Legitimacions per al tractament de dades de salut relatives a pacients


Manuel Castilleja Toscano     22/12/2020

Amb el present document pretenem aclarir que fa a les legitimacions per al tractament de dades personals relatives a la salut de pacients per part de professionals o centres sanitaris privats.

L'AEPD tracta la legitimació per al tractament de dades de salut al punt 2 de la seva “Guia per a pacients i usuaris de la Sanitat” (pàgina 6), i diu literalment “La base de legitimació per aquest tractament de dades (el relatiu a la salut de pacients o usuaris) està establerta a l'article 6.1.b) del GDPR per a les entitats asseguradores de salut privades”; de la literalitat d'aquest punt podria entendre's que es refereix només a les entitats asseguradores privades, quan entenem que realment es refereix a totes les entitats de salut privades, no només a les asseguradores.

La base jurídica de l'article 6.1.b) GDPR legitima el tractament de dades personals quan és necessari per a l'execució d'un contracte en el qual l'interessat (pacient/usuari) és part o per a l'aplicació a petició d'aquest de mesures precontractuals.

Qualsevol que sigui la forma en la qual el pacient/usuari (interessat) contacti amb el professional o centre sanitari (responsable del tractament), neix una relació contractual entre tots dos, ja que el responsable adquireix l'obligació de posar tots els mitjans necessaris per atendre la sol·licitud de l'interessat. En aquest sentit, cal indicar que un contracte existeix des que una o diverses persones consenten a obligar respecte a donar alguna cosa o prestar algun servei (art. 1254 Codi Civil), entenent-se de manera genèrica, quan algú oferta un bé o servei amb unes condicions essencials, i altres ho accepten. En el cas que ens ocupa, apreciem l'existència d'una relació contractual, encara que no consti per escrit, des del moment en què el professional o centre sanitari ofereixi un servei, la forma de realitzar i un preu determinat i sigui acceptat pel pacient/usuari.

Per tant, podem dir que els professionals sanitaris (metges, radiòlegs, psicòlegs, fisioterapeutes, odontòlegs, òptics, etc.) o els centres sanitaris privats, per poder demanar i tractar dades personals relatives a la salut per a fins de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d'assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d'assistència sanitària i social, hauran de trobar legitimació en alguna de les bases jurídiques de l'art. 6.1 del GDPR, ia més a l'tractar de dades de categoria especial només podran tractar-se quan concorrin alguna de les excepcions previstes en l'article 9.2 del GDPR.

Això vol dir que els professionals sanitaris o els centres sanitaris privats, en la majoria dels casos, podran tractar dades personals relatives a la salut dels seus pacients/usuaris:

  • Sol·licitant el consentiment, en base a l'art. 6.1.a) GDPR, amb el consentiment de l'interessat per a un o varis fins específics.

La excepción para tratar datos de salud estará emparada en l'art. 9.2.a) perquè l'interessat ha donat el seu consentiment explícit.

  • Sense necessitat de sol·licitar el consentiment, en base a l'art. 6.1.b) GDPR, quan el tractament és necessari per l'execució d'un contracte en el que l'interessat és part o per a l'aplicación a petició d'aquest de mesures precontractuals.

L'excepció per a tractar dades de salut estarà amparada en al art. 9.2.h) perquè el tractament és necessari per a fins de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d'assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d'assistència sanitària i social.

En qualsevol cas, existeix l'obligació de facilitar al pacient/usuari tota la informació relativa al tractament de les seves dades personals conforme als arts. 13 i 14 GDPR i donar compliment al principi de responsabilitat proactiva de l'art. 5.2. GDPR que exigeix ser capaços de demostrar que ho hem fet.

Altres circumstàncies que preveu el GDPR en què no és necessari sol·licitar el consentiment, són quan:

  • El tractament s'efectua en base a l'art. 6.1.e) GDPR per al compliment d'una missió realitzada en interès públic.

L'excepció per tractar dades de salut estarà emparada en a l'art. 9.2.i) perquè el tractament és necessari per raons d'interès públic en l'àmbit de la salut pública, com la protecció davant amenaces transfrontereres greus per a la salut, o per garantir elevats nivells de qualitat i de seguretat de l'assistència sanitària i de els medicaments o productes sanitaris o la inspecció de reclamacions dels ciutadans.

  • El tractament s'efectua en base a l'art. 6.1.d) GDPR per a protegir interessos vitals de l'interessat o d'una altra persona física.

L'excepción per a tractar dades de salut estarà emparada a l'art. 9.2.c) quan l'interessat no estigui capacitat, física o jurídicamente, para dar su consentimiento.

S'ha de tenir en compte que els professionals sanitaris o els centres sanitaris privats sí que han de sol·licitar el consentiment, per exemple, quan:

  • Es pretengui enviar publicitat.
  • Es cedeixin les dades personals a un tercer, sense que concurrin alguna de les bases jurídiques de l'art. 6.1. diferents al propi consentiment (la cessió sigui necessària per a un contracte, per obligació legal, interès públic, interès vital o interès legítim del responsable o un tercer).