El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se centra en el análisis del Proyecto de Real Decreto que regula la condición de asegurado y beneficiario a efectos de la asistencia sanitaria en España, con cargo a fondos públicos, a través del Sistema Nacional de Salud. Este proyecto tiene como objetivo desarrollar las previsiones de los artículos 3 a 3 ter de la Ley 16/2003, de cohesión y calidad del Sistema Nacional de Salud, modificada por el Real Decreto-ley 16/2012.
El informe destaca la necesidad de que la Exposición de Motivos del proyecto indique que ha sido sometido al previo informe de la AEPD, conforme a lo dispuesto en la Ley Orgánica de Protección de Datos y el Estatuto de la Agencia. Esto es crucial para garantizar la transparencia y el cumplimiento normativo.
Desde la perspectiva de la protección de datos, el artículo 9 del Proyecto es especialmente relevante. Este artículo establece que el reconocimiento, variación y extinción de la condición de asegurado o beneficiario, así como la participación en la prestación farmacéutica, serán comunicados por el Instituto Nacional de la Seguridad Social (INSS) o el Instituto Social de la Marina (ISM) al Ministerio de Sanidad, Servicios Sociales e Igualdad, y posteriormente a los servicios de salud correspondientes. Esta comunicación implica una cesión de datos de carácter personal.
La Ley Orgánica 15/1999 establece que los datos de carácter personal solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo que una norma con rango de ley lo habilite. En este caso, el artículo 3 bis de la Ley 16/2003 y el artículo 94 bis de la Ley 29/2006 permiten estas cesiones sin necesidad de consentimiento, siempre que se cumplan las finalidades legítimas establecidas.
El informe subraya que las disposiciones mencionadas legitiman la cesión de datos prevista en el artículo 9 del Proyecto, amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999. Sin embargo, para garantizar un pleno conocimiento de los supuestos en que procede la cesión de datos y poner de manifiesto los casos en que no es necesario el consentimiento del interesado, se recomienda modificar el artículo 9 del Proyecto. La modificación propuesta incluye referencias explícitas a las cesiones legítimas de datos de carácter personal, asegurando así la transparencia y el cumplimiento de la normativa de protección de datos.
En resumen, el informe de la AEPD subraya la importancia de ajustar el Proyecto de Real Decreto a la normativa vigente en materia de protección de datos, asegurando que todas las cesiones de datos estén debidamente justificadas y amparadas por la ley. Esto no solo garantiza la protección de los derechos de los ciudadanos, sino que también fortalece la seguridad jurídica del sistema.