El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza un Proyecto de Orden que establece la aportación del usuario en la cartera común suplementaria de prestación con productos dietéticos. Este proyecto se enmarca en el artículo 8 ter de la Ley 16/2003, modificado por el Real Decreto-ley 16/2012, y define la contribución de los usuarios en la prestación de productos dietéticos dentro del Sistema Nacional de Salud.
El informe destaca que, aunque el proyecto no contiene disposiciones directas sobre protección de datos, el régimen establecido en el artículo único del proyecto implica el tratamiento de datos personales, especialmente relacionados con la salud y las rentas de los usuarios. Este régimen establece porcentajes de aportación basados en las rentas de los asegurados y exenciones para ciertos colectivos, similar al sistema introducido en la Ley 29/2006 sobre garantías y uso racional de medicamentos y productos sanitarios.
La AEPD subraya la importancia de garantizar que el acceso y tratamiento de estos datos se realice conforme a la legislación vigente en materia de protección de datos. Se menciona que el Instituto Nacional de la Seguridad Social (INSS) o el Instituto Social de la Marina (ISM) recibirán la información necesaria para determinar el nivel de aportación de cada usuario y luego comunicarán este nivel a la administración sanitaria competente.
El informe también aborda la legitimación para la cesión de datos, señalando que debe limitarse a los datos necesarios para determinar el nivel de aportación del usuario, sin incluir la cuantía concreta de las rentas. Esto se alinea con el artículo 4.1 de la Ley Orgánica 15/1999, que establece que los datos deben ser adecuados, pertinentes y no excesivos en relación con las finalidades determinadas.
Finalmente, la AEPD sugiere completar el artículo único del proyecto con un nuevo apartado que especifique claramente la base legitimadora del tratamiento y cesión de datos, remitiéndose al artículo 94 ter de la Ley 29/2006. Esto garantizaría la seguridad jurídica y evitaría posibles controversias sobre la cobertura legal para el acceso a los datos necesarios para determinar la aportación del usuario.