El Tribunal Superior de Justicia de Castilla-La Mancha ha confirmado la condena de 15 meses de prisión a una enfermera de Toledo por acceder sin autorización ni justificación asistencial al historial médico de su cuñada y revelar después información clínica a un tercero. La sentencia ratifica el pronunciamiento de la Audiencia Provincial de Toledo y ratifica que el acceso interno a una historia clínica solo es lícito cuando responde a una finalidad asistencial, organizativa o legalmente justificada, no cuando obedece a curiosidad, conflicto familiar o interés personal.
Los hechos se remontan al 30 de enero de 2017. Según el escrito de acusación de la Fiscalía la acusada trabajaba como funcionaria pública en el antiguo Hospital Virgen de la Salud de Toledo y, valiéndose de esa posición, accedió a la historia clínica de la perjudicada sin necesidad, sin consentimiento y sin causa asistencial. La paciente había sido atendida dos días antes, el 28 de enero, en el Centro de Salud del Polígono de Toledo. Tras consultar la información, la acusada habría facilitado su contenido a una tercera persona.
La Fiscalía sostuvo desde el inicio que los hechos eran constitutivos de un delito contra la intimidad por revelación de datos clínicos. En su escrito inicial solicitaba dos años, seis meses y un día de prisión, multa de veinte meses con cuota diaria de 12 euros, inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena e inhabilitación absoluta durante ocho años. La Audiencia Provincial terminó imponiendo una pena inferior, ahora confirmada en apelación por el TSJ castellano-manchego: 15 meses de prisión, multa e inhabilitación absoluta, según la nota oficial del Poder Judicial.
La relevancia jurídica del caso reside en la naturaleza del bien protegido. La historia clínica contiene datos de salud, una categoría especialmente sensible desde el punto de vista constitucional, penal y de protección de datos. No se trata de información administrativa inocua ni de un simple registro interno. En ella pueden figurar diagnósticos, pruebas, tratamientos, antecedentes, episodios asistenciales, medicación, informes y datos que afectan al núcleo más reservado de la vida privada. El Reglamento General de Protección de Datos incluye los datos relativos a la salud dentro de las categorías especiales de datos personales, cuyo tratamiento queda sujeto a un régimen reforzado de prohibición general y excepciones tasadas.
El encaje típico se sitúa en los delitos de descubrimiento y revelación de secretos del Código Penal. El artículo 197 sanciona distintas formas de apoderamiento, utilización o modificación de datos reservados de carácter personal o familiar registrados en ficheros o soportes informáticos, electrónicos o telemáticos, y agrava el tratamiento penal cuando los datos afectan a la salud. El artículo 198 añade una agravación específica cuando la conducta es cometida por autoridad o funcionario público fuera de los casos permitidos por la ley y sin causa legal. Esa combinación explica que los accesos indebidos a historias clínicas por personal sanitario público puedan superar el plano disciplinario y entrar de lleno en la jurisdicción penal.
La defensa de este tipo de asuntos suele apoyarse en la idea de que el profesional sanitario tenía claves legítimas de acceso al sistema y no violentó técnicamente ninguna barrera externa. Sin embargo, esa alegación difícilmente neutraliza la antijuridicidad cuando el acceso no guarda relación con el proceso asistencial. La autorización técnica para entrar en una plataforma clínica no equivale a autorización jurídica para consultar cualquier historia médica. Las credenciales se conceden para desempeñar funciones profesionales, no para examinar expedientes de familiares, compañeros, vecinos o personas con las que exista una relación personal ajena a la asistencia.
Ese matiz es esencial para hospitales, servicios autonómicos de salud y centros privados. Los sistemas de historia clínica electrónica descansan en modelos de acceso por perfil profesional, trazabilidad y auditoría posterior. El profesional puede tener acceso material a una base de datos amplia, pero cada consulta debe estar justificada por una finalidad sanitaria concreta. Cuando falta esa finalidad, el acceso se convierte en uso desviado del sistema. Y si, además, la información se comunica a otra persona, el caso deja de limitarse al descubrimiento y se aproxima a la revelación de secretos, con mayor reproche penal.
La sentencia confirmada por el TSJ de Castilla-La Mancha se suma a una línea jurisprudencial cada vez más severa con los llamados accesos de curiosidad o accesos por conflicto personal a historias clínicas. En los últimos años se han dictado condenas contra profesionales sanitarios por consultar historiales de compañeros, vecinos o personas del entorno personal sin intervención asistencial. La pauta común es clara: no hace falta que exista un beneficio económico, ni que se produzca una difusión masiva, ni que el dato se utilice después de forma pública. La lesión del derecho a la intimidad puede producirse por el mero acceso injustificado a información sanitaria especialmente sensible, y se agrava si hay comunicación posterior a terceros.
Trazabilidad informática
La persecución penal de estos accesos suele descansar en los registros de auditoría del sistema informático sanitario: usuario que accede, fecha, hora, historia consultada y, en ocasiones, módulo o documento visualizado. La trazabilidad informática es la pieza que permite reconstruir la conducta y confrontarla con la existencia, o no, de relación asistencial. De ahí la importancia de que los servicios de salud mantengan logs completos, inalterables y auditables, y de que dispongan de protocolos internos para investigar accesos sospechosos sin contaminar la prueba.
Una conducta de este tipo puede dar lugar a responsabilidad penal, disciplinaria, patrimonial y de protección de datos. En el ámbito del empleado público, la inhabilitación absoluta tiene efectos especialmente severos, porque priva de honores, empleos y cargos públicos durante el tiempo de la condena e impide obtener otros durante ese periodo. Para los servicios de salud, además, estos casos obligan a revisar políticas de acceso mínimo necesario, formación del personal, advertencias periódicas sobre confidencialidad, controles de auditoría y medidas de reacción ante usos indebidos de la historia clínica.
La confirmación de la condena llega en un contexto en el que la digitalización sanitaria ha multiplicado la disponibilidad de información clínica y, con ello, la necesidad de controles jurídicos efectivos. La historia clínica electrónica es imprescindible para la continuidad asistencial, la coordinación entre niveles sanitarios y la seguridad del paciente. Pero esa misma accesibilidad aumenta el riesgo de accesos indebidos si la organización confunde facilidad técnica con licitud jurídica. El mensaje de los tribunales es cada vez más nítido: el dato sanitario no pertenece al hospital ni al profesional que lo consulta, sino al paciente, y solo puede ser tratado dentro de los márgenes legalmente habilitados.
La resolución del TSJ castellano-manchego también tiene valor preventivo para el compliance sanitario. No basta con incluir cláusulas genéricas de confidencialidad en contratos o manuales internos. Las organizaciones sanitarias deben poder demostrar que informan al personal de las consecuencias penales del acceso indebido, que limitan permisos conforme a funciones reales, que revisan accesos anómalos, que documentan la causa asistencial de las consultas y que actúan con rapidez cuando se detecta una intrusión. En materia de datos de salud, la cultura de “todo queda en casa” es precisamente lo que el Derecho penal está expulsando del sistema.
