La AEPD sanciona al Hospital Universitario Miguel Servet por incumplir el plazo legal para facilitar el acceso a la historia clínica de un paciente

El 14 de marzo de 2018, D. A.A.A. presentó una reclamación contra el Hospital Universitario Miguel Servet del Servicio Aragonés de Salud por no haber recibido respuesta a su solicitud de acceso a su historia clínica, presentada el 30 de enero de 2018. La solicitud se realizó conforme a la normativa vigente, pero no obtuvo la contestación legalmente establecida.

Durante el procedimiento, se constataron varias irregularidades. La comunicación telemática enviada al hospital para dar traslado de la reclamación fue rechazada automáticamente tras transcurrir diez días hábiles desde su puesta a disposición. Además, el hospital no acreditó haber atendido la solicitud de acceso en el plazo establecido por la ley, que es de un mes desde la recepción de la solicitud.

La normativa vigente, específicamente el artículo 29 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), establece que el responsable del fichero debe resolver sobre la solicitud de acceso en un plazo máximo de un mes. En caso de no hacerlo, el interesado puede interponer una reclamación. Asimismo, el artículo 18 de la Ley 41/2002, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, reconoce el derecho del paciente a acceder a su historia clínica y obtener copia de los datos que figuran en ella.

Dado que el hospital no cumplió con su obligación de responder a la solicitud de acceso en el plazo legalmente establecido, se procedió a estimar la reclamación. Se instó al hospital a que, en un plazo de diez días hábiles desde la notificación de la resolución, remitiera al reclamante la certificación que facilite el acceso completo a su historia clínica o, en su defecto, denegara motivada y fundamentadamente el acceso solicitado. En caso de incumplimiento, el hospital podría incurrir en una infracción tipificada en el artículo 83.5.e) del Reglamento General de Protección de Datos (RGPD), que se sancionaría con multas administrativas conforme al artículo 58.2 del mismo reglamento.