Compartició de dades personals entre un centre sanitari i una mútua col·laboradora amb la Seguretat Social

Autor: Oficina DPD   /  09.03.2022

En la realització d’aquesta ressenya es té en compte la fonamentació jurídica del Dictamen publicat per l’APDCAT (Ref. CNS-15/2017) Dictamen en relació amb la consulta d’un centre sanitari sobre la cessió de dades de pacients a Mútues col·laboradores amb la Seguretat Social, en endavant el Dictamen [1].


La consulta sobre la que es pronuncia el Dictamen és la següent:


“[L]’Hospital rep pacients de Mútues col·laboradores de la Seguretat Social i que una d’elles ha sol·licitat informació relativa al diagnòstic d’un pacient atès per l’Hospital, en virtut del que estableix l’article 82 del Text refós de la Llei general de la Seguretat Social, aprovat pel Reial Decret legislatiu 8/2015, de 30 d’octubre. Segons la consulta, la Mútua argumenta que, ateses les seves funcions, requereix accedir a determinats informes de l’assistència del pacient, entenen que aquest accés vindria legitimat pel Text refós de la Llei General de la Seguretat Social (LGSS).
En conseqüència, l’Hospital consulta “si podem enviar a les Mútues col·laboradores les dades relatives al diagnòstic dels pacients que ens derivin, si existeix alguna limitació a l’enviament d’aquestes dades, i així com el fonament legal habilitant per a la cessió d’aquesta informació”.

Des del punt de vista de protecció de dades, la principal distinció que cal considerar és el rol de les parts. D’acord amb la normativa de protecció de dades, així com, de conformitat amb el Dictamen, ens podem trobar dues situacions a l’hora de compartir dades entre un centre sanitari, en endavant el Centre Sanitari, i una Mútua Col·laboradora amb la Seguretat Social, en endavant la Mutua:


(i) Prestació de serveis/conveni

El primer supòsit es dóna quan, entre ambdues parts, Mútua i Centre Sanitari, es regula un conveni en què la Mutua articula la prestació de l’assistència sanitària al Centre Sanitari. En aquest supòsit, ens trobem que la Mutua ha derivat la prestació d’assistència sanitària a un tercer, el Centre Sanitari i, per tant, des de la perspectiva de protecció de dades, correspondria signar entre ambdues parts un Acord d’encàrrec de tractament, de conformitat amb l’art. 28 RGPD, vinculat al conveni corresponent.

(ii) Cas particular - No es regula un conveni

El segon supòsit es donaria en el cas de què no hi hagi subscrit un conveni entre les parts que reguli el servei que es presta, però la Mútua ha derivat a un treballador per a què aquest sigui atès al Centre Sanitari. En aquest cas, la compartició de les dades personals de la Mútua (per exemple, de treballadors i/o pacients), s’emmarcaria com una comunicació de dades. Per a què la comunicació sigui legítima haurà d’existir l’habilitació legal corresponent que permeti dur a terme aquesta comunicació de dades.

Tenint en compte les dues situacions que ens podem trobar, en termes genèrics, des de la perspectiva de protecció de dades, a continuació s’exposa els dos casos en concret que es regulen en el Dictamen en relació a la consulta que s’ha referenciat a l’inici:

(i) Comunicació de dades per a la gestió de les Mútues col·laboradores de les contingències professionals:

En aquest cas, cal atendre a l’article 80.2 de la LGSS, el qual regula que les Mútues col·laboradores gestionen el reconeixement del dret a determinades prestacions econòmiques i de l’assistència sanitària. Així mateix, l’article 82.2 LGSS preveu que les prestacions sanitàries que són conseqüència de les contingències professionals, poden dispensar-se a través de mitjans propis de les Mútues i també, entre d’altres, a través de convenis amb les administracions publiques sanitàries.


Així mateix, es cita al Dictamen l’article 5 a) de la Llei 15/1990, de 9 de juliol, d'ordenació sanitària de Catalunya, en el qual s’estableix que el Servei Català de la Salut (en endavant, CatSalut) està configurat per tots els centres, serveis i establiments de protecció de la salut i d’atenció sanitària i sociosanitària de la Generalitat, inclosos els transferits de la Seguretat Social i de l’Administració institucional de la sanitat nacional, que s’hi integren a tots els efectes.


Per tant, si tenint en compte això, el Centre Sanitari corresponent, és un dels establiments del sistema sanitari català, la Mútua a través de conveni pot articular la prestació de l’assistència sanitària derivada de contingències professionals a determinats centres assistencials.
En aquest cas, si el tractament de dades deriva d’un conveni establert en els termes de l’article 82.2 LGSS, des de la perspectiva de la normativa de protecció de dades s’hauria de regular a través d’un acord d’encàrrec de tractament de dades personals, en què la Mútua actuaria com a responsable i el Centre sanitari com a encarregat del tractament.

En cas de què s’hagi valorat no establir un conveni entre la Mútua i el Centre Sanitari i no s’articuli el corresponent acord d’encàrrec de tractament, la compartició de les dades relatives al diagnòstic del pacient/treballador en concret derivat per la Mútua al Centre Sanitari, es tractaria d’una comunicació de dades personals.


En aquest cas, la norma amb rang de llei que habilitaria a realitzar aquesta comunicació de dades del treballador per tal de què la Mútua pugui determinar de manera motivada el caràcter professional de la contingència del treballador i prestar-li atenció sanitària a través del Centre Sanitari, és l’article 6 c) del RGPD juntament amb l’excepció 9.2 b) del RGPD en relació amb l’article 82.2 LGSS mencionat.

(ii) Comunicació de dades per a la gestió de situacions d’incapacitat temporal derivada de contingències comunes:

L’apartat b) de l’article 82.4 LGSS, estableix que les Mútues, per tal de gestionar la prestació econòmica per incapacitat temporal derivada de les contingències comunes a favor del treballador, han de poder disposar del contingut dels comunicats mèdics i dels informes emesos en el procés, entre altra informació que regula l’article.


En aquest sentit, de la mateixa manera que s’apuntava per al supòsit anterior, la normativa preveu que les proves diagnòstiques es poden realitzar en centres concertats. Així doncs, si la Mútua estableix aquest sistema per a la realització de proves diagnostiques relacionades amb incapacitats temporals de treballadors per contingències comunes, correspondria subscriure un acord d’encàrrec del tractament: la Mútua seria la responsable del tractament de les dades de treballador i l’Hospital l’encarregat del tractament.


En cas de què no s’hagi establert aquest sistema, s’hauria de realitzar una comunicació de les dades que, d’acord amb el que estableix el Dictamen, es compta amb la suficient habilitació legal (article 6 c) juntament amb l’article 9.2 b) i la regulació de l’article 82.4 b) i d) LGSS) per tal de què l’Hospital que dóna assistència sanitària a un pacient per derivació d’una Mútua col·laboradora amb la Seguretat Social en relació amb una incapacitat temporal per contingències comunes, comuniqui a aquesta la informació sobre el diagnòstic d’un treballador que es troba en situació d’incapacitat temporal, per al compliment de les funcions de seguiment i control que la normativa atorga a la Mútua.

____

[1] Tot i que el Dictamen està resolt d’acord amb la normativa de protecció de dades anterior a la vigent, el supòsit de fet i fonamentació que es realitza es poden tenir en consideració aplicant la normativa de protecció de dades vigent, fins que no existeixin nous pronunciaments al respecte.

  • Des del punt de vista de protecció de dades, la principal distinció que cal considerar és el rol de les parts