Centros sanitarios y profesionales privados con aseguradoras, ¿contrato de encargo de tratamiento o de cesión a destinatarios?

 

Cuando una Aseguradora contrata los servicios de un Centro Sanitario o Profesional Privado para prestar asistencia sanitaria a sus asegurados

En principio podríamos pensar que al tratarse de una solicitud de prestación de servicios, nos encontraríamos ante  un encargo de tratamiento de datos por parte de la Aseguradora al Centro Sanitario o Profesional Privado. 
 
Sin embargo aunque técnicamente pudiera intuirse esta situación de encargo de tratamiento, la realidad no es esta, ya que la Ley 41/2002 impone al Centro Sanitario o Profesional Privado la obligación del tratamiento de los datos que hayan de incorporarse a la historia clínica del paciente, excediendo obviamente dicho tratamiento de “las instrucciones del responsable del tratamiento” (la Aseguradora), lo que determina la imposible aplicación del artículo 12 de la Ley Orgánica 15/1999 (LOPD), ni del artículo 28. 3 del Reglamento (UE) 2016/679 (GDPR) y la imposibilidad de considerar que el Centro Sanitario o Profesional Privado sean  considerados unos  meros encargados del tratamiento de la entidad Aseguradora.
 
Se entiende por tanto que los Asegurados (Pacientes/Interesados) de la Aseguradora  van directamente al Centro Sanitario o Profesional Privado y éste les presta los servicios, por lo que el Centro Sanitario o Profesional Privado es responsable del tratamiento, debiendo obtener el consentimiento específico  del paciente para el tratamiento de sus datos, tal como exige el artículo 7 de la LOPD y el artículo 9 del GDPR.
 
Además, la Aseguradora necesitará obtener algunos  datos de sus Asegurados (Pacientes/Interesados),  para determinar el importe de la asistencia sanitaria que habrá de ser satisfecha por la aseguradora en virtud del contrato de seguro de asistencia médica; estos datos se los va a facilitar el Centro Sanitario o Profesional Privado,  eso sí, solo los que resulten adecuados, pertinentes y no excesivos para determinar el importe de dicha asistencia sanitaria. Por lo que la Aseguradora se convertirá en una Destinataria de datos, y atendiendo al artículo 12 de la LOPD y al artículo 24 del GDPR, habrá que suscribir un contrato de Destinatario de datos entre la Aseguradora y el Centro Sanitario o Profesional Privado.
 
Esta cesión de datos no se puede realizar atendiendo a que esté contemplada en el contrato entre el  Asegurado (Paciente/Interesado) y la Aseguradora; ya que el Centro Sanitario o Profesional Privado no pueden garantizarlo por no ser parte del contrato, por lo que siempre deberá obtener autorización expresa del Asegurado (Paciente/Interesado) para la cesión de datos a la Aseguradora. En el caso poco probable que el Asegurado no autorizara dicha cesión, el Centro Sanitario o Profesional Privado facturaría el servicio directamente al Asegurado y no comunicaría ningún dato a la Aseguradora.
 
Por tanto el consentimiento específico  obtenido por el Centro Sanitario o Profesional Privado habrá de contener además  la autorización para la cesión a la Aseguradora  de los datos que estipule en el Contrato de Destinatario y que se describan en el Consentimiento.