El Informe 0367/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en la comunicación de datos de salud de internos de un centro penitenciario a personal no sanitario del mismo.
El informe destaca que el tratamiento y comunicación de datos de salud están sujetos a restricciones especiales según el artículo 7 de la Ley Orgánica 15/1999. Estos datos solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado. Esta protección especial se alinea con normativas internacionales y comunitarias, como la Directiva 95/46/CE y el Convenio 108 del Consejo de Europa.
La comunicación de datos de salud a personal no sanitario se considera una cesión de datos, definida en el artículo 3.i) de la Ley Orgánica 15/1999. Esta cesión solo es válida si está amparada por una ley o con el consentimiento expreso del afectado, según el artículo 7.3 de la misma ley. El Reglamento Penitenciario, en su artículo 8, establece que los datos de salud de los reclusos solo pueden ser cedidos con el consentimiento expreso y por escrito del recluso o por razones de interés general.
La AEPD subraya que la aplicación del artículo 7.3 implica que las causas legitimadoras de cesión inconsentida previstas en el artículo 11.2 de la Ley Orgánica no son aplicables a los datos de salud. Las cesiones permitidas están limitadas a los supuestos establecidos en la normativa especial, como la Ley 41/2002, que regula la autonomía del paciente y los derechos en materia de información y documentación clínica.
La Ley 41/2002 permite el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, investigación o docencia, siempre que se asegure el anonimato, salvo consentimiento del paciente. También permite el acceso del personal sanitario acreditado para funciones de inspección y evaluación.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, permite la cesión de datos de salud entre organismos del Sistema Nacional de Salud para la atención sanitaria, sin necesidad de consentimiento del interesado.
El informe concluye que cualquier cesión de datos de salud que no esté amparada por una ley o el consentimiento expreso del interesado sería contraria a la Ley Orgánica 15/1999. Las responsabilidades por vulneración de esta ley recaen sobre el responsable del fichero y el encargado del tratamiento, en este caso, la Administración penitenciaria. Las infracciones pueden ser constitutivas de delito o falta disciplinaria, con las correspondientes responsabilidades penales o disciplinarias.