No te pierdas nuestros contenidos
SuscribirmeLa Agencia Española de Protección de Datos (AEPD) ha publicado la resolución PD-00068-2026, relativa a una solicitud de acceso a una historia clínica que incluía la identificación de las personas que habían consultado los datos. La resolución se acompaña de una publicación de criterios jurídicos de la AEPD que sitúa el caso en el contexto de la jurisprudencia reciente y del Reglamento (UE) 2025/327, relativo al Espacio Europeo de Datos de Salud (EHDS).
La principal novedad consiste en que la AEPD utiliza el EHDS como criterio interpretativo del artículo 15 del Reglamento General de Protección de Datos (RGPD). Aunque el régimen sectorial europeo todavía no es aplicable en los términos de su calendario transitorio, la Agencia considera que introduce un estándar reforzado de transparencia que debe tenerse presente al interpretar el derecho de acceso en el ámbito sanitario.
El origen de la reclamación
La reclamación fue presentada por una persona que había solicitado en junio de 2022 el acceso a sus datos ante la Unidad Regional de Sanidad de la Jefatura Superior de Policía de Madrid. La solicitud fue reiterada por registro el 17 de mayo y el 6 de septiembre de 2025, en ambos casos referida a la totalidad de su historia clínica y a la documentación médica conservada por los servicios sanitarios.
Durante la tramitación del procedimiento, la Jefatura indicó que había mostrado al reclamante la historia clínica, integrada por 153 documentos, y que el 24 de septiembre de 2025 le había facilitado copia de todos ellos. El interesado reconoció haber recibido la documentación, pero sostuvo que la respuesta seguía siendo incompleta porque no incluía la trazabilidad de los accesos ni la identidad de las personas que habían consultado su entrevista personal y su historial clínico.
Por tanto, la controversia dejó de centrarse en la entrega de la historia clínica y pasó a referirse al alcance del derecho de acceso respecto de los registros de consulta. La AEPD recordó, además, que el responsable debe responder las solicitudes de derechos en el plazo máximo de un mes y que le corresponde acreditar que ha cumplido esa obligación.
El punto de partida: el artículo 15 del RGPD y la doctrina del TJUE
La Agencia parte de la interpretación de la sentencia del Tribunal de Justicia de la Unión Europea de 22 de junio de 2023, asunto C-579/21. En ese asunto, el TJUE declaró que el derecho de acceso comprende información sobre las operaciones de consulta de los datos, incluidas sus fechas y finalidades. Sin embargo, señaló que el artículo 15 del RGPD no exige, con carácter general, comunicar la identidad de los empleados del responsable que realizaron esas consultas bajo su autoridad y siguiendo sus instrucciones.
La identidad individual puede resultar accesible cuando sea indispensable para que el interesado ejerza efectivamente los derechos que le reconoce el RGPD, siempre que se tengan en cuenta también los derechos y libertades de esos empleados. Esta doctrina explica la posición tradicional de la AEPD: la información podía facilitarse mediante categorías de destinatarios, sin identificar automáticamente a cada persona de la organización que hubiera accedido a los datos.
La publicación de criterios jurídicos añade que la sentencia del Tribunal Supremo de 24 de junio de 2026, número 789/2026, confirma este enfoque en el marco normativo anterior a la plena aplicación del EHDS. Según el resumen de la AEPD, no existe un derecho general e incondicionado a conocer la identidad de cada empleado si los protocolos internos permiten comprobar que las consultas se realizaron de acuerdo con las instrucciones del responsable.
El EHDS como criterio para reforzar la transparencia
A partir de ese punto, la resolución incorpora el Reglamento EHDS a la interpretación del derecho de acceso. Su artículo 9 reconoce a las personas físicas el derecho a obtener información, también mediante notificaciones automáticas, sobre cualquier acceso a sus datos de salud electrónicos personales realizado a través del servicio de acceso de los profesionales sanitarios en el contexto asistencial.
La información deberá proporcionarse gratuitamente y sin demora mediante los servicios de acceso a datos de salud electrónicos, y permanecer disponible durante un mínimo de tres años desde la consulta. El contenido mínimo comprende la información sobre el prestador de asistencia sanitaria o cualquier otra persona que haya accedido a los datos, la fecha y hora del acceso y los datos de salud electrónicos consultados.
El mismo precepto permite que los Estados miembros establezcan limitaciones en circunstancias excepcionales, cuando existan indicios concretos de que la divulgación pondría en peligro los derechos o intereses vitales del profesional sanitario o la asistencia prestada a la persona. Por tanto, el propio EHDS configura la transparencia como regla y las restricciones como excepción vinculada a circunstancias específicas.
Sobre esta base, la AEPD concluye que la interpretación más conforme con la evolución del Derecho de la Unión exige entender que, como regla general en el ámbito sanitario, el acceso a la información de trazabilidad incluye la identificación de las personas que han consultado los datos cuando resulte necesaria para garantizar la transparencia y el control efectivo de la licitud del tratamiento. La exclusión general y automática de esa identidad no sería compatible con el estándar reforzado que describe la resolución.
Un derecho sujeto a límites, pero no a exclusiones automáticas
La resolución no configura este acceso como absoluto. La comunicación de la identidad puede limitarse cuando exista una previsión normativa aplicable o cuando una ponderación concreta muestre que la divulgación es desproporcionada o innecesaria para la finalidad de control. En esos casos, el responsable debe fundamentar y documentar la limitación conforme al principio de responsabilidad proactiva.
En el supuesto analizado, la Jefatura Superior de Policía de Madrid no había facilitado la identidad de quienes accedieron a los datos ni había justificado una denegación por circunstancias específicas. La AEPD estimó la reclamación por infracción del artículo 15 del RGPD y le ordenó que, en diez días hábiles, remitiera una certificación atendiendo el derecho solicitado o denegándolo motivadamente de acuerdo con los criterios de la resolución. Se trata de un procedimiento de tutela de derechos y la resolución no impone una multa.
Una precisión necesaria sobre el calendario de aplicación
Tanto la resolución como la publicación de la AEPD se refieren al 26 de marzo de 2027 como fecha a partir de la cual sería exigible el derecho previsto en el artículo 9 del EHDS. Conviene precisar, no obstante, que el artículo 105 del Reglamento establece un calendario escalonado: aunque el Reglamento se aplica con carácter general desde el 26 de marzo de 2027, sus artículos 3 a 15 —entre ellos, el artículo 9— se aplican desde el 26 de marzo de 2029 respecto de las categorías prioritarias del artículo 14.1, letras a), b) y c), y desde el 26 de marzo de 2031 respecto de las categorías de las letras d), e) y f).
Esta precisión temporal no altera el razonamiento central de la resolución: la AEPD no aplica directamente el artículo 9 al caso, sino que lo utiliza como elemento interpretativo de la evolución del Derecho de la Unión. Sí permite distinguir entre el valor actual del EHDS como referencia interpretativa y la exigibilidad futura de sus obligaciones conforme a las fechas específicas del artículo 105.
Implicaciones para las entidades sanitarias
El criterio publicado por la AEPD descarta que las solicitudes sobre trazabilidad puedan responderse mediante una negativa genérica basada únicamente en que las personas que accedieron a los datos son empleados del responsable. En el ámbito sanitario, el responsable deberá analizar si la identificación es necesaria para que el interesado controle la licitud del tratamiento y, si decide limitarla, deberá explicar las circunstancias concretas y documentar la ponderación realizada.
La resolución también confirma que la entrega de una copia íntegra de la historia clínica no agota necesariamente el derecho de acceso. Cuando la solicitud incluye información sobre las consultas realizadas, la respuesta debe abarcar ese extremo o justificar de manera adecuada la denegación total o parcial. El plazo general de un mes y la carga del responsable de demostrar que atendió el derecho siguen siendo plenamente aplicables.
Este desarrollo se integra en la evolución del EHDS que hemos analizado anteriormente en Reglamento del Espacio Europeo de Datos de Salud, en EHDS FAQs: Operational and Governance Perspectives y en Hacia una digitalización de la salud, sobre la futura Ley de Salud Digital española y la necesidad de asegurar estándares comunes de trazabilidad.
En definitiva, la AEPD mantiene la ponderación exigida por el RGPD y la jurisprudencia del TJUE, pero modifica el punto de partida en el ámbito sanitario: la identificación de quienes acceden a los datos no debe excluirse automáticamente, y cualquier restricción debe quedar configurada como una excepción concreta, motivada y documentada.
Para más información, no dudes en contactar con nuestros especialistas de Cuatrecasas a través del Área de Conocimiento e Innovación.
No te pierdas nuestros contenidos
Suscribirme