150 accesos ilícitos a historiales clínicos en dos años: las deficiencias de los controles de acceso en el sistema sanitario público
El Tribunal Superior de Justicia de Navarra (TSJN) ha rebajado de cinco a tres años de prisión la condena a una enfermera que accedió sin justificación a unos 150 historiales clínicos de tres mujeres entre 2018 y 2020. La Sala de lo Civil y Penal aplica como muy cualificada la atenuante de dilaciones indebidas del artículo 21.6 del Código Penal, al constatar que el procedimiento estuvo paralizado más de tres años y medio entre la calificación de la acusación particular —noviembre de 2021— y el escrito de defensa —abril de 2025—. La sentencia de instancia, dictada por la Sección Segunda de la Audiencia Provincial de Navarra en diciembre pasado, ya había apreciado la atenuante, pero como simple y no cualificada.
La rebaja penológica está bien fundada y resulta difícil de cuestionar en el plano técnico. El caso, sin embargo, expone un problema que la resolución judicial no aborda porque no le corresponde: cómo es posible que un sistema de información clínica permita 150 consultas injustificadas durante dos años sin activar ninguna alerta. El artículo 32 del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679, DOUE L 119/1) exige medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento, incluido el control de accesos basado en roles. Para cualquier responsable de protección de datos en el ámbito sanitario, la pregunta operativa que plantea este caso no es si la enfermera merece tres o cinco años de prisión, sino por qué el sistema no detectó el patrón de accesos anómalos en tiempo real.
La sentencia juzga la conducta individual de la enfermera, pero el fallo sistémico que hizo posibles dos años de accesos ilícitos sin detección sigue sin responsable identificado ni, hasta donde se conoce, medidas correctoras en marcha.
Carlos Vega