El informe jurídico 0360/2013 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si los centros sanitarios privados que colaboran con las Mutuas Patronales de Accidentes de Trabajo y Enfermedades Profesionales asumen la condición de responsables o encargados del tratamiento de los datos de salud de los trabajadores. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
Las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales son asociaciones autorizadas por el Ministerio de Trabajo y Asuntos Sociales, cuyo objetivo principal es colaborar en la gestión de la Seguridad Social. Los empresarios pueden optar por proteger a sus trabajadores a través de estas Mutuas o de la entidad gestora correspondiente de la Seguridad Social. La Ley General de la Seguridad Social establece la obligación de los empresarios de afiliar a sus trabajadores y elegir la entidad gestora o Mutua que asumirá la protección por contingencias de accidente de trabajo y enfermedad profesional.
El informe destaca que las Mutuas son responsables del tratamiento de los datos de los trabajadores, ya que deciden sobre la finalidad, contenido y uso del tratamiento. Por otro lado, los centros sanitarios privados que prestan servicios a las Mutuas pueden ser considerados encargados del tratamiento, siempre y cuando actúen bajo las instrucciones de las Mutuas.
Sin embargo, el informe subraya que, en el caso de datos de salud contenidos en historias clínicas, la Ley 41/2002, básica reguladora de la autonomía del paciente, establece un régimen específico para el tratamiento y cesión de estos datos. Esta ley impone obligaciones en cuanto al acceso, uso y conservación de las historias clínicas que deben cumplir los centros o profesionales que atiendan a los trabajadores. Estas obligaciones no pueden ser modificadas por las instrucciones del responsable del tratamiento, lo que impide considerar a los centros sanitarios privados como encargados del tratamiento en este contexto.
En consecuencia, cualquier cesión de datos de salud requerirá una habilitación legal o el consentimiento expreso de los trabajadores, salvo en casos de urgencia. Los datos de salud serán recabados directamente por los centros sanitarios privados desde el momento en que los trabajadores acudan a recibir asistencia, y estos centros estarán legitimados para el tratamiento de dichos datos en virtud de la Ley Orgánica 15/1999.
El informe concluye que, aunque el contrato de prestación de servicios entre las Mutuas y los centros sanitarios privados puede atribuir al contratista la condición de encargado del tratamiento, en el caso de datos de salud contenidos en historias clínicas, esta condición no es aplicable debido a las obligaciones impuestas por la Ley 41/2002. Por lo tanto, los contratos deben adaptarse a estas obligaciones, y no pueden imponer cláusulas contrarias a lo establecido por la ley, lo que determina la imposibilidad de atribuir la condición de encargado del tratamiento a los centros sanitarios privados en este contexto.