El Informe 0600/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con el tratamiento de datos de salud en un centro médico privado que mantiene un concierto con la Administración de la Comunidad Autónoma para la asistencia a beneficiarios de la Seguridad Social.
En primer lugar, se analiza si el centro médico debe solicitar el consentimiento inequívoco de sus pacientes para el tratamiento de sus datos tanto en la actividad pública como privada. La AEPD recuerda que el tratamiento de datos de salud está sujeto a una protección especial según la Ley Orgánica 15/1999 y las normativas internacionales y comunitarias. El artículo 7.3 de la Ley Orgánica establece que los datos de salud solo pueden ser tratados cuando lo disponga una ley o el afectado consienta expresamente. Sin embargo, el artículo 7.6 permite el tratamiento de estos datos cuando sea necesario para la prevención o diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto al secreto profesional.
En segundo lugar, se plantea si el centro médico necesita autorización del paciente para integrar en el sistema informático del servicio de salud de su comunidad autónoma los datos sanitarios del paciente atendido en el centro, que han sido originados como consecuencia de una asistencia privada. La Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, establece que la historia clínica debe integrar toda la documentación clínica del paciente para facilitar la asistencia sanitaria. La AEPD concluye que la incorporación de datos de asistencias prestadas en el marco del concierto con el Servicio de Salud de la comunidad autónoma no requiere el consentimiento del paciente, ya que está amparada por la normativa vigente. Sin embargo, los datos relativos a asistencias privadas no están sujetos a esta obligación, aunque el centro médico debe cumplir con los deberes de unidad de la historia clínica impuestos por la Ley 41/2002.
En resumen, el informe subraya la importancia de la protección de datos de salud y establece que el tratamiento de estos datos está permitido en ciertos casos específicos, como la prestación de asistencia sanitaria, sin necesidad de consentimiento explícito del paciente. Además, se aclara que la integración de datos en el sistema informático del servicio de salud solo es obligatoria para las asistencias concertadas, no para las privadas.