El Informe 0488/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la cesión de datos de salud por parte de una administración pública a una entidad que presta un servicio en virtud de un contrato administrativo. La consulta plantea si dicha cesión es conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El informe destaca que los datos de salud son considerados especialmente protegidos debido a su sensibilidad y a la protección que les otorga tanto la legislación nacional como internacional. La Ley Orgánica 15/1999 establece que estos datos solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado. Además, el artículo 7.3 de la ley especifica que los datos de salud solo pueden ser tratados para fines de interés general, prevención o diagnóstico médicos, prestación de asistencia sanitaria, o gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto al secreto profesional.
El informe también hace referencia a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, así como al Convenio 108 del Consejo de Europa, que establecen un régimen especial de protección para los datos de salud. Estos documentos subrayan la necesidad de consentimiento expreso o la existencia de una normativa que legitime el tratamiento de estos datos.
El artículo 7.6 de la Ley Orgánica 15/1999 permite el tratamiento de datos de salud cuando sea necesario para la prevención o diagnóstico médicos, la prestación de asistencia sanitaria, o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario o una persona sujeta a una obligación equivalente de secreto. Además, el artículo 8 de la misma ley permite a las instituciones y centros sanitarios tratar estos datos de acuerdo con la legislación estatal o autonómica sobre sanidad.
El informe concluye que, para que la cesión de datos de salud sea conforme a la ley, es necesario que exista una normativa que legitime dicha cesión o que se obtenga el consentimiento expreso del afectado. La AEPD subraya que la finalidad para la que se recaban los datos debe estar claramente definida y ser compatible con las finalidades para las que fueron recogidos inicialmente. En ausencia de una ley que legitime la cesión, el consentimiento expreso del afectado es indispensable.
En resumen, el informe 0488/2008 de la AEPD establece que la cesión de datos de salud por parte de una administración pública a una entidad contratista solo es legal si está amparada por una normativa específica o si se cuenta con el consentimiento expreso de los afectados. La protección de estos datos es fundamental y debe respetarse en todos los tratamientos y cesiones que se realicen.