El informe jurídico 0502/2008 de la Agencia Española de Protección de Datos (AEPD) aborda la creación de una base de datos automatizada por una Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social. Esta base de datos permitiría a las empresas asociadas cumplimentar los partes de accidentes de trabajo de sus trabajadores, agilizando así las comunicaciones entre las empresas y la Mutua.
La base de datos incluiría información sobre el día del accidente, días probables de baja, visitas efectuadas por el lesionado y el código de la lesión según la Organización Mundial de la Salud. Estos datos se consideran datos de salud, definidos en el artículo 5 g) del Real Decreto 1720/2007, que incluye información sobre la salud pasada, presente y futura de un individuo.
El tratamiento de estos datos de salud está regulado por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Según esta ley, el tratamiento de datos de salud requiere el consentimiento inequívoco del afectado, salvo en casos específicos donde la ley disponga otra cosa. En este caso, el tratamiento de datos de salud es necesario para la prevención o diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios, y puede realizarse sin el consentimiento del afectado si se realiza por un profesional sanitario sujeto al secreto profesional.
La Mutua, como entidad colaboradora en la gestión de la Seguridad Social, está habilitada por la Ley General de la Seguridad Social para tratar estos datos sin necesidad de consentimiento del afectado. La Ley General de la Seguridad Social y su reglamento establecen que las Mutuas pueden gestionar las contingencias de accidentes de trabajo y enfermedades profesionales, incluyendo la prestación de asistencia sanitaria y el abono de prestaciones económicas.
Sin embargo, el informe señala que la incorporación de ciertos datos a la base de datos no sería conforme a la Ley Orgánica 15/1999 si no se respetan los principios de adecuación, pertinencia y no excesividad. Los datos que se comuniquen deben ser los necesarios para cumplir con las obligaciones legales y no pueden usarse para finalidades incompatibles con aquellas para las que fueron recogidos.
En cuanto a las medidas de seguridad, el fichero debe ser de nivel alto, ya que incluye datos de salud. Las condiciones de acceso a estos datos deben cumplir con las medidas técnicas y organizativas establecidas en el Real Decreto 1720/2007, que describe detalladamente las obligaciones del responsable del fichero.
En resumen, la creación de la base de datos por la Mutua es legalmente viable siempre y cuando se respeten las normativas de protección de datos y se implementen las medidas de seguridad adecuadas. La Mutua puede tratar los datos de salud sin consentimiento del afectado debido a su rol en la gestión de la Seguridad Social, pero debe asegurarse de que los datos tratados sean pertinentes y adecuados para las finalidades establecidas.