El Informe 0081/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en la remisión de formularios de solicitud de tratamientos personalizados por parte de farmacias a laboratorios. Este informe se centra en la dispensación de vacunas personalizadas, un proceso que implica la manipulación de datos personales sensibles, específicamente datos de salud.
El procedimiento descrito en la consulta implica que un médico rellena un formulario con los datos del paciente y, si es necesario, muestras de cultivo. Este formulario es presentado por el paciente en una farmacia, que luego lo envía al laboratorio. El formulario incluye una cláusula que informa al paciente sobre el tratamiento de sus datos y su inclusión en un fichero del laboratorio para la gestión y dispensación del producto solicitado.
La AEPD destaca que la dispensación de medicamentos está reservada a las oficinas de farmacia legalmente autorizadas, según la Ley General de Sanidad y la Ley de Garantías y Uso Racional de los Medicamentos y Productos Sanitarios. Esto implica que no hay una relación directa entre el laboratorio y el paciente, sino que esta relación se establece a través de la farmacia.
El informe subraya que el tratamiento de datos personales en este contexto no permite la disociación de los datos, ya que la elaboración de una vacuna personalizada requiere la asociación de los datos con una persona específica. Esto conlleva una cesión de datos de la farmacia al laboratorio y un tratamiento posterior de estos datos por parte del laboratorio.
Dado que se trata de datos de salud, el tratamiento y cesión de estos datos están sujetos a restricciones específicas según el artículo 7 de la Ley Orgánica 15/1999. Este artículo establece que los datos de salud solo pueden ser recabados, tratados y cedidos cuando así lo disponga una ley o cuando el afectado consienta expresamente.
Para que el consentimiento sea válido, debe ser libre, inequívoco, específico e informado, y en el caso de datos de salud, debe ser expreso. La AEPD señala que el formulario debe cumplir con los requisitos de información establecidos en el artículo 5 de la Ley Orgánica 15/1999 y en el artículo 12 del Reglamento de desarrollo de dicha ley. Esto incluye informar al paciente sobre la existencia del fichero, la finalidad de la recogida de datos, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención de los datos, y los derechos de acceso, rectificación, cancelación y oposición.
El informe concluye que, siempre y cuando se cumplan todos los requisitos del consentimiento y la información, la cesión de datos de la farmacia al laboratorio y el posterior tratamiento de estos datos por el laboratorio serán conformes a la Ley Orgánica 15/1999. La AEPD recomienda que el consentimiento se realice por escrito en el propio formulario para facilitar su acreditación.