El informe 449/2004 de la Agencia Española de Protección de Datos (AEPD) aborda la cesión de datos de salud de pacientes por parte de profesionales de la medicina y centros sanitarios a aseguradoras de asistencia sanitaria, evaluando su conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe comienza analizando la naturaleza de la transmisión de datos, determinando si se trata de una cesión o comunicación de datos o si es la prestación de un servicio por parte del centro sanitario o profesional en nombre de la aseguradora. Para que los centros o profesionales sean considerados encargados del tratamiento, deben limitarse a seguir las instrucciones de la aseguradora, lo cual no es posible debido a las obligaciones legales de conservación y tratamiento de las historias clínicas establecidas en la Ley 41/2002.
Por lo tanto, la transmisión de datos se considera una cesión de datos de carácter personal. Dado que estos datos están relacionados con la salud, se aplica el artículo 7.3 de la Ley Orgánica 15/1999, que establece que solo pueden ser cedidos con el consentimiento expreso del afectado o por razones de interés general dispuestas por una ley.
El informe examina si la cesión de datos podría justificarse por la existencia de una relación contractual entre el asegurado y la aseguradora, según el artículo 11.2 c) de la Ley Orgánica. Sin embargo, esta disposición no es aplicable en el caso de datos de salud, ya que la ley exige una norma específica con rango de ley que autorice la cesión de estos datos.
Además, el informe descarta la aplicación de la doctrina de la AEPD sobre la comunicación de datos en casos de seguro de responsabilidad civil, ya que en este caso no es necesario obtener información detallada de cada siniestro para la constitución de provisiones técnicas.
Por lo tanto, la cesión de datos de salud a aseguradoras solo es posible si el interesado ha prestado su consentimiento informado y explícito. Este consentimiento debe cumplirse con los requisitos del artículo 3 h) y 5.1 de la Ley Orgánica 15/1999, informando al interesado de la existencia del fichero, la finalidad de la recogida de datos, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención de los datos y los derechos de acceso, rectificación, cancelación y oposición.
Finalmente, la comunicación de datos debe respetar el principio de proporcionalidad, limitándose a los datos necesarios para determinar el importe de la asistencia sanitaria que la aseguradora debe satisfacer.