El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la legitimación para el tratamiento de datos personales de salud mediante el intercambio de información clínica entre los médicos del Servicio Público de Salud (SPS) y las Mutuas. Este intercambio se realiza en el contexto de la gestión de incapacidades temporales y permanentes de los trabajadores.
El informe se basa en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). El RGPD define los datos de salud como aquellos que revelan información sobre el estado físico o mental de una persona, incluyendo la prestación de servicios de atención sanitaria. El tratamiento de estos datos está prohibido, salvo en casos específicos que levantan la prohibición, como el cumplimiento de obligaciones legales o el ejercicio de derechos específicos en el ámbito laboral y de la seguridad social.
El artículo 9.2 del RGPD establece excepciones a la prohibición de tratamiento de datos de salud, entre las cuales se encuentra el tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. Estas excepciones deben estar amparadas por una norma con rango de ley, que puede establecer requisitos adicionales relativos a la seguridad y confidencialidad.
El informe analiza el artículo 71.3 del Texto Refundido de la Ley General de la Seguridad Social (TRLGSS), que permite el acceso a la historia clínica de los trabajadores por parte de las entidades gestoras de la Seguridad Social y la inspección médica. Esta normativa se considera conforme al RGPD y a la LOPDGDD, ya que establece las finalidades y garantías necesarias para el tratamiento de datos de salud.
Además, el informe destaca la importancia de las garantías establecidas en la Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Esta ley establece que el acceso a la historia clínica debe ser estrictamente necesario y limitado a la finalidad específica de cada caso, garantizando la confidencialidad y la seguridad de los datos.
En conclusión, el intercambio de información clínica entre los médicos del SPS y las Mutuas está legitimado por el artículo 71.3 del TRLGSS y la Ley 41/2002, siempre y cuando se cumplan las garantías y limitaciones establecidas en estas normativas. El acceso a la historia clínica debe ser estrictamente necesario y limitado a la finalidad específica de evaluar la capacidad laboral de los trabajadores, respetando en todo momento la confidencialidad y la seguridad de los datos personales de salud.