El informe jurídico 0025/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad de la comunicación a la Administración tributaria de un listado de pacientes atendidos por facultativos integrados en una administración pública, con el fin de justificar los desplazamientos realizados a efectos fiscales. La consulta se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).
La transmisión de datos planteada se considera una cesión de datos de carácter personal, definida como la revelación de datos a una persona distinta del interesado. Según el artículo 11.1 de la LOPD, los datos solo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado, salvo que la cesión esté amparada en una norma con rango de ley, como establece el artículo 11.2 a) de la misma ley.
El informe destaca que los datos a comunicar se refieren a pacientes atendidos en actividades relacionadas con la asistencia sanitaria, lo que implica una cesión de datos relacionados con la salud. La LOPD considera estos datos especialmente protegidos y limita su recopilación y cesión. Aunque la LOPD no define explícitamente los datos de salud, se puede recurrir a instrumentos internacionales como el Convenio 108 del Consejo de Europa y la Recomendación 5/97, que definen estos datos como cualquier información concerniente a la salud pasada, presente y futura de un individuo.
El artículo 7.3 de la LOPD establece que los datos de salud solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley por razones de interés general o con el consentimiento expreso del afectado. La Ley General Tributaria (Ley 58/2003) obliga a las entidades públicas a proporcionar a la Administración tributaria datos con trascendencia tributaria. Sin embargo, estos datos deben ser adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, según el artículo 4.1 de la LOPD.
El informe concluye que la comunicación de los datos identificativos de los pacientes a la Administración tributaria no es conforme a la LOPD, ya que estos datos no son necesarios para justificar los desplazamientos a efectos fiscales. Sin embargo, sí sería lícita la comunicación de los datos referidos a los desplazamientos realizados, indicando la naturaleza de los gastos derivados de dichos traslados. Además, el domicilio concreto de la visita solo debe ser proporcionado si es estrictamente necesario para la determinación del gasto de locomoción.
En resumen, la AEPD considera que se puede cumplir con el requerimiento de la Administración tributaria mediante la certificación de los desplazamientos realizados, indicando el domicilio de la asistencia sanitaria solo si es necesario, pero sin incluir en ningún caso los datos identificativos de los pacientes, ya que esto supondría una extralimitación de lo establecido en la LOPD.