La historia clínica recoge información íntima y sensible sobre la salud de cada persona, con lo cual se debe tratar con una confidencialidad absoluta. Sin embargo, el acceso indebido a estos datos sigue siendo un problema relevante en el Sistema Nacional de Salud español.

En la actualidad, además de un marco legal bien definido, existen sentencias judiciales que han marcado jurisprudencia.

Legislación vigente: normas que regulan el acceso a las historias clínicas

La protección de datos sanitarios en España se basa en una doble legislación: la normativa europea y la nacional. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE 2016/679) es una normativa comunitaria que protege a las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación dentro del espacio comunitario de esa información, que se debe tratar bajo condiciones estrictas¹.

En el plano nacional, destacan:

• Ley 41/2002, norma básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, establece en su artículo 16 que “la historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente”, con lo cual “el personal de administración y gestión de los centros sanitarios sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones”².
• Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que complementa al RGPD en España³.

Además, cada comunidad autónoma ha desarrollado normativas específicas sobre el acceso y tratamiento de la historia clínica en sus servicios de salud.

Pese a la existencia de un marco legal claro, los accesos indebidos a historias clínicas persisten, sea por curiosidad personal de profesionales que no participan en la atención del paciente o por interés personal. Ya en 2019, la Agencia Española de Protección de Datos (AEPD) elaboró una Guía para pacientes y usuarios de la Sanidad con la intención de abordar este asunto⁴.

En MSD Profesionales

Curso acreditado

Curso interactivo en Tumores Digestivos: Análisis y Resolución de Casos Clínicos

Este curso interactivo sobre tumores digestivos, centrado en la enfermedad metastásica del cáncer colorrectal, los tumores de vías biliares y el […]

Acceder

Consecuencias legales y disciplinarias que tiene vulnerar el acceso

El acceso injustificado a una historia clínica puede tener graves consecuencias jurídicas, laborales y profesionales. Las vías de actuación son múltiples:

1. Sanción administrativa por parte de la AEPD, que puede imponer multas de hasta 300.000 euros en los casos más graves⁵.
2. Responsabilidad disciplinaria, si el acceso indebido se realiza desde una plaza en el sistema público, con medidas que van desde la suspensión de empleo y sueldo hasta la inhabilitación profesional.
3. Responsabilidad penal, en virtud del artículo 197 del Código Penal español, por descubrimiento y revelación de secretos. En algunos casos, puede suponer penas de 1 a 4 años de prisión y una multa de 12 a 24 meses⁶.
4. Reclamaciones civiles por daños y perjuicios, que pueden interponer los pacientes afectados.

Organismos autonómicos como el Servicio Andaluz de Salud emplean las recomendaciones de la AEPD para advertir al personal sanitario sobre estos peligros⁷.

Sentencias recientes que sientan precedentes

Varias resoluciones judiciales han resultado clave para sentar jurisprudencia sobre el tema. Una de las más destacadas fue la sentencia del Tribunal Supremo (STS de 17 de marzo, número 250/2021, recurso 2463/2019), por la cual se condenó a una enfermera absuelta en primera instancia, un fallo que ratificó el Tribunal Superior de Justicia de Castilla y León, por acceder sin autorización y sin justificación profesional a los historiales clínicos de una compañera y de los hijos de esta⁸.

Otro caso más reciente fue el de la sentencia SAP C 66/2025 de la Audiencia Provincial de A Coruña, que condenó por descubrimiento y revelación de secretos a una enfermera del Servicio Gallego de Salud debido a que accedió sin autorización a las historias clínicas de una antigua vecina y su hijo menor en múltiples ocasiones entre 2018 y 2022⁹.

Aunque no se demostró la divulgación de los datos a terceros, el tribunal subrayó que el mero acceso no consentido a datos sanitarios ya conlleva un perjuicio implícito: aplicó a la acusada los artículos 197.2, 197.5 y 198 del Código Penal y la condenó por cada uno de los dos delitos a tres años y tres meses de prisión, multa de 21 meses (10 €/día) e inhabilitación absoluta durante seis años. También deberá indemnizar con 2.000 € a cada víctima por daños morales¹⁰.

Estos y otros fallos judiciales, además de varias resoluciones administrativas, dejan claro que el acceso no autorizado a información médica está siendo cada vez más vigilado y sancionado, fruto de un endurecimiento del enfoque institucional.

Claves para prevenir y proteger

• Formación continuada en protección de datos y acceso clínico responsable, obligatoria y periódica.
• Sistemas de auditoría interna de accesos con alertas en tiempo real, que faciliten la trazabilidad.
• Cultura organizativa basada en la ética profesional, reforzada por los comités de bioética y los colegios profesionales.
• Protocolos de actuación claros ante incidentes, incluidos canales internos de denuncia.

Fuentes:

1 Reglamento (UE) 2016/679 (RGPD): https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679

2 Ley 41/2002: https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188#a16

3 Ley Orgánica 3/2018: https://www.boe.es/eli/es/lo/2018/12/05/3

4 Guía para pacientes y usuarios de la Sanidad de la AEPD: https://www.aepd.es/guias/guia-pacientes-usuarios-sanidad.pdf

5 Guía AEPD sobre protección de datos en historia clínica: https://www.aepd.es/es/documento/guia-de-proteccion-de-datos-en-relacion-con-la-historia-clinica.pdf

6 Artículo 197 del Código Penal español: https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444#a197

7 Protección de datos. Relaciones y obligaciones laborales. Servicio Andaluz de Salud: https://www.sspa.juntadeandalucia.es/servicioandaluzdesalud/el-sas/protecciondedatos/preguntas-frecuentes-sobre-proteccion-de-datos/proteccion-de-datos-relaciones-laborales

8 Artículo 198 del Código Penal español: https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444#a198

9 Sentencia STS de 17 de marzo, nº 250/2021, rec. 2463/2019: https://www.poderjudicial.es/search/AN/openDocument/e9f8622c7031c001/20210408

10 Sentencia de la Audiencia Provincial de A Coruña SAP C 66/2025: https://www.poderjudicial.es/search/AN/openDocument/57bb5ee6861c64dea0a8778d75e36f0d/20250317