La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha dictado la sentencia STS 789/2026, en la que fija doctrina sobre el derecho de acceso de los pacientes a la información sobre quién consulta su historial clínico. El fallo establece que los médicos y demás profesionales sanitarios que acceden a esos datos dentro de la organización prestadora del servicio no son «destinatarios» a efectos del Reglamento General de Protección de Datos (RGPD), por lo que el interesado carece con carácter general del derecho a conocer su identidad.
EN 30 SEGUNDOS
- ¿Qué ha resuelto el tribunal? La Sala de lo Contencioso-Administrativo del Tribunal Supremo, en sentencia STS 789/2026, rechaza el derecho de los pacientes a conocer qué médicos accedieron a su historial clínico.
- ¿Qué base jurídica aplica? Interpreta el artículo 15 de la LOPDGDD, en relación con el RGPD, para concluir que los empleados sanitarios no son «destinatarios» de los datos cuando actúan bajo instrucciones del responsable del tratamiento, así como la doctrina del TJUE (asunto C-579/21).
- ¿Qué impacto tiene? La sentencia cierra la vía a solicitudes de identificación de profesionales sanitarios que consulten historias clínicas con fines asistenciales, avalando el criterio de la Agencia Española de Protección de Datos y consolidando la protección de la privacidad de los trabajadores del sector.
Antecedentes del proceso
El litigio se originó a raíz de dos solicitudes presentadas por un paciente ante los servicios de salud de las Comunidades Autónomas de Valencia y Aragón. En ellas, reclamaba información detallada sobre todos los acesos realizados por profesionales sanitarios a su historia clínica. Ante la negativa de ambas administraciones, el interesado acudió a la Agencia Española de Protección de Datos (AEPD) para ejercer su derecho de acceso. La AEPD archivó el caso, argumentando que el derecho de acceso no ampara conocer la identidad de terceros dentro de la organización responsable del fichero, y que la competencia para controlar la justificación de los accesos corresponde a los órganos de gestión del servicio de salud.
Disconforme, el paciente recurrió ante la Audiencia Nacional, que confirmó la decisión de la AEPD. Los magistrados de la Audiencia Nacional avalaron que el personal sanitario que consulta la historia clínica en el desempeño de sus funciones no es un «destinatario» de los datos, sino un usuario autorizado dentro de la organización. La sentencia recordó que la Ley 41/2002, básica reguladora de la autonomía del paciente, permite esos accesos para garantizar la asistencia adecuada.
El paciente, sin embargo, insistió en que la redacción del artículo 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) le concede el derecho a obtener los datos de los «destinatarios» de sus datos personales, y elevó el caso hasta el Tribunal Supremo, dispuesto a llegar incluso al Tribunal de Justicia de la Unión Europea.
El fallo del Tribunal Supremo
La Sección Tercera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, compuesta por los magistrados José Manuel Bandrés Sánchez-Cruzat (presidente), Eduardo Calvo Rojas, Diego Córdoba Castroverde, José Luis Gil Ibáñez, Berta María Santillán Pedrosa, Juan Pedro Quintana Carretero y Margarita Beladiez Rojo, desestimó el recurso y confirmó las resoluciones anteriores. Según la sentencia, los médicos y demás facultativos que acceden al historial clínico no son «destinatarios» de los datos personales a efectos del artículo 15 de la LOPDGDD, sino personal autorizado que actúa dentro de la organización y bajo las instrucciones del responsable del tratamiento.
La Sección Tercera del Tribunal Supremo fija que los médicos que consultan la historia clínica en el ejercicio de sus funciones asistenciales no son «destinatarios» de los datos, excluyéndolos del derecho de acceso del paciente a conocer su identidad.
El alto tribunal subraya que el acceso a la historia clínica por parte de estos profesionales forma parte de la actividad asistencial prevista en la Ley 41/2002 y está expresamente autorizado para garantizar la asistencia adecuada del paciente. Por tanto, dicho acceso no constituye un acceso por terceros ni una cesión de datos. La sentencia introduce una ponderación: el interesado solo podrá conocer la identidad de esos trabajadores cuando resulte «indispensable» para ejercer efectivamente sus derechos, previa ponderación con los derechos y libertades de los empleados.
Para fundamentar su decisión, el Tribunal Supremo se apoya directamente en la sentencia del Tribunal de Justicia de la Unión Europea de 22 de junio de 2023 (asunto C-579/21). En aquel pronunciamiento, el TJUE reconoció el derecho del interesado a obtener información sobre las operaciones de acceso a sus datos (fechas, finalidades, etc.) pero no a conocer la identidad de las personas físicas que las realizan dentro de la organización. Los magistrados aplican esta doctrina al caso, concluyendo que el paciente fue debidamente informado de que todos los accesos se realizaron por personal autorizado y en el ejercicio de sus funciones, satisfaciendo así el derecho de acceso ejercitado.
La Doctrina del Tribunal
La STS 789/2026 consolida una línea jurisprudencial que acota el alcance del derecho de acceso del artículo 15 del RGPD en el ámbito sanitario. El tribunal traza una frontera clara entre los «destinatarios» de los datos —terceros ajenos a la organización o cesionarios externos— y el personal interno que, bajo la autoridad del responsable, maneja la información en cumplimiento de sus cometidos profesionales. La base jurídica combina el artículo 15 de la LOPDGDD (que transpone el derecho a conocer los destinatarios) con la regulación sectorial de la Ley 41/2002, que habilita el acceso de los profesionales sanitarios sin necesidad de obtener el consentimiento expreso del paciente en cada acto asistencial.
La doctrina fijada se aparta de interpretaciones extensivas que equiparaban cualquier consulta de la historia clínica a una comunicación de datos sujeta a información individualizada. El alto tribunal recuerda que el RGPD no exige identificar nominalmente a los empleados que, dentro de una misma entidad, tratan los datos, siempre que el responsable garantice las medidas de seguridad y el control de accesos. En este sentido, la sentencia se alinea con la jurisprudencia del TJUE (C-579/21) y el criterio técnico de la AEPD, que ya había dictaminado que la supervisión de la adecuación de los accesos corresponde a los órganos de gestión y no al paciente. La proyección de este fallo es inmediata: los juzgados de primera instancia y los órganos de garantía de derechos digitales deberán rechazar las solicitudes de identificación de facultativos, salvo que concurran circunstancias excepcionales que exijan esa revelación para salvaguardar otros derechos fundamentales del interesado.
FICHA DEL CASO
- El caso: Un paciente solicitó a los servicios de salud de Valencia y Aragón la identidad de todos los profesionales que habían accedido a su historial clínico. Tras serle denegado, recurrió ante la AEPD, la Audiencia Nacional y, finalmente, el Tribunal Supremo.
- Datos importantes: STS 789/2026 (Sala de lo Contencioso-Administrativo), artículo 15 LOPDGDD, RGPD y Ley 41/2002. Fallo unánime. Sin cuantía económica ni condena penal; se trata de una resolución contencioso-administrativa.
- Fecha de los juicios: La sentencia fue dictada y publicada en el CENDOJ el 15 de julio de 2026. No se especifica la fecha de la vista oral.
- Personas acusadas y por qué: N/A. El procedimiento no tiene carácter penal; el actor es el paciente recurrente y las demandadas son las administraciones sanitarias.

