El informe jurídico 253/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la responsabilidad de los ficheros en una sociedad médica compuesta por dos socios, cónyuges, que ejercen distintas especialidades médicas en consultas privadas separadas. La consulta se centra en determinar quién es el responsable de los ficheros de datos de los pacientes, dado que los datos de los pacientes de cada socio no son accesibles por el otro.
Según el artículo 3 d) de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, el responsable del tratamiento es la persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de los datos. En este caso, la sociedad constituida por los dos cónyuges factura las prestaciones médicas como realizadas por la sociedad, lo que sugiere que la sociedad, y no cada consulta privada, es el centro sanitario a efectos legales. Por lo tanto, la sociedad sería la responsable del fichero, debiendo declararlo en el Registro General de Protección de Datos.
Además, el informe destaca la aplicación de la Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Esta ley establece que cada centro debe archivar las historias clínicas de sus pacientes de manera segura y accesible solo para los profesionales involucrados en el diagnóstico o tratamiento del paciente. Esto implica que los datos de los pacientes no deben ser accesibles por facultativos no relacionados con su atención, ni por el personal administrativo que no tenga funciones específicas relacionadas con esos datos.
El acceso a los datos de un paciente por el otro socio solo sería posible en la medida en que sea necesario para la gestión adecuada de la sociedad, como por ejemplo, para la contabilidad y facturación. No obstante, el acceso a las historias clínicas de los pacientes está estrictamente limitado a los profesionales directamente involucrados en su atención.
Finalmente, el informe subraya la obligación de implantar las medidas de seguridad de nivel alto previstas en el Real Decreto 994/1999, para controlar y delimitar el acceso a los datos clínicos de los pacientes, garantizando así la protección de la información sensible.