El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 359/2002 aborda la cesión de datos de salud de asegurados por centros sanitarios privados a aseguradoras de asistencia sanitaria. La consulta plantea si esta cesión es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, dado que no se cuenta con el consentimiento expreso de los asegurados.
El informe comienza analizando la naturaleza de la transmisión de datos, diferenciando entre una cesión de datos y la prestación de un servicio por parte del centro sanitario en nombre de la aseguradora. Se concluye que los centros sanitarios no pueden ser considerados meros encargados del tratamiento, ya que tienen la obligación legal de conservar y tratar los datos de salud de los pacientes según la Ley 41/2002. Por lo tanto, la transmisión de datos debe considerarse una cesión o comunicación de datos personales.
Dado que los datos en cuestión están relacionados con la salud, se aplica el artículo 7.3 de la Ley Orgánica 15/1999, que establece que estos datos solo pueden ser cedidos con el consentimiento expreso del afectado o por razones de interés general dispuestas por una ley. La consulta indica que no se cuenta con dicho consentimiento, por lo que se analiza si existe una norma con rango de ley que habilite la cesión.
El informe examina dos supuestos específicos: la comunicación de datos derivados del cuestionario de salud y la comunicación de datos para la repercusión del gasto sanitario. En el primer caso, se concluye que la obligación legal de responder al cuestionario exime la necesidad de consentimiento para el tratamiento de esos datos por parte de la aseguradora. Sin embargo, para la realización de exámenes adicionales y su comunicación, se requiere el consentimiento expreso del interesado.
En el segundo supuesto, se analiza si la cesión de datos para justificar el gasto sanitario puede ampararse en la relación contractual entre el asegurado y la aseguradora. Aunque la ley impone a la aseguradora la obligación de satisfacer los gastos de asistencia sanitaria, la cesión de datos de salud no puede ampararse en el artículo 11.2 c) de la Ley Orgánica 15/1999, ya que se trata de datos especialmente protegidos. Por lo tanto, la cesión solo será posible con el consentimiento del afectado o mediante una norma con rango de ley.
El informe concluye que ninguna de las soluciones planteadas en la consulta es conforme a la Ley Orgánica 15/1999. Para la cesión de datos necesarios para justificar el gasto sanitario, se requiere el consentimiento del afectado, que debe constar en la póliza del seguro o en su prórroga, y se debe informar al asegurado en cada acto médico sobre la comunicación de sus datos a la entidad aseguradora. Además, solo se podrán comunicar los datos que sean adecuados, pertinentes y no excesivos para acreditar el gasto sanitario.