza a la LOPD en lo relativo a las medidas técnicas de seguridad que han de cumplirse.
SEGUNDO.- Para el adecuado análisis de la cuestión litigiosa es preciso traer a colación el fundamento
jurídico utilizado por la Dirección General de Calidad, Acreditación, Evaluación e Inspección, de la Consejería
de Sanidad de la Comunidad de Madrid para la imposición de su sanción.
En los folios 108 a 283 del expediente tramitado por la Agencia Española de Protección de Datos se
recoge copia del seguido por la Consejería de Sanidad de la Comunidad de Madrid por razón de la denuncia
formulada contra UNMEQUI SANATORIOS, S.L., por razón de un vertido de residuos biosanitarios junto a
informes y documentos médicos y resultados de analíticas, todo ello encontrado junto a unos contenedores
de basuras urbanos en la calle Diego de Torres de Alcalá de Henares.
El procedimiento sancionador seguido por la Comunidad de Madrid por estos hechos se ultimó con
una resolución de la Directora General de Calidad, Acreditación, Evaluación e Inspección, de fecha 14 de
noviembre de 2007, en la que se apreciaba la existencia de dos infracciones graves: la primera, por la falta de
control sobre los residuos biosanitarios de conformidad con lo dispuesto en el art. 144.3.e) de la Ley 12/2001,
de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid, y, la segunda, por la falta de control
sobre la documentación clínica, de conformidad con lo dispuesto en art. 144.3.e) de la Ley 12/2001, de 21 de
diciembre, de Ordenación Sanitaria de la Comunidad de Madrid.
Es la segunda de las infracciones la que nos interesa examinar a los efectos del non bis in idem.
El art. 144.3.e) de la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de
Madrid tipifica como infracción grave la siguiente conducta:
El incumplimiento, por negligencia grave, de los requisitos, obligaciones o prohibiciones establecidas
en la normativa sanitaria, así como cualquier otro comportamiento que suponga imprudencia grave, siempre
que ocasionen alteración o riesgo sanitario, aunque sean de escasa entidad. Y el mismo incumplimiento y
comportamiento cuando, cometidos por negligencia simple, produzcan riesgo o alteración sanitaria grave. A
los efectos de esta letra, constituirá un supuesto de negligencia la omisión del deber de control o la falta de
los controles y precauciones exigibles en la actividad, servicio o instalación de que se trate.
Incumplimiento que para el caso concreto venía referido no solo respecto del control de residuos
biosanitarios sino también de la normativa contenida en la Ley 41/2002, de 14 de diciembre, básica reguladora
3
de la autonomía del paciente, en cuanto a los derechos y obligaciones de los centros sanitarios en materia
de información y documentación clínica. Concretamente la contenida en el art. 7.1 y 2 de esta Ley cuyo tenor
es el siguiente:
Artículo 7. El derecho a la intimidad.
1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su
salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.
2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se
refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados
que garanticen el acceso legal a los datos de los pacientes.
La sanción impuesta por la Administración autonómica en este segundo supuesto obedece al
incumplimiento por parte del sancionado tanto del deber de confidencialidad respecto de los datos de salud
de los pacientes, como también al incumplimiento de las medidas de seguridad establecidas para garantizar
ese derecho a la intimidad.
Además, y para finalizar el examen del fundamento de la sanción impuesta al recurrente por la
Administración autonómica, tiene interés traer a colación la previsión contenida en el art. 17.6 de la Ley
41/2002, de autonomía del paciente, cuyo tenor literal es el siguiente: "Son de aplicación a la documentación
clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los
ficheros que contienen datos de carácter personal y en general, por la Ley Orgánica 15/1999, de Protección
de Datos de Carácter Personal".
No ofrece duda al Tribunal que el incumplimiento de las medidas de seguridad respecto de la
documentación clínica por las que UNMEQUI SANATORIOS, S.L., ha sido sancionada por la Dirección
General de Calidad, Acreditación, Evaluación e Inspección de Consejería de Sanidad de la Comunidad
Autónoma de Madrid, son las establecidas por la Ley Orgánica 15/1999 y sus normas de desarrollo.
Por su parte, la Agencia Española de Protección de Datos ha sancionado al recurrente por la infracción
del art. 9 de la LOPD cuyo tenor literal es el siguiente:
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas
de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la
naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana
o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se
determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las
personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Como la propia Resolución de la Agencia establece este art. 9 de la LOPD establece el principio de
"seguridad de los datos" imponiendo la obligación de adoptar las medidas de índole técnica y organizativa
que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, los
"accesos no autorizados", especialmente cuando se trata de datos especialmente protegidos como son los
datos de salud por proporcionar información de las esferas íntimas del individuo.
TERCERO.- El Tribunal Constitucional, desde sus primeras sentencias, se ha pronunciado sobre el
principio del "non bis in idem". Ya en la de 30 enero 1981 reconoce este principio como una manifestación
del principio de legalidad de las infracciones que recoge el art. 25 CE encaminado a encauzar en los términos
de un Estado de Derecho (art. 1 CE) el ius puniendi del Estado, ya sea en el ámbito penal o en el ámbito
sancionador administrativo.
Este principio tiene una doble vertiente -material y procesal- aunque es la material la más relevante
desde la perspectiva constitucional. En efecto, desde el punto de vista material el principio postula que no haya
duplicidad de sanciones por los mismos hechos, ya sean sanciones penales y administrativas, ya sean dos
sanciones administrativas como aquí ocurre. Desde el punto de vista procesal, y como correlato inevitable del
aspecto material del principio, implica que el mismo hecho no puede ser objeto de dos procedimientos distintos.
4
Aunque este principio no esté consagrado de manera expresa en la Constitución sí lo está en la Ley de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (Ley 30/1992) y
en el Reglamento del Procedimiento para el ejercicio de la Potestad Sancionadora aprobado por Real Decreto
1398/1993, de 4 de agosto. Así, el art. 133 de la Ley 30/1992 establece que no podrán sancionarse los
hechos que hayan sido sancionados penal o administrativamente, en los casos en que se aprecie identidad
del sujeto, hecho y fundamento, y el art. 4.6 del Reglamento indicado establece que no se podrán iniciar
nuevos procedimientos sancionadores por hechos o conductas tipificados como infracciones en cuya comisión
el infractor persista de forma continuada, en tanto no haya recaído una primera resolución sancionadora de
los mismos, con carácter ejecutivo.
Pues bien, es claro en el caso enjuiciado que la Agencia Española de Protección de Datos vulneró este
principio en su vertiente material al sancionar una conducta que le constaba que ya había sido sancionada
previamente -así se recoge en la propia resolución- existiendo identidad de hechos, sujeto y fundamento.
Sobre la identidad de los hechos y del sujeto ninguna duda existe pues la propia Administración así
lo reconoce. El sujeto es UNMEQUI SANATORIOS, S.L., en ambos casos y el hecho es el abandono de
determinada información clínica en unos contenedores de basura en Alcalá de Henares.
En cuanto a la identidad del fundamento, negada por la Agencia en su resolución, tampoco cabe
ninguna duda. En el fundamento segundo de esta sentencia se ha recogido, extraído además de las propias
resoluciones administrativas, el fundamento utilizado para sancionar por ambas Administraciones siendo
totalmente coincidente: vulneración de las medidas de seguridad contempladas en la LOPD respecto de los
datos relativos a la salud. La Resolución de la Dirección General de Calidad, Acreditación, Evaluación e
Inspección, de fecha 14 de noviembre de 2007, se aprecia, junto a otra infracción, la del art. 144.3.e) de la
Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid, por la falta de control
sobre la documentación clínica, de conformidad con lo establecido en el art. 7 de la Ley 41/2002, de 14 de
diciembre, básica reguladora de la autonomía del paciente, en cuanto a los derechos y obligaciones de los
centros sanitarios en materia de información y documentación clínica, Ley que se remite -ex art. 17.6 de la
misma- a la normativa contemplada en la LOPD sobre seguridad de los datos, y por tanto, con remisión al art. 9
de dicha Ley Orgánica. Esta infracción determina la imposición de una sanción que es firme. Con conocimiento
de este Resolución y de su fundamento -consta en el expediente y se hace referencia a ella en la propia
Resolución aquí impugnada- la Agencia Española de Protección de Datos impone una nueva sanción por
infracción del art. 9 de la LOPD, relativo a las medidas de seguridad.
La evidente coincidencia del fundamento utilizado por ambas Administraciones para la imposición de
las sanciones no merece más glosa, resultando incomprensible para esta Sala el argumento de la Agencia de
que no hay identidad de fundamento porque existen dos infracciones.
En virtud de lo expuesto debe acogerse este motivo de impugnación y con fundamento en lo establecido
en el art. 133 de la Ley 30/1992 anular la Resolución impugnada con estimación del recurso contenciosoadministrativo.
CUARTO.- No se aprecia temeridad o mala fe para la imposición de las costas procesales, de
conformidad con lo dispuesto en el artículo 139.1 de la LRJCA.
FALLAMOS
PRIMERO.- ESTIMAR el recurso contencioso-administrativo interpuesto por la Procuradora DOÑA
LUISA ESTRUGO LOZANO, en nombre y representación de UNMEQUI SANATORIOS, S.L., contra resolución
de fecha 28 de mayo de 2009 de la Agencia de Protección de Datos, representada y defendida por el Sr.
Abogado del Estado, desestimatoria del Recurso de Reposición interpuesto contra la Resolución de 16 de
marzo de 2009 por la que se le impuso una sanción de 18.000 euros por la vulneración de lo dispuesto en el
art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, infracción
tipificada como grave en el art. 44.3.h), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada
Ley Orgánica, Resoluciones ambas que anulamos por ser contrarias a Derecho.
SEGUNDO.- Declarar las costas de oficio por no haber mérito para su imposición.
Así por esta nuestra sentencia lo pronunciamos mandamos y fallamos.
PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia en la forma legalmente establecida.
Doy fe. En Madrid, a
LA SECRETARIA
5
Mª ELENA CORNEJO PÉREZ
6
DOG Núm. 213
Jueves, 7 de noviembre de 2013
Pág. 43501
I. DISPOSICIONES GENERALES
CONSELLERÍA DE SANIDAD
DECRETO 164/2013, de 24 de octubre, por el que se modifica el Decreto
29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica
electrónica.
Una vez transcurridos cuatro años de la entrada en vigor del Decreto 29/2009, de 5 de
febrero, por el que se regula el uso y acceso a la historia clínica electrónica, la experiencia
de la operativa diaria en el manejo de la misma hace necesario realizar modificaciones en
dicho decreto, para adaptarlo a las nuevas necesidades asistenciales que se detectaron y
también para regular la realización de determinadas prácticas que no estaban cubiertas en
su totalidad en la anterior redacción del decreto.
La evolución del marco legislativo abrió la vía a nuevas modalidades de acceso que deben
ser incluidas y reguladas en el ámbito de la historia clínica electrónica. Así, en la Ley 33/2011,
de 4 de octubre, general de salud pública, se incluyó la disposición final tercera en la que se
modifica la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
CVE-DOG: jdwuujw3-ybx9-eyq1-nws8-y7tbheq177l4
También se identificó la necesidad de regular adecuadamente la práctica de la atención
sociosanitaria, de acuerdo con lo contemplado en la Ley 8/2008, de 10 de julio, de salud
de Galicia.
Las modificaciones introducidas en el presente decreto consisten en profundizar en el acceso a la historia clínica electrónica por parte del personal de gestión y servicios de los centros,
servicios o establecimientos sanitarios, acceso que se encuentra en todo caso limitado a aquellos datos estrictamente necesarios para el cumplimiento de sus funciones; estos profesionales
quedan sujetos a la obligación de secreto respecto de los datos que conozcan en el desempeño de su actividad, conforme a lo dispuesto en el artículo 16.6 de la Ley 41/2002, de 14 de
noviembre. Es este el caso de los trabajadores sociales, los cuales desempeñan un papel
fundamental para garantizar una atención sanitaria y social integral e integrada a los usuarios
del Sistema sanitario público de Galicia, dada la influencia y afectación que los determinantes
sociales tienen sobre la salud de las personas, de manera que su intervención en la asistencia
sanitaria de los pacientes resulta esencial para contribuir a la mejora de la salud y a la disminución de las inequidades sanitarias a que aquellos condicionantes sociales pueden dar lugar.
Asimismo, se permitirá el acceso por los profesionales sanitarios de centros sociosanitarios de la Administración general de la Comunidad Autónoma de Galicia, así como de
aquellos centros sociosanitarios concertados para la prestación de servicios.
ISSN1130-9229
Depósito legal C.494-1998
http://www.xunta.es/diario-oficial-galicia
DOG Núm. 213
Jueves, 7 de noviembre de 2013
Pág. 43502
Por último, se modifican las previsiones relativas al acceso para fines epidemiológicos,
de salud pública, de investigación o de docencia, así como el acceso motivado por requerimiento judicial, que se adaptan a las novedades introducidas por la Ley 33/2011, de 4 de
octubre, general de salud pública.
En su virtud, a propuesta de la conselleira de Sanidad, de acuerdo con el dictamen del
Consejo Consultivo de Galicia y previa deliberación del Consello de la Xunta de Galicia, en
su reunión del veinticuatro de octubre de dos mil trece,
DISPONGO:
Artículo único. Modificación del Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica
El Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia
clínica electrónica, queda modificado como sigue:
Uno. El artículo 9 queda redactado en los siguientes términos:
«Artículo 9. Acceso por el personal de gestión y servicios
CVE-DOG: jdwuujw3-ybx9-eyq1-nws8-y7tbheq177l4
El sistema IANUS permitirá el acceso a la información contenida en la historia clínica
electrónica al personal de gestión y servicios de los centros, servicios y establecimientos
sanitarios. Los trabajadores sociales que desarrollen sus funciones en los centros, servicios o establecimientos sanitarios únicamente podrán registrar su actividad en los apartados correspondientes a aspectos sociales y sociosanitarios de la historia clínica.
El acceso mencionado estará restringido a los datos imprescindibles para el ejercicio de
sus funciones en relación con su puesto de trabajo, y respetará el derecho a la intimidad
personal y familiar de los/as pacientes o usuario/as».
Dos. Se añade un nuevo artículo 10.bis, con la siguiente redacción:
«Artículo 10 bis. Acceso por profesionales sanitarios de centros sociosanitarios de
la Administración general de la Comunidad Autónoma de Galicia y de las entidades instrumentales del sector público autonómico, así como de aquellos centros sociosanitarios
concertados para la prestación de servicios
Se permitirá el acceso a la información contenida en la historia clínica electrónica a
los/as profesionales sanitarios que desarrollan su actividad en los centros sociosanitarios
ISSN1130-9229
Depósito legal C.494-1998
http://www.xunta.es/diario-oficial-galicia
DOG Núm. 213
Jueves, 7 de noviembre de 2013
Pág. 43503
dependientes de la Administración general de la Comunidad Autónoma de Galicia y de las
entidades instrumentales del sector público autonómico, así como a aquellos/as profesionales sanitarios/as que trabajen para las personas físicas o jurídicas que presten servicios
sociosanitarios concertados con la Xunta de Galicia o con el Servicio Gallego de Salud,
con la acreditación previa del cumplimiento de las exigencias contenidas en la normativa
de protección de datos personales. Este acceso estará limitado a las historias clínicas de
los/las pacientes o usuarios/as ingresados en estos centros sociosanitarios y en el marco
temporal que dure ese ingreso.
Estos centros concertados incorporarán a la historia clínica electrónica la documentación clínica generada por la asistencia sanitaria prestada».
Tres. El apartado 1 del artículo 11 queda redactado en los siguientes términos:
«El acceso a la información contenida en la historia clínica electrónica con fines epidemiológicos, de salud pública, de investigación o de docencia se rige por lo dispuesto en la
Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,
en la Ley 14/1986, de 25 de abril, general de sanidad, y demás normas de aplicación en
cada caso, entre otras, la Ley 12/1989, de 9 de mayo, de la función estadística pública, la
Ley 14/2011, de 1 de junio, de la ciencia, de la tecnología y la innovación, y la Ley 14/2007,
de 3 de julio, de investigación biomédica.
El acceso a la información contenida en la historia clínica electrónica con estos fines
obliga a preservar los datos de identificación personal del paciente o usuario/a, separados
CVE-DOG: jdwuujw3-ybx9-eyq1-nws8-y7tbheq177l4
de los de carácter clínico-asistencial, de manera que, como regla general, quede asegurado el anonimato, excepto que el/la propio/a paciente o usuario/a diese su consentimiento
para no separarlos, o bien existan criterios técnicos y/o científicos que requieran la identificación de la persona a efectos epidemiológicos y de salud pública. El acceso a los datos
y documentos de la historia clínica electrónica queda limitado estrictamente a los fines
específicos en cada caso.
De conformidad con lo establecido en el artículo 16.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en
materia de información y documentación, cuando eso sea necesario para la prevención
de un riesgo o peligro grave para la salud de la población, las administraciones sanitarias
a las que se refiere la Ley 33/2011, general de salud pública, podrán acceder a los datos
identificativos de los pacientes por razones epidemiológicas o de protección de la salud
pública. El acceso habrá de realizarlo, en todo caso, un profesional sanitario sujeto al se-
ISSN1130-9229
Depósito legal C.494-1998
http://www.xunta.es/diario-oficial-galicia
DOG Núm. 213
Jueves, 7 de noviembre de 2013
Pág. 43504
creto profesional u otra persona sujeta, asimismo, a una obligación equivalente de secreto,
previa motivación por parte de la Administración que haya solicitado el acceso a los datos».
Cuatro. El artículo 13 queda modificado como sigue:
«Artículo 13. Acceso a la historia clínica electrónica a requerimiento judicial
Se establece la plena colaboración con la Administración de justicia, de manera que el
sistema IANUS facilitará siempre el acceso a la información contenida en la historia clínica
electrónica del/de la paciente o usuario/a para la investigación judicial. De conformidad con
lo establecido en el artículo 16.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información
y documentación clínica, cuando la autoridad judicial lo considere imprescindible y así lo
solicite, se facilitará la información completa de la historia clínica electrónica con la unificación de los datos identificativos y los clínico-asistenciales. En el resto de los supuestos, la
información quedará limitada estrictamente para los fines específicos de cada caso».
Disposición final única. Entrada en vigor
Este decreto entrará en vigor el día siguiente al de su publicación en el Diario Oficial de
Galicia.
Santiago de Compostela, veinticuatro de octubre de dos mil trece
CVE-DOG: jdwuujw3-ybx9-eyq1-nws8-y7tbheq177l4
Alberto Núñez Feijóo
Presidente
Rocío Mosquera Álvarez
Conselleira de Sanidad
ISSN1130-9229
Depósito legal C.494-1998
http://www.xunta.es/diario-oficial-galicia
Descargar