·
Documentación clínica
Atención médica
Gerente de práctica / Administrador
Derechos del RGPD para corregir o eliminar historias clínicas
Qué exige realmente el RGPD cuando los pacientes solicitan correcciones o eliminaciones de sus historias clínicas, y cuándo las organizaciones sanitarias pueden rechazarlas

Las historias clínicas se encuentran en una intersección de obligaciones legales contrapuestas. El Reglamento General de Protección de Datos (RGPD) otorga a los pacientes derechos significativos sobre sus datos personales, incluido el derecho a que se corrija la información inexacta y, en determinadas circunstancias, a que se elimine. Pero la documentación clínica existe por razones que van mucho más allá de la gestión de datos: sustenta la seguridad del paciente, la responsabilidad profesional y la defensa legal. Cuando un paciente presenta una solicitud para corregir o eliminar una entrada de su historia clínica, las normas aplicables no son sencillas, y las consecuencias de dar una respuesta incorrecta en cualquier dirección pueden ser graves. Este artículo establece lo que realmente requiere el cumplimiento del RGPD en el ámbito sanitario en estas situaciones, qué exenciones se aplican y qué deben hacer en la práctica los responsables clínicos.
Los dos derechos del RGPD que desencadenan solicitudes de corrección y eliminación
Dos artículos del RGPD son directamente relevantes cuando un paciente cuestiona el contenido de su historia clínica.
El artículo 16 establece el derecho de rectificación. Otorga al interesado el derecho a solicitar que el responsable del tratamiento corrija los datos personales inexactos y a que se completen los datos incompletos, incluso mediante una declaración complementaria. La rectificación puede llevarse a cabo modificando directamente los datos, mediante supresión parcial o total, o añadiendo información para completar un registro incompleto.
El artículo 17 establece el derecho de supresión, a veces llamado "derecho al olvido". Exige a los responsables del tratamiento que supriman los datos personales sin dilación indebida en circunstancias específicas, por ejemplo, cuando los datos ya no sean necesarios para el fin para el que se recogieron, o cuando el interesado retire su consentimiento y no se aplique ninguna otra base jurídica.
Ninguno de los dos derechos es absoluto. En un contexto sanitario, ambos están sujetos a limitaciones significativas y bien definidas. Como afirma directamente la Comisión de Protección de Datos de Irlanda: estos derechos "rara vez se aplican a datos personales como opiniones médicas, diagnósticos e historias clínicas de tratamiento clínico". Comprender por qué requiere examinar las exenciones en detalle.
Cuándo no se aplica el derecho de supresión del RGPD a las historias clínicas
El artículo 17 incluye excepciones explícitas que son directamente aplicables a la atención sanitaria. Según el artículo 17(3), el derecho de supresión no se aplica cuando el tratamiento sea necesario:
Para el cumplimiento de una obligación legal en virtud del Derecho de la UE o de los Estados miembros
Por razones de interés público en el ámbito de la salud pública en virtud del artículo 9(2)(i)
Con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos
Para la formulación, el ejercicio o la defensa de reclamaciones legales
En la práctica, la excepción más comúnmente aplicable en entornos clínicos es la obligación legal de conservar registros. Las organizaciones sanitarias de los Estados miembros de la UE están sujetas a períodos mínimos de conservación establecidos por ley. En Inglaterra, por ejemplo, el Código de Prácticas de Gestión de Registros de NHS England exige que las historias clínicas de pacientes adultos se conserven durante un mínimo de ocho años después de la última entrada. Las historias clínicas de médicos de familia deben conservarse durante diez años después del fallecimiento del paciente, de acuerdo con la orientación actual del NHS, aunque los períodos de conservación pueden variar según el tipo de registro. Existen obligaciones equivalentes en todos los Estados miembros de la UE, aunque los períodos específicos varían según la jurisdicción.
Cuando se aplica una obligación legal de conservación, una solicitud de supresión puede rechazarse legalmente. La organización no está obligada a eliminar el registro simplemente porque el paciente lo haya solicitado. La obligación es responder a la solicitud, explicar la exención aplicable e informar al paciente de su derecho a presentar una reclamación ante la autoridad de control pertinente.
El contexto normativo también es relevante aquí: los derechos de supresión del RGPD están sujetos a un escrutinio regulatorio activo, con sanciones por incumplimiento que alcanzan hasta 20 millones de euros o el 4 por ciento de la facturación anual mundial en virtud del artículo 83(5). Tanto las negativas injustificadas como las eliminaciones injustificadas conllevan un riesgo real.
Qué significa realmente "rectificación" en un contexto clínico
La rectificación en virtud del artículo 16 se aplica a datos que son objetivamente inexactos. Una fecha de nacimiento incorrecta del paciente, un nombre mal escrito o una dirección registrada por error son candidatos claros para la corrección. Se trata de errores objetivos, y corregirlos es tanto obligatorio como sencillo.
La situación más compleja surge cuando un paciente cuestiona un juicio clínico, como un diagnóstico, una evaluación documentada o la opinión registrada de un clínico sobre su presentación o comportamiento. Estas entradas no son automáticamente "inexactas" según el RGPD simplemente porque el paciente no esté de acuerdo con ellas.
La orientación de la BMA sobre el acceso a las historias clínicas es explícita en este punto: "los pacientes pueden solicitar la corrección de información que consideren inexacta, pero el profesional sanitario no está obligado a aceptar la opinión del paciente; deben asegurarse de que las notas indiquen el punto de vista del paciente". El juicio profesional documentado de un clínico refleja su evaluación en el momento en que se realizó. Estar en desacuerdo con ese juicio no hace que el registro sea objetivamente incorrecto en el sentido del RGPD.
Cuando un paciente considera que un registro está incompleto en lugar de inexacto, la Comisión de Protección de Datos de Irlanda confirma que el paciente puede solicitar que se añada una declaración complementaria para completar el registro. Este es un derecho significativo, pero distinto del derecho a que se elimine o sobrescriba la entrada original.
La obligación de pista de auditoría: qué debe registrarse cuando cambia una entrada
Cuando se corrige o anota una entrada de historia clínica, la pista de auditoría no es opcional. Es un requisito de cumplimiento fundamental tanto del RGPD como de las normas profesionales de documentación.
Una pista de auditoría adecuada para una modificación de registro debe incluir:
La entrada original, que debe permanecer visible y sin alterar
La fecha y hora de cualquier modificación
La identidad de la persona que realiza la modificación
El motivo del cambio, claramente documentado
La orientación de la BMA establece que "se pueden realizar modificaciones en los registros siempre que las modificaciones se realicen de manera que indique por qué se realizó la alteración, de modo que quede claro que los registros no han sido manipulados". La orientación también confirma que "la información puede eliminarse de la visualización, pero la pista de auditoría siempre mantendrá el registro completo".
Desde una perspectiva técnica, las pistas de auditoría deben ser a prueba de manipulaciones para servir como evidencia creíble durante investigaciones regulatorias o procedimientos legales. Cada entrada de registro debe capturar la identidad del usuario, la marca de tiempo y la acción realizada. Sobrescribir o eliminar la entrada original, en lugar de anotarla, crea tanto un riesgo de cumplimiento del RGPD como un riesgo de responsabilidad profesional. Si un registro ha sido alterado sin una pista de auditoría visible, puede ser imposible demostrar que el cambio fue legítimo en lugar de un intento de ocultar información.
Cómo gestionar una solicitud de rectificación sin alterar la entrada original
El enfoque clínico estándar para una solicitud de rectificación válida es añadir un apéndice o anotación fechada junto a la entrada original, en lugar de editarla o eliminarla. Este método satisface el principio de exactitud del RGPD al tiempo que preserva la integridad del registro original.
Una anotación correctamente construida debe incluir:
La fecha en que se añadió la anotación
El nombre y el rol de la persona que la añade
Una declaración clara de lo que se está corrigiendo o añadiendo, y por qué
Cuando sea relevante, una nota de que la modificación sigue a una solicitud del paciente en virtud del artículo 16 del RGPD
Cuando el paciente ha cuestionado un juicio clínico en lugar de un error objetivo, la anotación debe registrar el punto de vista del paciente sin implicar que la entrada clínica original estaba equivocada. Por ejemplo: "El paciente ha solicitado que se haga constar que cuestiona la evaluación anterior. Su punto de vista ha sido registrado de conformidad con su derecho a añadir una declaración complementaria en virtud del artículo 16 del RGPD".
Este enfoque garantiza que el registro permanezca completo, que la entrada original se conserve para fines clínicos y legales, y que se respete el derecho del paciente a que se documente su perspectiva. También crea un rastro documental claro para cualquier revisión regulatoria posterior.
El papel del Delegado de Protección de Datos y del Guardián Caldicott
No todas las solicitudes de rectificación o supresión necesitan ser escaladas, pero saber cuándo involucrar a roles especializados es importante.
Según el RGPD, las organizaciones sanitarias que tratan categorías especiales de datos, que incluyen todos los datos de salud, están obligadas a designar un Delegado de Protección de Datos (DPD). El DPD debe participar en cualquier situación en la que la respuesta a una solicitud de un interesado sea legalmente incierta, cuando se emita una denegación, o cuando la solicitud implique una posible vulneración del principio de exactitud que pueda afectar a la seguridad del paciente.
En el Servicio Nacional de Salud (NHS) y en entornos sanitarios del Reino Unido, el Guardián Caldicott desempeña un papel relacionado pero distinto: es responsable de proteger la confidencialidad de la información del paciente y de apoyar el intercambio apropiado de información. Cuando una solicitud de rectificación o eliminación plantea cuestiones sobre la idoneidad clínica de divulgar o modificar el contenido del registro, se debe consultar al Guardián Caldicott junto con el DPD.
Para solicitudes rutinarias, como corregir un error objetivo evidente como una dirección incorrecta, un gestor de práctica o un responsable clínico senior normalmente puede gestionar la respuesta directamente, siempre que la modificación siga el procedimiento correcto de pista de auditoría. Para cualquier cosa que implique una entrada clínica cuestionada, una negativa a eliminar, o una solicitud que afecte a diagnósticos sensibles o información de salvaguarda, la escalada al DPD es el paso apropiado.
Responder al paciente: plazos, formato y qué decir cuando se rechaza
El RGPD establece un plazo firme para responder a las solicitudes de los interesados. La respuesta debe proporcionarse en el plazo de un mes desde la recepción de la solicitud. En casos complejos, este período puede ampliarse otros dos meses, pero solo si se notifica al interesado la prórroga y los motivos de la misma dentro de la ventana original de un mes. Sin dicha notificación, el plazo de un mes permanece firme.
El silencio o la demora es en sí mismo un incumplimiento. No responder dentro del plazo se trata como una denegación sin justificación, y el paciente puede presentar una reclamación directamente ante la autoridad de control pertinente.
Al rechazar una solicitud, ya sea de supresión o de rectificación, la respuesta debe:
Estar en un lenguaje claro y accesible (no jerga legal estándar)
Identificar claramente la exención específica o la base jurídica para la denegación
Informar al paciente de su derecho a presentar una reclamación ante la autoridad de control nacional (por ejemplo, la Oficina del Comisionado de Información (ICO) en el Reino Unido, la Comisión de Protección de Datos (DPC) en Irlanda, o la Comisión Nacional de Informática y Libertades (CNIL) en Francia)
Informar al paciente de su derecho a solicitar un recurso judicial
Antes de actuar sobre cualquier solicitud, el responsable del tratamiento debe confirmar que el solicitante es el propio interesado, o alguien con autoridad para actuar en su nombre. Este paso de verificación es particularmente importante en el ámbito sanitario, donde los registros contienen información altamente sensible.
Cómo difieren las obligaciones de corrección y eliminación entre los Estados miembros de la UE
El RGPD establece la línea de base, pero permite explícitamente a los Estados miembros introducir condiciones adicionales para el tratamiento de datos de salud. El artículo 9(4) permite a los Estados miembros "mantener o introducir condiciones adicionales, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud".
Esto significa que los responsables clínicos que trabajan en diferentes jurisdicciones de la UE pueden encontrar variaciones en:
Períodos de conservación: La legislación nacional determina los calendarios mínimos de conservación, y estos difieren significativamente. Alemania, Francia, Irlanda y los Países Bajos tienen cada uno sus propios marcos legales que regulan cuánto tiempo deben conservarse diferentes categorías de historias clínicas.
Procedimientos de modificación: Algunos Estados miembros tienen requisitos procedimentales específicos sobre cómo deben documentarse o notificarse al paciente las modificaciones de las historias clínicas.
Ampliaciones de los derechos de los pacientes: Ciertas jurisdicciones han ampliado los derechos de los pacientes más allá de la línea de base del RGPD en el contexto de las historias clínicas.
El marco del RGPD descrito en este artículo se aplica en toda la UE, pero no sustituye al asesoramiento jurídico local. Los responsables clínicos que operan en cualquier Estado miembro específico deben verificar la orientación nacional aplicable, normalmente emitida por la autoridad nacional de protección de datos o el ministerio de salud pertinente, antes de responder a solicitudes que puedan involucrar la legislación local.
Un marco de decisión práctico para responsables clínicos
Cuando llega una solicitud de un interesado sobre una historia clínica, la siguiente ruta de decisión proporciona un punto de partida estructurado. No es un sustituto del asesoramiento jurídico en casos complejos, pero cubre la mayoría de los escenarios que encontrará un responsable clínico.
Paso 1: Identificar el tipo de solicitud
¿El paciente solicita la corrección de un error objetivo (artículo 16), la finalización de un registro incompleto (artículo 16) o la eliminación del registro (artículo 17)? Las normas aplicables difieren.
Paso 2: Verificar la identidad del solicitante
Confirmar que la solicitud proviene del interesado o de un representante autorizado antes de tomar cualquier acción o compartir cualquier información.
Paso 3: Comprobar las exenciones aplicables
Para solicitudes de supresión: ¿se aplica una obligación legal de conservación? ¿Son necesarios los datos para fines de salud pública, reclamaciones legales o archivo? Si es así, la solicitud puede ser rechazada. Para solicitudes de rectificación: ¿son los datos cuestionados objetivamente inexactos, o es un juicio clínico con el que el paciente no está de acuerdo? Si es lo último, la entrada original no necesita ser cambiada, pero el punto de vista del paciente debe registrarse como una declaración complementaria.
Paso 4: Determinar la acción apropiada
Error objetivo: corregir la entrada utilizando una modificación con pista de auditoría
Registro incompleto: añadir una declaración complementaria fechada
Juicio clínico cuestionado: añadir una anotación registrando el punto de vista del paciente, sin alterar la entrada original
Solicitud de supresión sujeta a una exención de conservación: preparar una respuesta de denegación citando la base jurídica aplicable
Paso 5: Documentar la decisión
Registrar qué solicitud se recibió, qué decisión se tomó, qué exención o base jurídica se aplicó, y quién participó en la toma de la decisión. Esta documentación es en sí misma parte de la obligación de responsabilidad del RGPD de la organización.
Paso 6: Responder dentro del plazo
Enviar una respuesta por escrito en el plazo de un mes. Si se rechaza la solicitud, incluir la base jurídica específica, el derecho del paciente a presentar una reclamación ante la autoridad de control, y su derecho a un recurso judicial. Utilizar un lenguaje claro en todo momento.
Paso 7: Escalar si es cuestionado o incierto
Si el paciente cuestiona la denegación, si la solicitud implica categorías sensibles de información como salvaguarda o historias clínicas de salud mental, o si existe una incertidumbre jurídica genuina sobre la exención aplicable, escalar al DPD. En entornos del NHS, consultar al Guardián Caldicott cuando esté involucrada la confidencialidad del paciente.
Una limitación importante a reconocer: el marco anterior refleja la línea de base del RGPD y las normas generales de documentación clínica. No tiene en cuenta todas las variaciones nacionales, y no aborda la complejidad técnica de la eliminación en los sistemas clínicos modernos, particularmente donde los registros se replican en copias de seguridad, archivos y procesadores de terceros. Implementar la eliminación verificable de datos en conjuntos de datos clínicos cifrados sigue siendo técnicamente desafiante, y las obligaciones de supresión se extienden a las copias de seguridad y copias archivadas mantenidas por los procesadores. Cuando se requiere legalmente una eliminación, los equipos de tecnología de la información y gobernanza de la información deberán participar para garantizar que se lleve a cabo completamente.
Preguntas frecuentes
▶ ¿Tienen los pacientes derecho a eliminar sus historias clínicas según el RGPD?
No en la mayoría de las circunstancias. El artículo 17 del Reglamento General de Protección de Datos otorga un derecho de supresión, pero este derecho no se aplica cuando existe una obligación legal de conservar registros. Las organizaciones sanitarias de los Estados miembros de la UE están sujetas a períodos mínimos de conservación establecidos por ley. En Inglaterra, por ejemplo, NHS England exige que las historias clínicas de pacientes adultos se conserven durante un mínimo de ocho años después de la última entrada. Cuando se aplica tal obligación, una solicitud de supresión puede rechazarse legalmente, siempre que la organización responda por escrito, explique la exención e informe al paciente de su derecho a presentar una reclamación ante la autoridad de control pertinente.
▶ ¿Puede un paciente solicitar la corrección de un diagnóstico clínico con el que no está de acuerdo?
Un paciente puede solicitar la corrección, pero un clínico no está obligado a cambiar un juicio profesional documentado simplemente porque el paciente lo cuestione. El derecho de rectificación en virtud del artículo 16 se aplica a datos objetivamente inexactos, como una fecha de nacimiento incorrecta o un nombre mal escrito. Un diagnóstico o evaluación clínica refleja la opinión profesional del clínico en el momento en que se registró. Estar en desacuerdo con esa opinión no hace que la entrada sea inexacta según el RGPD. Cuando un paciente cuestiona un juicio clínico, la respuesta apropiada es añadir una declaración complementaria registrando el punto de vista del paciente, sin alterar la entrada original.
▶ ¿Qué debe incluir una pista de auditoría cuando se modifica una historia clínica?
Cuando se corrige o anota una entrada de historia clínica, la pista de auditoría debe incluir cuatro elementos: la entrada original, que debe permanecer visible y sin alterar; la fecha y hora de la modificación; la identidad de la persona que realiza la modificación; y el motivo del cambio. Sobrescribir o eliminar la entrada original, en lugar de anotarla, crea tanto un riesgo de cumplimiento del RGPD como un riesgo de responsabilidad profesional. Si un registro ha sido alterado sin una pista de auditoría visible, puede ser imposible demostrar que el cambio fue legítimo.
▶ ¿Cómo debe gestionar un responsable clínico una solicitud de rectificación sin cambiar la entrada original?
El enfoque estándar es añadir un apéndice o anotación fechada junto a la entrada original. Una anotación correctamente construida debe incluir la fecha en que se añadió, el nombre y el rol de la persona que la añade, una declaración clara de lo que se está corrigiendo o añadiendo y por qué, y, cuando sea relevante, una nota de que la modificación sigue a una solicitud del paciente en virtud del artículo 16 del RGPD. Cuando un paciente ha cuestionado un juicio clínico en lugar de un error objetivo, la anotación debe registrar el punto de vista del paciente sin implicar que la entrada original estaba equivocada.
▶ ¿Cuál es el plazo para responder a la solicitud de corrección o eliminación de un paciente?
El RGPD exige una respuesta en el plazo de un mes desde la recepción de la solicitud. En casos complejos, este período puede ampliarse otros dos meses, pero solo si se notifica al paciente la prórroga y los motivos de la misma dentro de la ventana original de un mes. El silencio o la demora es en sí mismo un incumplimiento. No responder dentro del plazo se trata como una denegación sin justificación, y el paciente puede presentar una reclamación directamente ante la autoridad de control pertinente.
▶ ¿Qué debe incluir una carta de denegación al rechazar la solicitud de supresión o rectificación de un paciente?
Una respuesta de denegación debe estar redactada en un lenguaje claro y accesible. Debe identificar claramente la exención específica o la base jurídica para la denegación, informar al paciente de su derecho a presentar una reclamación ante la autoridad de control nacional (como la Oficina del Comisionado de Información en el Reino Unido, la Comisión de Protección de Datos en Irlanda, o la Comisión Nacional de Informática y Libertades en Francia), e informar al paciente de su derecho a solicitar un recurso judicial. La jerga legal estándar no es suficiente. El paciente debe poder comprender por qué se ha rechazado la solicitud y qué puede hacer a continuación.
▶ ¿Cuándo debe participar un Delegado de Protección de Datos en la gestión de una solicitud de historia clínica?
Las organizaciones sanitarias que tratan datos de salud están obligadas según el RGPD a designar un Delegado de Protección de Datos. El Delegado de Protección de Datos debe participar cuando la respuesta a una solicitud sea legalmente incierta, cuando se emita una denegación, o cuando la solicitud implique una posible vulneración del principio de exactitud que pueda afectar a la seguridad del paciente. Las solicitudes rutinarias, como corregir un error objetivo evidente como una dirección incorrecta, normalmente pueden ser gestionadas por un gestor de práctica o un responsable clínico senior, siempre que la modificación siga el procedimiento correcto de pista de auditoría. Cualquier cosa que implique una entrada clínica cuestionada, una negativa a eliminar, o información sensible como salvaguarda o historias clínicas de salud mental debe ser escalada al Delegado de Protección de Datos.
▶ ¿Difieren las normas de corrección y eliminación del RGPD entre los Estados miembros de la UE?
El RGPD establece la línea de base, pero permite explícitamente a los Estados miembros introducir condiciones adicionales para el tratamiento de datos de salud en virtud del artículo 9(4). Esto significa que los responsables clínicos que trabajan en diferentes jurisdicciones de la UE pueden encontrar variaciones en los períodos de conservación establecidos por ley, los procedimientos de modificación y los derechos de los pacientes que van más allá de la línea de base del RGPD. Alemania, Francia, Irlanda y los Países Bajos tienen cada uno sus propios marcos legales que regulan cuánto tiempo deben conservarse diferentes categorías de historias clínicas. Los responsables clínicos que operan en cualquier Estado miembro específico deben verificar la orientación nacional aplicable, normalmente emitida por la autoridad nacional de protección de datos o el ministerio de salud pertinente, antes de responder a solicitudes que puedan involucrar la legislación local.
▶ ¿Se extiende el derecho de supresión del RGPD a las copias de seguridad y copias archivadas de historias clínicas?
Sí. Cuando se requiere legalmente una eliminación, la obligación se extiende a las copias de seguridad y copias archivadas mantenidas por los procesadores, no solo al registro principal. Implementar la eliminación verificable de datos en conjuntos de datos clínicos cifrados es técnicamente desafiante, particularmente donde los registros se replican en copias de seguridad, archivos y procesadores de terceros. Cuando se requiere legalmente una eliminación, los equipos de tecnología de la información y gobernanza de la información deberán participar para garantizar que se lleve a cabo completamente.
▶ ¿Cuál es la diferencia entre el derecho de rectificación y el derecho a añadir una declaración complementaria?
El derecho de rectificación en virtud del artículo 16 del RGPD cubre la corrección de datos objetivamente inexactos y la finalización de datos incompletos. Cuando un paciente considera que un registro está incompleto en lugar de inexacto, puede solicitar que se añada una declaración complementaria para completar el registro. Este es un derecho significativo, pero distinto del derecho a que se elimine o sobrescriba la entrada original. La Comisión de Protección de Datos de Irlanda confirma esta distinción directamente: la declaración complementaria se sitúa junto a la entrada original en lugar de reemplazarla.