El Informe 0505/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda una consulta sobre el cumplimiento del artículo 91.5 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, en relación con la actuación entre una entidad consultante y una empresa de transporte sanitario.
La consulta se centra en determinar si la actividad de la empresa de transporte sanitario, que se limita a trasladar a pacientes para sesiones de rehabilitación, requiere el cumplimiento de las disposiciones mencionadas. La AEPD señala que no se especifica claramente la relación jurídica entre la entidad consultante, la empresa de transporte y la Gerencia regional de salud de la Junta de Castilla y León, lo que dificulta proporcionar una respuesta concreta.
El informe analiza dos posibles escenarios:
1. **Encargado del Tratamiento**: Si la empresa de transporte actúa como encargada del tratamiento para el hospital, debe cumplir con las medidas de seguridad establecidas en el artículo 82 del Reglamento. Esto incluye la celebración de un contrato escrito que cumpla con los requisitos de la Ley Orgánica y del Reglamento, así como la adopción de medidas de seguridad específicas.
2. **Cesión de Datos**: Si la relación no constituye una prestación de servicios, la comprobación de los datos se consideraría una cesión de datos, regulada por el artículo 11 de la Ley Orgánica y, en el caso de datos de salud, por el artículo 7. Este artículo permite el tratamiento de datos de salud sin consentimiento expreso del afectado cuando sea necesario para la prestación de asistencia sanitaria o tratamientos médicos, siempre que el personal esté sujeto a una obligación de secreto profesional.
El informe concluye que la actuación de la entidad consultante es correcta, pero no se ampara en el artículo 91.5 del Reglamento, sino en el artículo 7.6 de la Ley Orgánica. Además, subraya que el Reglamento establece objetivos mínimos para garantizar la protección de datos, permitiendo a las entidades adoptar criterios que ofrezcan mayores garantías en su sistema de información.
En resumen, el informe aclara que la actividad de transporte sanitario puede ajustarse a la normativa de protección de datos sin necesidad de cumplir estrictamente con el artículo 91.5 del Reglamento, siempre que se respeten las disposiciones del artículo 7.6 de la Ley Orgánica y se adopten las medidas de seguridad adecuadas.