Legitimación para el tratamiento de datos relativos a la salud de pacientes


Manuel Castilleja Toscano     14/12/2020


Con el presente documento pretendemos aclarar lo referente a las legitimaciones para el tratamiento de datos personales relativos a la salud de pacientes por parte de profesionales o centros sanitarios privados.

En primer lugar, no se debe confundir el consentimiento informado en el ámbito sanitario, definido en el art. 8 Ley 41/2002 básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, con el consentimiento para el tratamiento de datos personales del art. 6.1.a) o 9.2.a) RGPD. El primero se refiere a la conformidad libre, voluntaria y consciente de un paciente, manifestada en el pleno uso de sus facultades después de recibir la información adecuada, para que tenga lugar una actuación que afecta a su salud. El segundo se refiere a la manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de sus datos personales.

Hecha esta aclaración, la AEPD trata la legitimación para el tratamiento de datos de salud en su “Guía para pacientes y usuarios de la Sanidad” en la que establece que la base de legitimación para este tratamiento de datos (los relativos a la salud de pacientes o usuarios) está establecida en el artículo 6.1.b) del RGPD ”.

La base jurídica del artículo 6.1.b) RGPD legitima el tratamiento de datos personales cuando es necesario para la ejecución de un contrato en el que el interesado (paciente/usuario) es parte o para la aplicación a petición de este de medidas precontractuales.

Cualquiera que sea la forma en la que el paciente/usuario (interesado) contacte con el profesional o centro sanitario (responsable del tratamiento), nace una relación contractual entre ambos, ya que el responsable adquiere la obligación de poner todos los medios necesarios para atender la solicitud del interesado. En este sentido, hay que indicar que un contrato existe desde que una o varias personas consienten en obligarse respecto a dar alguna cosa o prestar algún servicio (art. 1254 Código Civil), entendiéndose de manera genérica, cuando alguien oferta un bien o servicio con unas condiciones esenciales, y otros lo aceptan. En el caso que nos ocupa, apreciamos la existencia de una relación contractual, aunque no conste por escrito, desde el momento en que el profesional o centro sanitario ofrezca un servicio, la forma de realizarlo y un precio determinado y sea aceptado por el paciente/usuario.

Por tanto, podemos decir que el tratamiento de datos personales que implica el proceso asistencial prestado por un centro o profesional sanitario no requiere por tanto consentimiento (art. 6.1.a RGPD) del interesado (paciente), ya que prestar la asistencia sanitaria supone, a todos los efectos, una relación contractual entre los profesionales o centros sanitarios y sus pacientes (art. 6.1.b RGPD) y por tanto el tratamiento de los datos personales del paciente es estrictamente necesario para poder prestar el servicio de asistencia sanitaria que el paciente solicita.

Los datos de salud son considerados una categoría especial de datos personales y, por su sensibilidad, requieren una protección adicional. El RGPD, en su art. 9.1, prohíbe su tratamiento salvo que concurra una de las excepciones previstas en el art. 9.2.Para el caso que nos ocupa, generalmente la habilitación para levantar la prohibición de tratar los datos relativos a la salud es la excepción prevista en el art. 9.2.h RGPD ya que el tratamiento es necesario para para fines de diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o gestión de los sistemas y servicios de asistencia sanitaria.

En cualquier caso, existe la obligación de facilitar al paciente/usuario toda la información relativa al tratamiento de sus datos personales conforme a los arts. 13 y 14 RGPD y dar cumplimiento al principio de responsabilidad proactiva del art. 5.2. RGPD que exige ser capaces de demostrar que lo hemos hecho.

Debe tenerse en cuenta que los profesionales sanitarios o los centros sanitarios privados sí deberán solicitar el consentimiento, por ejemplo, cuando:

  • Se pretenda enviar publicidad.
  • Se vayan a ceder los datos personales a un tercero, sin que concurran alguna de las bases jurídicas del art. 6.1. distintas al propio consentimiento (la cesión sea necesaria para un contrato, por obligación legal, interés público, interés vital o interés legítimo del responsable o un tercero).