El Informe Jurídico 0551/2008 de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con el tratamiento de datos personales en el contexto de una entidad en liquidación, específicamente en lo que respecta a la custodia y destrucción de historias clínicas. La entidad consultante, colaboradora de la Seguridad Social, debe gestionar ficheros que contienen datos de salud, incluyendo historias clínicas, y se plantea cómo proceder con estos datos al transmitirlos a otra entidad encargada de su custodia y posterior destrucción.
El informe destaca que, según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, los datos deben ser conservados mientras sean necesarios para la finalidad para la cual fueron recabados. En el caso de las historias clínicas, la Ley 41/2002 establece que estos datos deben conservarse al menos cinco años desde el alta del paciente, aunque la normativa autonómica puede exigir plazos más largos. Por lo tanto, la entidad consultante sigue siendo responsable de estos datos y debe asegurarse de que se mantengan las medidas de seguridad y la inscripción en el Registro General de Protección de Datos.
El informe también analiza la posibilidad de contratar a un tercero para la custodia y destrucción de los datos. Este tercero actuaría como encargado del tratamiento, y su actividad debe estar regulada por un contrato que especifique claramente las instrucciones del responsable del tratamiento y las medidas de seguridad a implementar. Además, el encargado del tratamiento debe destruir los datos una vez cumplido el plazo de conservación o devolverlos al responsable del tratamiento.
Se subraya que el encargado del tratamiento no puede utilizar los datos para fines distintos a los establecidos en el contrato y debe preservar los derechos de los afectados, facilitando el acceso a los datos cuando lo soliciten los interesados o las autoridades competentes. En caso de subcontratación, el encargado del tratamiento debe obtener el consentimiento del responsable y asegurar que el subcontratista cumpla con las mismas obligaciones de protección de datos.
En conclusión, el tratamiento de los datos personales, especialmente aquellos relacionados con la salud, sigue sometido a la Ley Orgánica 15/1999 mientras sea legalmente exigible su conservación. La entidad consultante debe asegurarse de que el fichero permanezca inscrito en el Registro General de Protección de Datos y que cualquier tercero contratado como encargado del tratamiento cumpla estrictamente con las normativas vigentes.