Con el presente documento pretendemos aclarar lo referente a las legitimaciones para el tratamiento de datos personales relativos a la salud de pacientes por parte de profesionales o centros sanitarios privados.
La AEPD trata la legitimación para el tratamiento de datos de salud en el punto 2 de su “Guía para pacientes y usuarios de la Sanidad” (página 6), y dice literalmente “La base de legitimación para este tratamiento de datos (los relativos a la salud de pacientes o usuarios) está establecida en el artículo 6.1.b) del GDPR para las entidades aseguradoras de salud privadas”; de la literalidad de este punto podría entenderse que se refiere solo a las entidades aseguradoras privadas, cuando entendemos que realmente se refiere a todas las entidades de salud privadas, no solo a las aseguradoras.
La base jurídica del artículo 6.1.b) GDPR legitima el tratamiento de datos personales cuando es necesario para la ejecución de un contrato en el que el interesado (paciente/usuario) es parte o para la aplicación a petición de este de medidas precontractuales.
Cualquiera que sea la forma en la que el paciente/usuario (interesado) contacte con el profesional o centro sanitario (responsable del tratamiento), nace una relación contractual entre ambos, ya que el responsable adquiere la obligación de poner todos los medios necesarios para atender la solicitud del interesado. En este sentido, hay que indicar que un contrato existe desde que una o varias personas consienten en obligarse respecto a dar alguna cosa o prestar algún servicio (art. 1254 Código Civil), entendiéndose de manera genérica, cuando alguien oferta un bien o servicio con unas condiciones esenciales, y otros lo aceptan. En el caso que nos ocupa, apreciamos la existencia de una relación contractual, aunque no conste por escrito, desde el momento en que el profesional o centro sanitario ofrezca un servicio, la forma de realizarlo y un precio determinado y sea aceptado por el paciente/usuario.
Por tanto, podemos decir que los profesionales sanitarios (médicos, radiólogos, psicólogos, fisioterapeutas, odontólogos, ópticos, etc.) o los centros sanitarios privados, para poder recabar y tratar datos personales relativos a la salud para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, deberán encontrar legitimación en alguna de las bases jurídicas del art. 6.1 del GDPR, y además al tratarse de datos de categoría especial solo podrán tratarse cuando concurran alguna de las excepciones contempladas en el artículo 9.2 del GDPR.
Quiere esto decir que los profesionales sanitarios o los centros sanitarios privados, en la mayoría de los casos, podrán tratar datos personales relativos a la salud de sus pacientes/usuarios:
La excepción para tratar datos de salud estará amparada en al art. 9.2.a) porque el interesado dio su consentimiento explícito.
La excepción para tratar datos de salud estará amparada en al art. 9.2.h) porque el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
En cualquier caso, existe la obligación de facilitar al paciente/usuario toda la información relativa al tratamiento de sus datos personales conforme a los arts. 13 y 14 GDPR y dar cumplimiento al principio de responsabilidad proactiva del art. 5.2. GDPR que exige ser capaces de demostrar que lo hemos hecho.
Otras circunstancias previstas en el GDPR en las que no es necesario solicitar el consentimiento, son cuando:
La excepción para tratar datos de salud estará amparada en al art. 9.2.i) porque el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos.
La excepción para tratar datos de salud estará amparada en al art. 9.2.c) cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
Debe tenerse en cuenta que los profesionales sanitarios o los centros sanitarios privados sí deberán solicitar el consentimiento, por ejemplo, cuando: