Legitimaciones para el tratamiento de datos de salud relativo a pacientes


Manuel Castilleja Toscano     14/12/2020

Con el presente documento pretendemos aclarar lo referente a las legitimaciones para el tratamiento de datos personales relativos a la salud de pacientes por parte de profesionales o centros sanitarios privados.

La AEPD trata la legitimación para el tratamiento de datos de salud en el punto 2 de su “Guía para pacientes y usuarios de la Sanidad” (página 6), y dice literalmente “La base de legitimación para este tratamiento de datos (los relativos a la salud de pacientes o usuarios) está establecida en el artículo 6.1.b) del GDPR para las entidades aseguradoras de salud privadas”; de la literalidad de este punto podría entenderse que se refiere solo a las entidades aseguradoras privadas, cuando entendemos que realmente se refiere a todas las entidades de salud privadas, no solo a las aseguradoras.

La base jurídica del artículo 6.1.b) GDPR legitima el tratamiento de datos personales cuando es necesario para la ejecución de un contrato en el que el interesado (paciente/usuario) es parte o para la aplicación a petición de este de medidas precontractuales.

Cualquiera que sea la forma en la que el paciente/usuario (interesado) contacte con el profesional o centro sanitario (responsable del tratamiento), nace una relación contractual entre ambos, ya que el responsable adquiere la obligación de poner todos los medios necesarios para atender la solicitud del interesado. En este sentido, hay que indicar que un contrato existe desde que una o varias personas consienten en obligarse respecto a dar alguna cosa o prestar algún servicio (art. 1254 Código Civil), entendiéndose de manera genérica, cuando alguien oferta un bien o servicio con unas condiciones esenciales, y otros lo aceptan. En el caso que nos ocupa, apreciamos la existencia de una relación contractual, aunque no conste por escrito, desde el momento en que el profesional o centro sanitario ofrezca un servicio, la forma de realizarlo y un precio determinado y sea aceptado por el paciente/usuario.

Por tanto, podemos decir que los profesionales sanitarios (médicos, radiólogos, psicólogos, fisioterapeutas, odontólogos, ópticos, etc.) o los centros sanitarios privados, para poder recabar y tratar datos personales relativos a la salud para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, deberán encontrar legitimación en alguna de las bases jurídicas del art. 6.1 del GDPR, y además al tratarse de datos de categoría especial solo podrán tratarse cuando concurran alguna de las excepciones contempladas en el artículo 9.2 del GDPR.

Quiere esto decir que los profesionales sanitarios o los centros sanitarios privados, en la mayoría de los casos, podrán tratar datos personales relativos a la salud de sus pacientes/usuarios:

  • Solicitando el consentimiento, en base al art. 6.1.a) GDPR, con el consentimiento del interesado para uno o varios fines específicos.

La excepción para tratar datos de salud estará amparada en al art. 9.2.a) porque el interesado dio su consentimiento explícito.

  • Sin necesidad de solicitar el consentimiento, en base al art. 6.1.b) GDPR, cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

La excepción para tratar datos de salud estará amparada en al art. 9.2.h) porque el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

En cualquier caso, existe la obligación de facilitar al paciente/usuario toda la información relativa al tratamiento de sus datos personales conforme a los arts. 13 y 14 GDPR y dar cumplimiento al principio de responsabilidad proactiva del art. 5.2. GDPR que exige ser capaces de demostrar que lo hemos hecho.

Otras circunstancias previstas en el GDPR en las que no es necesario solicitar el consentimiento, son cuando:

  • El tratamiento se efectúa en base al art. 6.1.e) GDPR para el cumplimiento de una misión realizada en interés público.

La excepción para tratar datos de salud estará amparada en al art. 9.2.i) porque el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos.

  • El tratamiento se efectúa en base al art. 6.1.d) GDPR para proteger intereses vitales del interesado o de otra persona física.

La excepción para tratar datos de salud estará amparada en al art. 9.2.c) cuando el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Debe tenerse en cuenta que los profesionales sanitarios o los centros sanitarios privados sí deberán solicitar el consentimiento, por ejemplo, cuando:

  • Se pretenda enviar publicidad.
  • Se vayan a ceder los datos personales a un tercero, sin que concurran alguna de las bases jurídicas del art. 6.1. distintas al propio consentimiento (la cesión sea necesaria para un contrato, por obligación legal, interés público, interés vital o interés legítimo del responsable o un tercero).