Asistencia sanitaria solicitada por una aseguradora o mutua


Manuel Castilleja Toscano     13/07/2020


Cuando una Aseguradora o una Mutua contrata los servicios de un Centro o Profesional Sanitario Privado (médico, psicólogo, hospital, centro de radiodiagnóstico, etc.) para prestar asistencia sanitaria a sus asegurados o mutualistas, estará actuando como responsable del tratamiento (RT) respecto a sus pacientes. Eso se debe a que la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, aplica un régimen específico para el tratamiento y cesión de los datos de salud contenidos en las historias clínicas de los interesados (pacientes, trabajadores mutualistas, etc.), e impone al Centro o Profesional Sanitario Privado la obligación de realizar el tratamiento de los datos personales que tengan que incorporarse a dicha historia clínica bajo su responsabilidad.

La Aseguradora o Mutua, como RT, deberá estar legitimada para el tratamiento de los datos personales de los interesados mediante alguna de las bases legitimadoras contempladas en los artículos 6 y 9 del GDPR. El fin será gestionar, validar, verificar y controlar el importe de la asistencia sanitaria que tendrá que ser satisfecho por la Aseguradora en virtud del contrato de seguro de asistencia médica; o el cumplimiento de las obligaciones derivadas del contrato, acreditar el gasto sanitario producido y dar cumplimiento a sus obligaciones como entidad colaboradora con la Seguridad Social, en el caso de las Mutuas. Estos datos se los va a facilitar el Centro o Profesional Sanitario Privado, eso sí, solo los que resulten adecuados, pertinentes y no excesivos para determinar el importe de dicha asistencia sanitaria.

En este sentido, la Aseguradora o la Mutua se convertirán en Destinatarias de una comunicación de datos personales y, consecuentemente, deberán estar legitimadas para tratarlos. Esta cesión de datos personales no puede basarse en que ya esté contemplada en el contrato entre el interesado y la Aseguradora o Mutua, porque el Centro o Profesional Sanitario Privado no lo puede garantizar, al no ser parte del contrato. Por lo tanto, esta comunicación deberá estar amparada en alguna otra de las bases legitimadoras de los artículos 6 y 9 del GDPR.

En el caso poco probable que el interesado (asegurado o mutualista) se oponga a dicha cesión, el Centro o Profesional Sanitario Privado facturaría el servicio directamente al interesado y no comunicaría ningún dato personal a la Aseguradora o Mutua.

De este modo, el Centro o Profesional Sanitario Privado, al intervenir como RT, deberá informar al interesado sobre esta comunicación de datos, además de los otros detalles dispuestos en los art. 12, 13 y 14 del GDPR.

Por último, para poder demostrar que la cesión de datos es conforme con el GDPR, sería conveniente suscribir un contrato de Destinatario de datos entre la Aseguradora o Mutua y el Centro o Profesional Sanitario Privado, especificando que se van a comunicar datos personales en los dos sentidos.

La propia Agencia Española de Protección de Datos (AEPD), en su Guía práctica para las Evaluaciones de Impacto, en su Anexo VI: Catálogo de amenazas y posibles soluciones (pág. 51) establece que “si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores así como las posibilidades de supervisión y control del cumplimiento del acuerdo”; por lo que recomendamos que se firmen estos contratos que generamos en nuestra aplicación con los destinatarios de datos.


Normativa relacionada:

Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

AEPD: Guía práctica para las Evaluaciones de Impacto