El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número de referencia 0369/2005 aborda la consulta sobre el acceso de las Mutualidades Administrativas, en particular la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), a los datos del Conjunto Mínimo Básico de Datos Hospitalarios (CMBD) recogidos por centros sanitarios. Este acceso se realizaría a través de entidades concertadas que actuarían como encargadas del tratamiento de datos.
El informe detalla el flujo de datos desde los centros sanitarios a las entidades concertadas y, posteriormente, a las mutualidades. Este flujo incluye datos relacionados con la salud de los afectados, lo cual está sujeto a las disposiciones del artículo 7.3 de la Ley Orgánica 15/1999 de Protección de Datos, que exige el consentimiento del afectado o una habilitación legal para el tratamiento y cesión de estos datos.
La AEPD señala que la transmisión de datos desde los centros sanitarios a las entidades concertadas debe contar con el consentimiento del afectado, salvo que estas entidades actúen como meras encargadas del tratamiento para las mutualidades. En este caso, las entidades no pueden tratar los datos para sus propios fines y deben limitarse a recibir y transmitir la información sin incorporarla a sus ficheros, salvo que cuenten con el consentimiento del interesado.
El informe analiza la habilitación legal para la cesión de datos a las mutualidades, concluyendo que está amparada por el Texto Refundido de la Ley de Seguridad Social de los Funcionarios Civiles del Estado y la Ley 16/2003 de cohesión y calidad del Sistema Nacional de Salud. Estas normativas otorgan a las mutualidades la responsabilidad de gestionar y prestar asistencia sanitaria, así como de realizar estudios epidemiológicos y evaluar la calidad de sus servicios.
La cláusula 2.3.4 del concierto entre las mutualidades y las entidades concertadas para el trienio 2006-2008 es evaluada en el informe. Se concluye que esta cláusula es conforme a la Ley Orgánica 15/1999, ya que los datos del CMBD son adecuados para las finalidades previstas, se informa a los beneficiarios sobre el tratamiento de sus datos y se establecen medidas de seguridad adecuadas. Además, se especifica que las entidades concertadas solo pueden utilizar los datos para la recogida, custodia y transmisión a las mutualidades, sin poder destinarlos a otros fines.
En resumen, el informe de la AEPD concluye que las mutualidades, y en particular MUFACE, están habilitadas para el tratamiento de los datos del CMBD, y que la cláusula propuesta para el concierto con las entidades concertadas es conforme a la legislación vigente en materia de protección de datos.