En esta entrada abordamos todo lo referido a las posibles legitimaciones para el tratamiento de datos personales relativos a la salud de pacientes por parte de profesionales o centros sanitarios privados.
La AEPD trata esta cuestión de la legitimación para el tratamiento de datos de salud en el punto 2 de su última “Guía para pacientes y usuarios de la Sanidad” (página 6), y dice literalmente “La base de legitimación para este tratamiento de datos (los relativos a la salud de pacientes o usuarios) está establecida en el artículo 6.1.b) del GDPR para las entidades aseguradoras de salud privadas”; de la literalidad de este punto podría entenderse que se refiere solo a las entidades aseguradoras privadas, cuando entendemos que realmente se refiere a todas las entidades de salud privadas, no solo a las aseguradoras.
Esta base jurídica del artículo 6.1.b) GDPR legitima el tratamiento de datos personales cuando es necesario para la ejecución de un contrato en el que el interesado (paciente/usuario) es parte o para la aplicación a petición de éste de medidas precontractuales.
Cualquiera que sea la forma en la que el paciente contacte con el profesional o centro sanitario, éste adquiere frente a aquél la obligación de poner todos los medios precisos para cumplimentar la solicitud que se le presenta por el paciente/usuario. Nace así una relación contractual entre ambos.
En este sentido, indicar que civilmente, un contrato existe desde que una o varias personas consienten en obligarse respecto a dar alguna cosa o prestar algún servicio (artículo 1254 Código Civil), entendiéndose de manera genérica, cuando alguien oferta un bien o servicio con unas condiciones esenciales, y otros lo aceptan.
En el caso que nos trata, se puede apreciar la existencia de una relación contractual, aunque no conste por escrito, desde el momento en que el profesional o centro sanitario ofrezca un servicio, la forma de realizarlo y un precio determinado y sea aceptado por el paciente/usuario.
Por tanto, podemos decir que los profesionales sanitarios (médica/os, radióloga/os, psicóloga/os, fisioterapeutas, odontóloga/os, óptica/os….) o los centros sanitarios privados, para poder recabar y tratar datos personales relativos a la salud para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, deberán encontrar legitimación en alguna de las bases jurídicas del artículo 6.1 del GDPR, y además al tratarse de datos de categoría especial solo podrán tratarse cuando concurran alguna de las excepciones contempladas en el artículo 9.2 del GDPR.
Quiere esto decir que los profesionales o los centros sanitarios privados en la mayoría de los casos podrán tratar datos personales relativos a la salud de sus pacientes:
- Solicitando el consentimiento, la base legitimadora para este tratamiento de datos está establecida en el artículo 6.1.a) del GDPR consentimiento del interesado para uno o varios fines específicos. La excepción al tratamiento de datos relativos a la salud en este caso está amparada en al artículo 9.2.a) el propio consentimiento del interesado.
- Sin necesidad de solicitar el consentimiento, la base legitimadora para este tratamiento de datos está establecida en el artículo 6.1.b) del GDPR, cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. La excepción al tratamiento de datos relativos a la salud en este caso está amparada en al artículo 9.2.h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
En el segundo caso la no obligatoriedad de solicitar el consentimiento, no exime de la obligación de facilitar al paciente toda la información relativa al tratamiento de sus datos personales conforme a los arts. 13 y 14 del GDPR.
En los dos casos, y en cumplimiento del principio de responsabilidad proactiva del artículo 5.2. GDPR, no solo deberemos cumplir la obligación de solicitar el consentimiento y facilitar la información relativa al tratamiento en el primer caso, o solo de facilitar la información en el segundo, sino que además deberemos ser capaces de demostrar que lo hemos hecho.
Otras circunstancias en las que tampoco sería necesario solicitar el consentimiento, serían cuando:
- El tratamiento de datos se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos. (La base de legitimación está establecida en el artículo 6.1.e) del GDPR).
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. (La base de legitimación está establecida en el artículo 6.1.d) del GDPR).
Se deberá pedir el consentimiento siempre, por ejemplo cuando:
- Se pretenda enviar publicidad.
- Se vayan a ceder los datos personales a un tercero, sin que concurran alguna de las bases jurídicas del artículo 6.1. distintas al propio consentimiento (la cesión sea necesaria para un contrato, por obligación legal, interés público, interés vital o interés legítimo del responsable o un tercero).
Puede descargar la entrada en PDF aquí.