En este informe jurídico de la AEPD (0079/2020), se plantea en qué situación quedan las historias clínicas de los pacientes de un facultativo fallecido, en lo referente a privacidad y protección de datos.
Destacar que los herederos pasan a ser Reponsables del Tratamiento. Y si algún otro centro sanitario o facultativo quiere acceder a esos historiales clínicos lo tendrá que hacer a través de alguna de las fórmulas que se plantean en el informe.
En este informe concretamente se plantean dos situaciones respecto a historias clínicas ante el fallecimiento de un facultativo, que atendía en un centro sanitario a pacientes por cuenta propia y a otros conjuntamente con el centro sanitario, lo que en principio podría ser una corresponsabilidad del tratamiento (art. 26 GDPR).
En cuanto al acceso a las historias clínicas por parte del centro sanitario una vez que falleció el facultativo, y basándose entre otras cuestiones en la aplicación del artículo 661 del Código Civil que establece que se subroga en los herederos las obligaciones de conservación de las historias clínicas. Concluye la AEPD que los herederos se convierten en responsables del tratamiento, y por tanto en el caso de pacientes exclusivos del facultativo fallecido, la posibilidad para que el centro sanitario acceda a las historias clínicas de sus pacientes serían:
- Obteniendo el consentimiento expreso de los interesados para la cesión.
- Actuando como facultativo/s que pretenden acceder en una nueva actividad de diagnóstico o tratamiento a solicitud del paciente, en los términos indicados en el art. 18 de la Ley 41/2002.
- A través de un contrato de encargado del tratamiento, es decir, los herederos seguirían siendo responsables del tratamiento, pero al amparo de los artículos 28 GDPR y 33 de la LOPDGDD el centro se convertirá en encargado del tratamiento, por lo que deberá suscribirse el contrato con los requisitos establecidos en el apartado 3 articulo 28.
- Acudiendo a los colegios profesionales de médicos que ofrecen determinados servicios cuando un facultativo ha cesado en su actividad profesional. El tratamiento de datos que conllevarían estos servicios, sucedería al amparo de una relación jurídica, dónde los herederos seguirían siendo responsables del tratamiento y el colegio profesional, al igual que en el supuesto anterior, se instituiría en encargado del tratamiento debiendo cumplir las obligaciones derivadas de tal condición y en especial lo dispuesto en los artículos 28 del GDPR y 33 de la LOPDGDD.
En cuanto a los pacientes “compartidos” por el facultativo fallecido y el centro, concluye la AEPD que en este caso concreto no puede considerarse que estamos ante un supuesto de corresponsabilidad conforme al GDPR/LOPDGDD, al menos formalmente, pues no existe un acuerdo o contrato vinculante en el que se determinen “de modo transparente y de mutuo acuerdo sus responsabilidades” en relación con el cumplimiento del GDPR y en especial en relación con los interesados, como tampoco puede analizarse qué actividades desarrolla cada uno de los corresponsables.
Por lo tanto, el centro sanitario será responsable del tratamiento con las obligaciones inherentes a tal condición, y en especial, aquellas derivadas del ejercicio de derechos de las historias clínicas de las que sea responsable.