El Informe 0076/2014 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda el procedimiento a seguir en la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, en relación con la prestación de asistencia sanitaria por parte de un Colegio Profesional a sus colegiados y beneficiarios.
El Colegio venía prestando asistencia sanitaria a través de su Servicio Médico, financiado por las cuotas de los colegiados y un copago. Sin embargo, la Dirección General de Seguros y Fondos de Pensiones determinó que esta actividad debía transformarse en una entidad aseguradora, ya que reunía los elementos esenciales de un seguro privado. En consecuencia, el Colegio constituyó una mutua de seguros a prima fija, Nueva Mutua Sanitaria del Servicio Médico, autorizada por la Orden ECC/2877/2012.
Este cambio plantea diversas implicaciones en materia de protección de datos. En primer lugar, se procederá al traspaso de los empleados del Servicio Médico a la Nueva Mutua y, en segundo lugar, al traspaso de los contratos de cobertura de los usuarios del Servicio Médico. Sin embargo, debido a la distinta naturaleza del Servicio Médico y la Nueva Mutua, será necesario que los colegiados firmen una nueva póliza con la mutua para mantener la cobertura.
La consulta plantea si la transmisión de datos desde el Colegio a la Nueva Mutua puede ampararse en el artículo 19 del Reglamento de desarrollo de la Ley Orgánica 15/1999, que se refiere a operaciones de reestructuración societaria. No obstante, dado que no se produce una subrogación automática y es necesaria la celebración de un nuevo contrato de seguro, esta opción no parece aplicable.
La AEPD sugiere que la transmisión de datos podría justificarse en el artículo 11.2 c) de la Ley Orgánica 15/1999, que permite la cesión de datos cuando es necesaria para el desarrollo, mantenimiento y control de una relación negocial. En este caso, la transmisión de datos es necesaria para que la Nueva Mutua pueda preparar la nueva póliza y mantener la cobertura solicitada por los colegiados.
Es importante destacar que la transmisión de datos debe respetar el principio de finalidad y que, una vez realizada la cesión, la Nueva Mutua no podrá tratar los datos para otros fines sin la adecuada legitimación. Además, la comunicación de datos de salud requeriría el consentimiento de los afectados, ya que el Servicio Médico no tiene la condición de entidad aseguradora.
Finalmente, la AEPD recomienda que el Colegio informe a los colegiados sobre la cesión de sus datos a la Nueva Mutua, facilitando así su comprensión del proceso y evitando situaciones de alarma.