Cargando. Por favor, espere

Portada

I. Objeto

La cuestión consiste en determinar si el ordenamiento jurídico impone que el acceso al historial médico de un individuo deba ser autorizado por un Juez o Tribunal, o si, por el contrario, los Cuerpos y Fuerzas de Seguridad pueden acceder a él sin precisar de una autorización externa en el curso de una investigación (STS, Sala de lo Penal, de 16 de diciembre de 2022 (LA LEY 299929/2022)).

II. Resumen de los hechos

En el caso en cuestión los agentes policiales estaban investigando un robo en un domicilio. Los agentes policiales, sin autorización del titular del derecho y sin autorización judicial, accedieron a los datos recogidos en el historial médico hospitalario, obteniendo la identidad y los datos de incriminación que llevan a su condena. En concreto, en el historial se recogían las lesiones que determinaron a que el acusado —pocos días después del asalto— acudiera al servicio de urgencias del hospital. Además de las lesiones objetivas que observó el médico, el parte recogía la manifestación del paciente sobre cómo se habían causado, en concreto, que sufrió las lesiones como consecuencia de haber sido golpeado en el hombro con una maza y por haber sufrido después un accidente de tráfico, hechos que coincidían con la descripción del enfrentamiento mantenido con una de sus víctimas y con la localización del coche accidentado en el que habían huido. Y del mismo parte se obtuvieron los dos datos de asignación de responsabilidad al recurrente y que la investigación no pudo obtener por ninguna otra vía:

  • a) En primer lugar, la identidad del individuo que presentaba las sugestivas lesiones y
  • b) El número telefónico que permitió vincular al paciente con los hechos

III. Criterio de la sentencia recurrida en casación

La sentencia impugnada considera ajustada a derecho la cesión de datos médicos invocando a tal efecto:

IV. Criterio de la Sala de lo Penal del Tribunal Supremo

Por el contrario el TS, tras analizar la Ley 41/2002 (LA LEY 1580/2002) y la legislación de protección de datos, concluye:

  • 1º.- La ley interna española, de conformidad con las posibilidades otorgadas por el ordenamiento comunitario, impone que exista una autorización judicial y que esté específicamente dirigida a un procedimiento de investigación concreto, cuando se pretendan los datos clinicoasistenciales correspondientes a un determinado e identificado individuo.
  • 2º.- Es posible la petición de datos personales por los Cuerpos y Fuerzas de Seguridad, en el ejercicio de las funciones de policía judicial que le encomienda el artículo 549.1 de la Ley Orgánica 6/1985, de 1 de julio (LA LEY 1694/1985), exigiendo, además, que la reclamación se efectúe de forma motivada, concreta y específica e informando en todo caso a la autoridad judicial y fiscal.
  • 3º.- Sin embargo, «la reciente regulación define que la adquisición de datos por los agentes policiales no es ilimitada, disponiendo el mismo precepto (art. 7.3) que la autorización a los funcionarios policiales no resulta de aplicación «cuando legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento de los fines del artículo 1». Una remisión legal que impone la autorización judicial expresa en los supuestos contemplados en el artículo 16 de la Ley 41/2002 (LA LEY 1580/2002), esto es,cuando se trata de recoger y tratar datos no anonimizados que pertenezcan a la Administración sanitaria o a los prestadores de servicios de salud, esto es, cuando se reclamen datos identificativos y clinicoasistenciales unificados.

Por todo lo anterior se anula el dato de la investigación, y se estima la pretensión absolutoria del condenado.

Se debe advertir la repercusión de la citada resolución judicial en el ámbito de la administración sanitaria, con un posible replanteamiento de la forma de actuar al respecto por los centros sanitarios pensando en una eventual reclamación por parte del paciente

Restaría por advertir la repercusión de la citada resolución judicial en el ámbito de la administración sanitaria, y si a la luz de dicho pronunciamiento judicial se debería o no replantear la forma de actuar al respecto por los centros sanitarios pensando, sobre todo, en una eventual reclamación por parte del paciente. Tengamos presente que el art. 82.1 del RGPD (LA LEY 6637/2016) dice a este respecto: «Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».

V. El criterio de las Agencias de Protección de Datos

1. La Agencia Española de Protección de Datos

La AEPD en su Informe 297/2005, al que se alude en la STS objeto de comentario, la Agencia establece que a estos efectos «deberán distinguirse aquellas actuaciones de la Policía Judicial que son llevadas a cabo en cumplimiento de un mandato judicial o de un requerimiento efectuado por el Ministerio Fiscal de aquéllas otras que se llevan a cabo por propia iniciativa o a instancia de su superior jerárquico», y añade a continuación respecto de este segundo supuesto:

«El problema se plantea, sin embargo, en relación con aquellos supuestos en los que la Policía Judicial requiere la cesión de los datos con el fin de ejercitar las funciones de averiguación del delito y detención del responsable, al no existir en ese caso mandamiento judicial o requerimiento del Ministerio Fiscal que dé cobertura a la cesión.

En este caso nos encontramos, a nuestro juicio, ante el ejercicio por los efectivos de la Policía Judicial de funciones que, siéndoles expresamente reconocidas por sus disposiciones reguladoras, se identifican con las atribuidas, con carácter general, a todos los miembros de las Fuerzas y Cuerpos de Seguridad del Estado».

La conclusión a la que llegaba la Agencia es que en este segundo grupo de supuestos en los que la Policía Judicial actuaba sin requerimiento judicial previo, también era posible la entrega de los datos si se cumplían las siguientes condiciones:

  • a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta.
  • b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos.
  • c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto.
  • d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999 (LA LEY 4633/1999), los datos sean cancelados «cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento».

Ahora bien, la propia Agencia en informes posteriores ha ido matizando este criterio general al señalar que, ante la existencia de ley especial, el anterior criterio debía ceder ante esta última. En este sentido cobra gran relevancia el Informe 60/2017, que viene a enturbiar el panorama antes descrito al señalar, en relación con el acceso de las FFCC a datos sanitarios, que:

«…esta ley (se refiere a la Ley 41/2002 (LA LEY 1580/2002)) requiere que el acceso a los datos clínicos quede restringido a lo que dispongan los jueces y tribunales en el proceso correspondiente, y en todo caso limitado estrictamente a los fines específicos de cada caso. Si la autoridad judicial requiriese una determinada información de dichos datos clínicos, le corresponde a dicha autoridad judicial el análisis de su pertinencia al caso concreto».

Y añadía en ese mismo informe:

«En definitiva, y sin perjuicio de que pueda existir un mandamiento judicial o solicitud del ministerio fiscal en el ejercicio de sus funciones que las fuerzas y cuerpos de seguridad estén ejecutando en su función de policía judicial, no se considera de conformidad con la legislación de protección de datos una solicitud por parte de dichas fuerzas de seguridad relativa a la información médica de la posible víctima que vaya más allá de lo estrictamente necesario y pertinente para determinar la situación del lesionado en relación con el delito público que la ley de enjuiciamiento criminal (LA LEY 1/1882) obliga a denunciar al profesional médico cuando una persona hubiere sido víctima de lesiones, y que se contiene en el Parte Judicial de Lesiones. En estos casos, y salvo que hubiera mandamiento judicial o solicitud del ministerio fiscal, se considera necesario el consentimiento del afectado para la entrega de la información médica a que hace referencia la consulta».

La Agencia resulta un tanto críptica, pues parece exigir el requisito de la autorización judicial no para todos los casos de peticiones realizadas por la Policía Judicial, sino para aquellos en los que la solicitud «vaya más allá de lo estrictamente necesario y pertinente para determinar la situación del lesionado en relación con el delito público». ¿Correspondería, por tanto, al centro sanitario valorar este extremo? No parece razonable.

En este sentido se pronunció el Defensor del Pueblo, en una Recomendación dirigida a la Consellería de Sanidad Universal y Salud Pública de la Generalitat Valenciana sobre «Protección y custodia de los informes clínicos de los detenidos», en la que analizaba la queja presentada por la actuación de la Policía local. Durante la visita a las dependencias policiales se informó que, cuando un detenido recibe asistencia médica, se quedaba en el atestado policial copia del parte de esa asistencia recibida. En la documentación examinada se pudo comprobar que, en efecto, se unía al atestado el parte de la asistencia recibida, pero se pudo observar algunos casos en los que dicho parte incluía la historia clínica del detenido con datos de carácter personal que afectan a su intimidad personal.

En este caso, el Defensor del Pueblo manifestaba que «Dado que no cualquier asistencia médica que se preste al detenido tiene de por sí relevancia para los fines de la investigación que se trate, la necesidad de acceso a los datos relativos a la asistencia médica prestada al detenido deberán solicitarse de forma expresa en cada caso, detallando la información concreta que se precisa, que deberá ser la estrictamente necesaria para el fin que se pretende.»

2. La Agencia Catalana de Protección de Datos

Más clarificadora resulta la agencia catalana, que también se ha pronunciado en diversas ocasiones sobre esta misma cuestión —Dictamen CNS 47/2018 y Dictamen CNS 42/2014—.

En los informes concluye que el artículo 16.3 de la Ley 41/2002 supone una habilitación legal suficiente para comunicar datos de la HC a las FFCCS cuando estas acompañan su solicitud de un requerimiento de autoridad judicial o del Ministerio Fiscal

En dichos informes concluye que hay que considerar que el artículo 16.3 de la Ley 41/2002 (LA LEY 1580/2002) supone una habilitación legal suficiente para comunicar datos de la HC a las FFCCS cuando estas, en ejercicio de las funciones de policía judicial, acompañan su solicitud de un requerimiento de autoridad judicial o del Ministerio Fiscal. Y añadía que, en el caso de que las FFCCS, en ejercicio de sus funciones de policía judicial, no dispusieran de un requerimiento judicial concreto, la cesión también estaría habilitada al abrigo del artículo 282 de la LECRIM (LA LEY 1/1882) y artículo 549.1.a) de la LOPJ (LA LEY 1694/1985):

«Como también ha señalado esta Autoridad, hay que recordar que según la normativa citada (LOPJ (LA LEY 1694/1985) y RDPJ) la policía judicial puede practicar diligencias relacionadas con hechos presuntamente delictivos sin que se disponga, en un primer momento, de un requerimiento judicial. En este sentido, la normativa citada incluye entre las actuaciones de las FFCCS en calidad de policía judicial las que llevan a cabo a requerimiento de superiores policiales, o incluso por iniciativa propia de los agentes de las FFCCS a través de estos superiores, y no solamente las que llevan causa de un previo requerimiento judicial. En cualquier caso, la normativa exige que se dé parte seguidamente a la autoridad judicial y fiscal (artículo 282 de la LECRIM (LA LEY 1/1882) y artículo 549.1.a) de la LOPJ (LA LEY 1694/1985), ya citados).»

Finalizaba afirmando de forma tajante, que «los centros sanitarios deberían proceder a la cesión a las FFCCS de datos de salud (datos especialmente protegidos) de un paciente, sin consentimiento expreso del mismo, solamente cuando las FFCCS actúen ejerciendo funciones de policía judicial para una investigación concreta

Esto mismo planteamiento es el que subyace en el más reciente Dictamen CNS 15/2021, también de la Agencia Catalana de Protección de Datos, en relación con la consulta formulada por un ente del ámbito de la salud, sobre si las fuerzas y cuerpos de seguridad pueden solicitar una copia del comunicado de lesiones para incorporarla a las diligencias si no existe consentimiento del afectado.

En este informe, elaborado cuando aún no se había aprobado la vigente LO 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, se decía:

«Por tanto, se puede concluir que el comunicado de lesiones consecuencia de situaciones de violencia de género o de agresiones a menores, se puede entregar, a requerimiento de las FFCCS, sin consentimiento de las personas afectadas, cuando actúen ejerciendo funciones de policía judicial en el marco de una investigación concreta», todo ello previa comprobación de los requisitos exigidos en el art. 22 de la entonces vigente LOPD.

3. La Agencia Vasca de Protección de Datos

En términos similares se pronuncia la Agencia Vasca de Protección de Datos en sus Dictámenes CN10-029 y CN09-016. En dicho informe analiza el régimen aplicable a aquellos supuestos en que las actuaciones de la Policía se llevan a cabo por propia iniciativa o a instancia de un superior jerárquico, y no existe mandamiento judicial, haciéndose eco de los informes emitidos por la AEPD, en concreto los informes 0133/2008, 0169/2009 y 0086/2010.

A partir de estos precedentes la autoridad de control vasca, interpreta que sería posible la cesión de datos sanitarios de los pacientes cuando se cumplan los siguientes requisitos, idénticos a los que ya mencionara la AEPD en su informe de 2005, y que también reproduce la Agencia Catalana de Protección de Datos:

«a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta.

b)Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos.

c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto.

d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999 (LA LEY 4633/1999), los datos sean cancelados «cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento».

Y ya en conclusiones, afirma:

«Respecto a la cuestión sobre si la petición se debe formular mediante orden judicial, es una decisión que escapa a la competencia de esta Agencia, recordándole que, como se ha señalado en el presente informe, la LOPD habilita la cesión de datos a las Fuerzas y Cuerpos de Seguridad, siempre que se cumplan las condiciones señaladas en el mismo, tanto cuando existe mandamiento judicial, como en aquellos casos que, no existiendo el mismo, se dan las condiciones para efectuar la cesión».

VI. La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Es cierto que a la fecha de emisión de todos los informes anteriores aplicaban el art. 22 de la entonces vigente LOPD; sin embargo la redacción de dicho precepto, como veremos a continuación, es muy similar al actual art. 7.2 de la LO 7/2021 (LA LEY 11831/2021).

En efecto, el art, 22.2 de la LOPD preveía lo siguiente:

«La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad»

A lo que añadía su apartado tercero dos requisitos más para cuando los datos afectados fuesen especialmente protegidos, a saber, que a) sea «absolutamente necesario» y b) «para los fines de una investigación concreta.»

Si cotejamos la redacción de estos dos apartados con la redacción del vigente art. 7.2 de la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, no se aprecian grandes diferencias:

«En los restantes casos, las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán los datos, informes, antecedentes y justificantes a las autoridades competentes que los soliciten, siempre que estos sean necesarios para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública. La petición de la autoridad competente deberá ser concreta y específica y contener la motivación que acredite su relación con los indicados supuestos».

La mencionada Ley Orgánica contempla en su artículo 7 tres supuestos distintos de relaciones de colaboración por parte de las Administraciones Públicas:

  • a) Colaboración con autoridades judiciales, Ministerio Fiscal y la Policía Judicial expresada en los siguientes términos:

    «Las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas. La petición de la Policía Judicial se deberá ajustar exclusivamente al ejercicio de las funciones que le encomienda el artículo 549.1 de la Ley Orgánica 6/1985, de 1 de julio (LA LEY 1694/1985) y deberá efectuarse siempre de forma motivada, concreta y específica, dando cuenta en todo caso a la autoridad judicial y fiscal».

  • b) Restantes casos de colaboración marcados por la necesidad de entregar la información por resultar precisa para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública. (Nótese que el legislador no precisa que deba tratarse de actuaciones en el ejercicio de funciones de Policía Judicial)
  • c) Casos en los que legalmente sea exigible una autorización judicial, para los que no será necesario que concurran los requisitos habilitantes para el acceso a la información solicitada previstos para los dos supuestos anteriores.

Ya hemos visto que la Sala de lo Penal del Tribunal Supremo considera subsumible dentro de este apartado los supuestos de cesión de datos de salud a las fuerzas y cuerpos de seguridad, pero ¿qué establece al respecto la legislación sanitaria autonómica?

VII. Regulación autonómica: Castilla-la Mancha

El Decreto 24/2011, de 12 de abril de 2011 (LA LEY 7443/2011), de la documentación sanitaria en Castilla-La Mancha, en su artículo 27 regula la cesión de datos de la historia clínica en los siguientes términos:

«La cesión de datos de la historia clínica a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado no requiere recabar el consentimiento previo de la persona o personas afectadas cuando la obtención de los mismos sea necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales en los supuestos en que sea absolutamente necesaria para los fines de una investigación concreta.

La Policía Judicial podrá acceder en cualquier momento a la historia clínica siempre que dicho acceso se realice en el seno de una investigación judicial y así se acredite.

En los demás casos, la cesión de datos de la historia clínica a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado sin consentimiento de la persona interesada exigirá la correspondiente orden judicial.»

Por tanto la norma reglamentaria permite la cesión de datos sanitarios, sin recabar el consentimiento previo de la persona afectada, cuando lo sea a requerimiento de la Policía Judicial en el seno de una investigación judicial, y así se acredite; pero, también admite la cesión de estos datos cuando se produzca a requerimiento de los miembros de las Fuerzas y Cuerpos de Seguridad del Estado siempre que, en este último caso, el acceso a la historia clínica, sea necesario para la prevención de un peligro real y grave para la seguridad pública, o para la represión de infracciones penales.

Es decir, se distinguiría entre: a) supuestos protagonizados por la Policía Judicial, y b) aquellos otros en los que la actuación policial está justificada por la existencia de peligro/represión de infracción penal.

Y finaliza la disposición autonómica con una cláusula de cierre, de modo que, en los demás casos distintos de los anteriormente descritos, el Decreto autonómico establece que «la cesión de datos de la historia clínica a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado sin consentimiento de la persona interesada exigirá la correspondiente orden judicial».

A su vez, la precedente Resolución de 27/02/2009 (LA LEY 11480/2009), de la Dirección Gerencia, mediante la que se aprueba la Circular 1/2009, sobre uso, acceso, cesión de datos y conservación de la Historia Clínica en el ámbito del Sescam, también se pronuncia sobre la «Cesión de datos a las Fuerzas y Cuerpos de Seguridad del Estado», en los siguientes términos:

«A los miembros de las Fuerzas y Cuerpos de Seguridad, en el ejercicio de sus funciones, se les podrá ceder los datos y documentos de la historia clínica sin que sea preciso el previo consentimiento de la persona o personas afectadas, siempre que la obtención de aquéllos sea necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta.

En caso contrario, es decir, si los miembros de las Fuerzas y Cuerpos de Seguridad solicitantes no pueden justificar la necesidad inmediata de acceso a la historia clínica con tales fines, deberán aportar la correspondiente orden judicial

Scroll