El Informe 0024/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación del artículo 103.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, en relación con la obligación de establecer un registro de accesos en ficheros que requieren medidas de seguridad de nivel alto. Este informe se centra en una sociedad limitada profesional conformada por un matrimonio de médicos que comparten recursos informáticos y administrativos, pero mantienen clientelas separadas.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, clasifica las medidas de seguridad en tres niveles: básico, medio y alto. Los datos de salud, como los tratados por los médicos, requieren medidas de nivel alto, que son acumulativas y deben incluir las medidas de los niveles inferiores.
El artículo 91 del Reglamento impone, en ficheros de nivel básico, la medida de control de acceso, asegurando que los usuarios solo accedan a los recursos necesarios para sus funciones. Además, el artículo 16 de la Ley 41/2002 establece que solo los profesionales asistenciales relacionados con el diagnóstico o tratamiento de un paciente pueden acceder a su historia clínica.
La AEPD señala que, aunque cada médico tenga un nombre de usuario y contraseña distintos, y solo accedan a los datos de sus propios pacientes, esto cumple con las medidas de nivel básico. Sin embargo, para los datos de salud, que requieren medidas de nivel alto, es necesario un registro detallado de cada intento de acceso, incluyendo la identificación del usuario, la fecha y hora, el fichero accedido, y si el acceso fue autorizado o denegado.
El artículo 103.6 del Reglamento establece una excepción a la obligación de registrar accesos cuando el responsable del fichero es una persona física y garantiza que solo él tiene acceso a los datos. Sin embargo, en este caso, el responsable del fichero es la sociedad limitada, no los médicos individualmente, por lo que no se aplica esta excepción.
La AEPD concluye que es necesario generar un registro de accesos para los ficheros de nivel alto. No obstante, sugiere la posibilidad de segregar los datos de salud de cada médico dentro del sistema, aplicando las medidas de seguridad de nivel alto solo a esos datos específicos, y las medidas correspondientes al resto del fichero según la naturaleza de los datos tratados. Esto permitiría cumplir con la normativa sin extender las medidas de seguridad de nivel alto a todo el sistema.