El Informe 0636/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal respecto a la incorporación del nombre y apellidos de pacientes ingresados en tarjetas de visitas facilitadas por un hospital. Estas tarjetas tienen como objetivo controlar el número y horario de permanencia de las visitas en el centro hospitalario.
El informe destaca que el hospital es el responsable del tratamiento y cesión de los datos del paciente, según el artículo 3 d) de la Ley Orgánica 15/1999. La exhibición pública de la tarjeta, que incluye los datos de identidad del paciente, constituye una cesión de datos, ya que se revela información a personas distintas del interesado. Esta cesión implica una exposición de datos sensibles relacionados con la salud del paciente, lo cual está sujeto a un régimen especial de protección.
La Ley Orgánica 15/1999 establece que los datos de salud solo pueden ser tratados y cedidos cuando exista una ley que lo permita o cuando el afectado consienta expresamente. El artículo 7.3 de la ley especifica que los datos de carácter personal que hagan referencia a la salud solo podrán ser recabados, tratados y cedidos cuando por razones de interés general así lo disponga una ley o el afectado consienta expresamente.
El informe subraya que la cesión de datos de salud para el control de visitas no encaja en las excepciones previstas en los artículos 7.6, 8 y 11.2 f) de la Ley Orgánica 15/1999. Por lo tanto, la cesión planteada debe estar sometida al consentimiento expreso del paciente o estar autorizada por una ley. La falta de este consentimiento exige que los datos sean disociados, es decir, que no permitan identificar al paciente. Una posible solución sería utilizar un número de control o referencia que no identifique al paciente, como el número de cama o habitación.
Además, el informe recuerda los principios de protección de datos de carácter personal recogidos en el artículo 4 de la Ley Orgánica 15/1999, que establecen que los datos solo pueden ser recogidos y tratados cuando sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas. La comunicación de la identidad del paciente a través de la tarjeta de visitas no encajaría en la finalidad de prestar asistencia sanitaria, por lo que requeriría el consentimiento expreso del afectado.
El informe concluye que, si existe otro procedimiento o sistema para controlar las visitas sin necesidad de revelar la identidad del paciente, debería optarse por dicha fórmula para evitar una cesión de datos innecesaria o excesiva. Finalmente, se señala que la recogida de datos personales para el control de visitas hospitalarias debe ir precedida del cumplimiento del deber de información del artículo 5 de la Ley Orgánica 15/1999.