BASE JURÍDICA QUE LEGITIMA EL TRATAMIENTO DE DATOS EN EL ÁMBITO SANITARIO
Consentimiento informado en el ámbito sanitario
No se debe confundir el consentimiento informado en el ámbito sanitario, definido en el art. 8 Ley 41/2002 básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, con el consentimiento para el tratamiento de datos personales del art. 6.1.a) o 9.2.a) RGPD.
El primero se refiere a la conformidad libre, voluntaria y consciente de un paciente, manifestada en el pleno uso de sus facultades después de recibir la información adecuada, para que tenga lugar una actuación que afecta a su salud.
El segundo se refiere a la manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de sus datos personales.
Relación contractual
Civilmente, un contrato existe desde que una o varias personas consienten en obligarse, respecto de otra u otras, a dar alguna cosa o prestar algún servicio (artículo 1254 Código Civil), es decir cuando alguien oferta un bien o servicio con unas condiciones, y otros lo aceptan.
En el caso de la prestación de asistencia sanitaria, por tanto, se puede apreciar la existencia de una relación contractual, aunque no conste por escrito, desde el momento en que el profesional o centro sanitario ofrezca un servicio y la forma de realizarlo y sea aceptado por el paciente/usuario.
Base jurídica
El tratamiento de datos personales que implica el proceso asistencial prestado por un centro o profesional sanitario no requiere por tanto consentimiento (art. 6.1.a RGPD) del interesado (paciente), ya que prestar la asistencia sanitaria supone, a todos los efectos, una relación contractual entre los profesionales o centros sanitarios y sus pacientes (art. 6.1.b RGPD) y por tanto el tratamiento de los datos personales del paciente es estrictamente necesario para poder prestar el servicio de asistencia sanitaria que el paciente solicita.
Datos relativos a la salud
Los datos de salud son considerados una categoría especial de datos personales y, por su sensibilidad, requieren una protección adicional. El RGPD, en su art. 9.1, prohíbe su tratamiento salvo que concurra una de las excepciones previstas en el art. 9.2.
Para el caso que nos ocupa, generalmente la habilitación para levantar la prohibición de tratar los datos relativos a la salud es la excepción prevista en el art. 9.2.h RGPD ya que el tratamiento es necesario para para fines de diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o gestión de los sistemas y servicios de asistencia sanitaria.
Resumen y Recomendaciones
- La base legal que legitima el tratamiento de datos en el ámbito sanitario es la contemplada en el art. 6.1.b RGPD, es decir la ejecución de un contrato en el que el interesado es parte.
- Para el tratamiento de los datos relativos a la salud, la excepción que levanta su prohibición es la necesidad del tratamiento para fines de medicina diagnóstico, asistencia sanitaria y gestión de sistemas y servicios sanitarios (art. 9.2.h RGPD).
- En los casos que el consentimiento informado exigido por el art. 8 de la Ley 41/2002 se recabe por escrito, una medida recomendable es incluir en el documento o formulario en el que se recabe la información sobre el tratamiento de datos personales exigida por el art. 13 o 14 RGPD, con el fin de cumplir con el principio de responsabilidad proactiva del art. 5.2 RGPD y poder acreditar que se ha facilitado dicha información.