SAN, 9 de Febrero de 2018
| Ponente | FERNANDO DE MATEO MENENDEZ |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2018:60 |
| Número de Recurso | 605/2016 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0000605 / 2016
Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 04008/2016
Demandante: Susana
Procurador: BEATRIZ PRIETO CUEVAS
Demandado: AGENCIA PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Madrid, a nueve de febrero de dos mil dieciocho.
Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 605/16, interpuesto por la Procuradora de los Tribunales doña Beatriz Prieto Cuevas, en nombre y representación de DOÑA Susana, contra la resolución de 26 de mayo de 2016 del Director de la Agencia Española de Protección de Datos, por la que se inadmite la reclamación de la actora contra el Instituto Madrileño de la Salud. Oficina de Seguridad de Sistemas de Información. Han sido partes LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en indeterminada.
Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante
escrito presentado el día 21 de noviembre de 2016 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria el recurso contencioso-administrativo, y en consecuencia: "1.- Declare no ser conforme a Derecho la resolución nº R/01262/2016 de la AEPD de 26 de mayo de 2016 y la anule.
-
- Declare el derecho de acceso de la Sra. Susana a la siguiente información:
- Detalle sobre el número de accesos efectuados a su historia clínica desde el visor de la aplicación "Horus".
- Detalle de la finalidad de estos accesos efectuados a su historia clínica.
- Fecha y hora de los accesos efectuados.
- Detalle de los datos identificativos de las personas que han accedido a su historia clínica, así como, si es posible, centro desde el que se ha accedido.
-
- Condene a la AEPD a requerir a la Oficina de Seguridad de Sistemas, dependiente de la Dirección General de Coordinación de Asistencia Sanitaria del Servicio Madrileño de Salud para que haga efectivo el derecho de acceso de la Sra. Susana en los términos señalados en el punto anterior del suplico.
-
- Condene a la Administración demandada al pago de las costas procesales" .
Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, y que se declarara la plena adecuación a derecho del acto administrativo impugnado.
Mediante diligencias de ordenación de 31 de enero y 27 de febrero de 2017, se concedió diez días a las partes para la formulación de conclusiones. Una vez presentados los correspondientes escritos, quedaron los autos pendientes de votación y fallo, señalándose para el día 28 de noviembre del año en curso. Por providencia de igual fecha, se suspendió el señalamiento para que se emplazara al Instituto Madrileño de la Salud. Una vez efectuado el emplazamiento, sin que se haya personado el Instituto Madrileño de la Salud, se señaló nuevamente para votación y fallo para el día 6 de febrero del año en curso, fecha en que tuvo lugar.
SIENDO PONENTE,el Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ .
La demandante impugna la resolución de 26 de mayo de 2016 del Director de la Agencia Española de Protección de Datos, por la que se inadmite la reclamación de la actora contra el Instituto Madrileño de la Salud. Oficina de Seguridad de Sistemas de Información.
La aquí recurrente ejercitó el derecho de acceso el 11 de diciembre de 2015 frente a la Oficina de Seguridad de Sistemas de Información del Instituto Madrileño de la Salud, solicitando el acceso a la siguiente información
: "Detalle sobre número de accesos efectuados a mi historia clínica, desde el visor aplicación "Horus",
Detalle de finalidad de estos accesos efectuados a mi historia clínica,
Fecha y hora de accesos efectuados,
Detalle de datos identificativos de las personas que han accedido a mi historia clínica, así como, si es posible, centro desde el que se ha accedido" .
Mediante escrito de fecha 27 de enero de 2016, la Entidad reclamada denegó la solicitud de la actora, al no englobar el derecho de acceso que regula la normativa de protección de datos, el acceder al listado de profesionales que habían accedido a la historia clínica, doctrina reiterada por la Agencia. Se añadía lo siguiente: "No obstante, en ejercicio de las potestades de inspección de las Administraciones públicas, una vez recibida su solicitud de ejercicio del derecho de acceso, se procede a, realizar, las investigaciones oportunas a fin de comprobar los accesos realizados a su historial clínico, con el objetivo de evacuar las responsabilidades pertinentes.
Según el análisis de trazas del fichero HORUS, no se han realizado accesos indebidos a su historia clínica entre los años 2014 y 2015. Si bien han sido detectados varios accesos por parte de la usuaria solicitante a su historia clínica a través de HORUS, por lo que se le advierte de la no posibilidad de llevar a cabo este tipo de acciones, al tratarse de un acceso no justificado y habida cuenta de que los accesos indebidos o no justificados a una historia clínica podrán ser motivo de exigencia de responsabilidad disciplinaria, ya que dicho acceso está considerado como falta grave" .
El 14 de marzo de 2016 se presentó por la recurrente reclamación ante la Agencia al no haberse sido atendido el derecho de acceso, siendo inadmitida dicha reclamación por la resolución aquí recurrida, basándose para ello en no tener competencia la Agencia al solicitarse datos personales de terceras personas.
Se alega, en síntesis, por la parte recurrente, lo siguiente: 1º) La resolución recurrida vulnera el art.
18.4 de la Constitución Española . Ciertamente, el contenido esencial del derecho fundamental a la protección de datos de carácter personal alcanza a saber qué personas acceden a los datos de carácter personal. En aras al sustento de esta tesis se trae a colación lo que sobre este particular dijo el Tribunal Constitucional en la Sentencia 292/2000 de 30 de noviembre, al considerar que forma parte del contenido esencial del derecho fundamental a la protección de datos de carácter personal la facultad de conocer la identidad de los posibles cesionarios de los datos. Se añade que, a meros efectos dialécticos, si de algún modo pudiera llegar a plantearse la existencia de un conflicto entre el derecho fundamental de la recurrente a la protección de datos en los términos indicados, y el derecho de los facultativos que pudieron acceder a dichos datos a la respectiva protección de sus datos, es preciso indicar que debería prevalecer el derecho de la recurrente.
-
) La resolución recurrida infringe el art. 15.1 de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), en relación con los arts. 27.1 y 29.3, párrafo segundo, del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de dicha Ley Orgánica. El conocer la identidad de la persona que ha tenido acceso a los datos personales y, más en casos como el presente que se trata de datos que, por ser referentes a la salud, cuentan con una especial protección ( art. 7.3 LOPD ), forzosamente es un extremo indispensable para la plena efectividad del derecho fundamental a la protección de datos de carácter personal, en íntima conexión con el derecho a la intimidad personal. Con el objeto reforzar la citada tesis se trae a colación tres argumentos adicionales: a.- El nuevo Reglamento Europeo de Protección de Datos integra dentro del derecho de acceso la facultad de conocer la identidad del destinatario de los datos; b.- Existe normativa autonómica que contempla específicamente el derecho a conocer quien ha accedido a los datos sanitarios, como el art. 31 de la Ley Foral 17/2010, de 8 de noviembre, y el art. 35.3 de la Ley 3/2005, de 8 de julio, de información sanitaria y autonomía del paciente de Extremadura; y c.- La LOPD contempla en otros preceptos la posibilidad de conocer la identidad del destinatario de los datos. Así, el art. 27.1 de la LOPD establece la obligación del responsable del fichero de titularidad privada de, en caso de cesión de datos, informar al afectado del nombre y dirección del cesionario; o el art. 29 de la LOPD, en materia de registros de solvencia patrimonial y de crédito.
-
) La resolución recurrida no concede la tutela reclamada consistente en permitir el acceso al detalle del número de accesos efectuados a la historia clínica de la recurrente, el detalle de la finalidad de dichos accesos, la fecha y hora del acceso y el centro desde el que se ha accedido. La Agencia debería haber entrado a analizar estas concretas reclamaciones de la parte recurrente. Al no haberlo hecho ha infringido el art. 117.3 del Real Decreto 1720/2007, que obliga a la Agencia a resolver sobre la reclamación efectuada.
En Sentencia del Pleno del Tribunal Constitucional nº 292/2000, de 30 de noviembre, se expresa que "... con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podría entrañar el uso de la informática y encomendó al legislador la garantía...
Para continuar leyendo
Solicita tu prueba