Última revisión
17/07/2026
TS: El paciente no tiene derecho a conocer la identidad del personal sanitario que haya accedido a su historial clínico

La Sala de lo Contencioso-Administrativo del Tribunal Supremo, en su sentencia n.º 789/2026, de 24 de junio, ECLI:ES:TS:2026:2945, ha fijado doctrina sobre el alcance del derecho de acceso a los datos personales cuando se solicita información sobre quién ha accedido a una historia clínica. La resolución concluye que el interesado no tiene derecho a conocer la identidad del personal integrado en la organización sanitaria que haya accedido a su historial clínico, siempre que se acredite que ese acceso lo realizó personal autorizado y en el ejercicio de sus funciones.
La sentencia aclara la interpretación del artículo 15.1.c) del Reglamento (UE) 2016/679 y su relación con la normativa sanitaria y de protección de datos. En particular, distingue entre los destinatarios de los datos personales y el personal interno autorizado del responsable del tratamiento, al entender que este último no puede equipararse, con carácter general, a un tercero destinatario de los datos
El litigio partía de la impugnación de la resolución de la Agencia Española de Protección de Datos que inadmitió unas reclamaciones formuladas frente a dos servicios de salud autonómicos por negar al afectado el acceso a la identidad de las personas que habían accedido a su historia clínica. La Audiencia Nacional confirmó esa inadmisión y, posteriormente, el asunto llegó al Tribunal Supremo en casación.
Según recoge la resolución, uno de los servicios de salud informó de la revisión de accesos efectuados a la historia clínica en el periodo analizado e indicó que el derecho de acceso no comprendía la identidad de quienes, dentro de la organización responsable del fichero, hubieran consultado la información. El otro servicio de salud comunicó los accesos de consulta realizados, con detalle de fecha, hora, motivo de acceso y servicio o unidad.
- Acceso autorizado dentro de la organización sanitaria. La Sala recuerda que la Ley 41/2002, de 14 de noviembre, reconoce a los profesionales asistenciales y, con los límites legales, al personal de administración y gestión, el acceso a la historia clínica como instrumento orientado a garantizar una asistencia adecuada al paciente. Por ello, cuando ese acceso se produce por personal integrado en la propia organización responsable del tratamiento, no puede considerarse por sí solo una cesión de datos a terceros.
- El concepto de destinatario no incluye al personal interno autorizado. El Tribunal Supremo apoya su razonamiento en la jurisprudencia del Tribunal de Justicia de la Unión Europea y sostiene que los empleados del responsable del tratamiento que acceden a los datos bajo su autoridad y conforme a sus instrucciones no son «destinatarios» en el sentido del artículo 15.1.c) del RGPD.
- Información a la que sí puede acceder el interesado. La sentencia precisa que el afectado sí puede obtener información sobre las operaciones de consulta de sus datos, en particular sobre las fechas y los fines de esas operaciones. Sin embargo, la identidad concreta de los empleados que realizaron esos accesos no forma parte, en principio, del contenido exigible del derecho de acceso, salvo que esa información sea indispensable para que el interesado pueda ejercer efectivamente los derechos que le reconoce la normativa de protección de datos y siempre tras ponderar los derechos y libertades en conflicto.
Con esa interpretación, el TS desestima el recurso de casación y confirma que la inadmisión acordada por la Agencia Española de Protección de Datos fue conforme a derecho al amparo del artículo 65.2 de la Ley Orgánica 3/2018, de 5 de diciembre. La Sala entiende que, en el caso enjuiciado, la información facilitada sobre los accesos realizados a la historia clínica resultaba suficiente para satisfacer el derecho de acceso ejercitado.
El criterio fijado delimita con mayor precisión qué puede reclamar un paciente cuando pide información sobre accesos a su historia clínica. Los centros sanitarios deben poder acreditar que las consultas fueron realizadas por personal autorizado y conforme a sus protocolos, pero ello no implica, con carácter general, la obligación de revelar la identidad del personal que intervino en esos accesos.
