El Informe Jurídico 0406/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la comunicación y cesión de datos de salud. La primera cuestión se centra en la conformidad de la comunicación de datos de salud por parte de hospitales públicos, aseguradoras médicas, mutuas y clínicas privadas, así como la posterior cesión de estos datos por la consultante a otras empresas privadas y entidades financieras. La segunda cuestión se refiere a la figura del encargado del tratamiento de datos según el artículo 12 de la Ley Orgánica 15/1999.
En cuanto a la primera cuestión, el informe analiza si el número de historia clínica o un número de control que se comunica para facturación y control de pagos constituye una disociación de datos que excluiría la aplicación de la Ley Orgánica 15/1999. Según la definición de disociación en la ley, para que un dato sea considerado disociado, debe ser imposible asociarlo a una persona identificada o identificable. El informe concluye que si existe la posibilidad, aunque sea remota, de identificar al paciente a través de la información disponible, la disociación no es suficiente y los datos están sujetos a la ley.
El informe también examina la comunicación de datos de salud, que están especialmente protegidos según la Ley Orgánica 15/1999. La ley establece que estos datos solo pueden ser tratados y cedidos con el consentimiento expreso del afectado o cuando lo disponga una ley. El informe destaca que la cesión de datos de salud para fines de control o gestión económica no se ajusta a las excepciones previstas en la ley, por lo que se requiere el consentimiento expreso del paciente o una autorización legal.
En cuanto a la segunda cuestión, el informe analiza si el modelo de contrato presentado por dos hospitales de SACYL convierte a la consultante en encargada del tratamiento de datos. El informe concluye que, efectivamente, la consultante actúa como encargada del tratamiento, ya que los hospitales le encargan la gestión del fichero «Gestión Económica» y le ceden datos que identifican claramente a los pacientes. El informe detalla las obligaciones y responsabilidades de la encargada del tratamiento, incluyendo la necesidad de actuar conforme a las instrucciones del responsable del tratamiento, la destrucción o devolución de los datos una vez cumplida la prestación contractual, y la adopción de medidas de seguridad adecuadas.
En resumen, el informe subraya la importancia del consentimiento expreso del afectado para la cesión de datos de salud y la necesidad de cumplir con las disposiciones legales en materia de protección de datos, tanto para los responsables como para los encargados del tratamiento.