El Informe 0625/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la relación entre una entidad que fabrica prótesis y los hospitales, en el contexto de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).
El informe comienza señalando que para determinar si la entidad consultante es responsable del fichero o encargado del tratamiento, es necesario conocer más detalles sobre los servicios que presta. Según la LOPD, el responsable del fichero es quien decide sobre la finalidad, contenido y uso del tratamiento de datos, mientras que el encargado del tratamiento es quien procesa datos por cuenta del responsable.
El informe establece que la entidad consultante será considerada responsable del fichero si mantiene contacto directo con los pacientes, emite facturas directamente a ellos, o necesita información personal para garantizar el funcionamiento de las prótesis y realizar trazabilidad en caso de incidencias. En estos casos, la cesión de datos por parte del hospital debe estar legitimada por el consentimiento expreso de los afectados o por una ley, dado que se trata de datos de salud.
Por el contrario, si la entidad no tiene relación directa con los pacientes y fabrica prótesis por cuenta del hospital, sin emitir facturas que impliquen una relación personal con los pacientes, se considera un encargado del tratamiento. En este caso, la relación debe formalizarse por escrito, especificando las instrucciones del responsable del tratamiento y las medidas de seguridad a adoptar.
El informe subraya que, independientemente de su rol, la entidad debe adoptar medidas de seguridad de nivel alto debido al tratamiento de datos de salud. Además, se detallan las obligaciones del encargado del tratamiento, como la limitación de sus acciones a las especificadas en el contrato, la destrucción o devolución de datos una vez cumplida la prestación contractual, y la posibilidad de subcontratación bajo ciertas condiciones.
Finalmente, el informe menciona que el encargado del tratamiento puede conservar los datos bloqueados mientras puedan derivarse responsabilidades de su relación con el responsable del tratamiento, y que en caso de incumplir las estipulaciones del contrato, será considerado responsable del tratamiento, sujetándose al régimen sancionador correspondiente.
En resumen, el informe clarifica las diferencias entre responsable del fichero y encargado del tratamiento, y establece las obligaciones y medidas de seguridad que deben adoptar las entidades que manejan datos de salud, asegurando el cumplimiento de la LOPD y protegiendo los derechos de los afectados.