Portada / Tribunales

Los pacientes no pueden conocer la identidad de los médicos que acceden a su historial clínico, según el TS

El paciente solo podrá conocer su identidad cuando resulte indispensable para ejercer efectivamente sus derechos.

15/07/2026 03:07

El Tribunal Supremo (TS) ha fijado doctrina sobre uno de los aspectos más controvertidos del derecho de acceso previsto en el Reglamento General de Protección de Datos (RGPD): los pacientes no tienen derecho, con carácter general, a conocer la identidad de los médicos y demás profesionales sanitarios que consultaron su historia clínica.

La Sala de lo Contencioso-Administrativo, en su sentencia 789/2026, concluye que esos trabajadores no son «destinatarios» de los datos personales a efectos del RGPD cuando actúan dentro de la organización sanitaria y siguiendo las instrucciones del responsable del tratamiento, avalando así el criterio mantenido por la Agencia Española de Protección de Datos (AEPD).

Dos peticiones rechazas que tenía como objetivo conocer quien había accedido a su historial clínico

Según los antecedentes de hecho de la sentencia, los hechos se remontan a dos solicitudes distintas dirigidas a la Consellería de Sanidad Universal y Salud Pública del Gobierno de Valencia, por un lado, y al Servicio de Salud del Gobierno de Aragón, por otro. En ellas se pedía una detalladísima información sobre todos los accesos que se habían producido por los citados servicios y sus profesionales a su historial clínico.

Y, tras recibir una respuesta negativa, se dirigió ante la Agencia Española de Protección de Datos (AEPD) para proteger su derecho de acceso a su historial clínico. Pero, para su sorpresa, la autoridad archivó su caso.

La AEPD apuntó que el derecho de acceso no da carta blanca para conocer la identidad de terceros dentro de la organización que custodia el fichero, ni tampoco como un medio para valorar si los accesos estaban adecuadamente justificados, competencia que «debe desarrollada por los órganos de gestión, a quienes pueden dirigirse los afectados», señaló la Agencia.

Este pronunciamiento llevó al paciente a recurrir ante la Audiencia Nacional para que fueran los tribunales los encargados de determinar si un paciente tiene derecho a obtener del responsable del tratamiento la identidad de tercero que, dentro de la organización del responsable del fichero, ha accedido a los datos personales de, en este caso, la historia clínica.

Y ahí se llevó el segundo portazo: los magistrados de la Audiencia Nacional suscribieron las palabras de la AEPD y rechazaron su recurso.

El paciente entiende que, atendiendo a la redacción del artículo 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos digitales (LOPDGDD), el interesado puede tener derecho a obtener los datos personales de los «destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales».

Por lo que llevaría este asunto hasta el TJUE.

El Supremo avala que la AEPD niegue al paciente conocer qué médico consultó su historial clínico

La Sección Tercera de la Sala de lo Contencioso-Administrativo del alto tribunal, formada por José Manuel Bandrés Sánchez-Cruzat, presidente; Eduardo Calvo Rojas, Diego Córdoba Castroverde, José Luis Gil Ibáñez, Berta María Santillán Pedrosa, Juan Pedro Quintana Carretero, Margarita Beladiez Rojo, cierra la puerta definitivamente para este paciente.

Los magistrados corrigen la interpretación hecha por el paciente al artículo 15 de la LOPDGDD: los empleados médicos o facultativos del organismo que custodia los ficheros con los datos personales no son los «destinatarios».

El acceso de los empleados de la organización a la historia clínica forma parte de la propia actividad asistencial legalmente prevista en la Ley y 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

De modo que «el acceso de los médicos y demás profesionales del servicio sanitario al historial clínico está expresamente autorizado por la ley con la finalidad de garantizar la asistencia adecuada del paciente sin que dicho acceso pueda ser considerado un acceso por terceros o una cesión de los datos», subraya la Sala.

Además, los magistrados enfatizan que el interesado solo podrá conocer su identidad cuando resulte indispensable para ejercer efectivamente sus derechos, tras ponderar también los derechos y libertades de esos trabajadores

Respaldo del TJUE

La sentencia se apoya expresamente en la sentencia del Tribunal de Justicia de la Unión Europea de 22 de junio de 2023 (asunto C-579/21), que estableció que el interesado sí tiene derecho a conocer información sobre las operaciones de acceso realizadas sobre sus datos antes de realizarse (fechas, finalidades, etcétera).

«La aplicación de dicha doctrina al supuesto que nos ocupa nos permite concluir que el interesado fue debidamente informado por el responsable del tratamiento de que todos los accesos realizados a su historial clínico se produjeron por personal autorizado por el servicio de salud y en el ejercicio de sus funciones», explican los magistrados.

Información que se da por cumplida y, por tanto, satisfaciendo el derecho de acceso ejercitado por el recurrente, «al quedar acreditado que todos los accesos a su historial clínico se produjeron por personal médico o asistencial de los centros sanitarios que le trataron y cumpliendo con las previsiones legales y los protocolos de consulta establecidos por el responsable del tratamiento», señalan los magistrados.


Noticias relacionadas