El Informe Jurídico 0471/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si la recogida de datos de salud requiere el consentimiento escrito de los pacientes, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe establece que, según el artículo 7.3 de la Ley Orgánica 15/1999, los datos de salud solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o el afectado consienta expresamente. Esta protección especial se alinea con normativas internacionales y comunitarias, como la Directiva 95/46/CE y el Convenio 108 del Consejo de Europa, que también establecen un régimen especial para los datos de salud.
El artículo 7.6 de la misma ley permite el tratamiento de datos de salud sin consentimiento en casos específicos, como la prevención o diagnóstico médicos, la prestación de asistencia sanitaria, o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto al secreto profesional. Además, se permite el tratamiento cuando sea necesario para salvaguardar el interés vital del afectado o de otra persona incapacitada para dar su consentimiento.
El informe también destaca que la normativa estatal, específicamente la Ley 41/2002 de Autonomía del Paciente, establece un régimen específico para el acceso y cesión de datos de la historia clínica. Esta ley limita el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, investigación o docencia, asegurando el anonimato salvo consentimiento expreso del paciente.
En cuanto a la legislación autonómica, la Ley de Salud de Aragón (Ley 6/2002) regula la historia clínica, determinando los datos que la componen, su gestión, utilización, acceso y conservación, y el deber de secreto para el personal que accede a ella.
Finalmente, el informe subraya la importancia de cumplir con los principios generales de protección de datos, como la adecuación, pertinencia y no excesividad de los datos recogidos, y la necesidad de observar medidas de seguridad de nivel alto para el tratamiento de datos de salud, conforme a lo dispuesto en el artículo 9.3 de la Ley Orgánica 15/1999 y el Real Decreto 1720/2007.
En resumen, la regla general para la recogida y tratamiento de datos de salud es el consentimiento expreso del afectado, con excepciones específicas establecidas por la ley para garantizar la prestación de servicios sanitarios y la protección de intereses vitales.