Asistencia sanitaria solicitada por una aseguradora o mutua
Quan una Asseguradora o una Mútua contracta els serveis d'un Centre o Professional Sanitari Privat (metge, psicòleg, hospital, centre de radiodiagnòstic, etc.) per a prestar assistència sanitària als seus assegurats o mutualistes, estarà actuant com a responsable del tractament (RT) respecte als seus pacients. Això es deu al fet que la Llei 41/2002 de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica, aplica un règim específic per al tractament i cessió de les dades de salut continguts en les històries clíniques dels interessats (pacients, treballadors mutualistes, etc.), i imposa al Centre o Professional Sanitari Privat l'obligació de realitzar el tractament de les dades personals que s'hagin d'incorporar a aquesta història clínica sota la seva responsabilitat.
L'Asseguradora o Mútua, com a RT, haurà d'estar legitimada per al tractament de les dades personals dels interessats mitjançant alguna de les bases legitimadores contemplades en els articles 6 i 9 del GDPR. La finalitat serà gestionar, validar, verificar i controlar l'import de l'assistència sanitària que haurà de ser satisfet per l'asseguradora en virtut del contracte d'assegurança d'assistència mèdica; o el compliment de les obligacions derivades del contracte, acreditar la despesa sanitària produïda i donar compliment a les seves obligacions com a entitat col·laboradora amb la Seguretat Social, en el cas de les Mútues. Aquestes dades es els facilitarà el Centre o Professional Sanitari Privat, això sí, només les que resulten adequades, pertinents i no excessives per determinar l'import de l'assistència sanitària.
En aquest sentit, l'asseguradora o la mútua es convertiran en Destinatàries d'una comunicació de dades personals i, conseqüentment, hauran d'estar legitimades per tractar-les. Aquesta cessió de dades personals no pot basar-se en que ja estigui prevista en el contracte entre l'interessat i l'asseguradora o mútua, perquè el Centre o Professional Sanitari Privat no ho pot garantir, al no ser part del contracte. Per tant, aquesta comunicació haurà d'estar emparada en alguna altra de les bases legitimadores dels articles 6 i 9 del GDPR.
En el cas poc probable que l'interessat (assegurat o mutualista) s'oposi a dita cessió, el Centre o Professional Sanitari Privat facturaria el servei directament a l'interessat i no comunicaria ninguna dada personal a l'Asseguradora o Mútua.
D'aquesta manera, el Centre o Professional Sanitari Privat, en intervenir com a RT, ha d'informar a l'interessat sobre aquesta comunicació de dades, a més dels altres detalls disposats als art. 12, 13 i 14 del GDPR.
Per últim, per poder demostrar que la cessió de dades és conforme amb el GDPR, seria convenient subscriure un contracte de Destinatari de dades entre l'asseguradora o mútua i el Centre o Professional Sanitari Privat, especificant que es van a comunicar dades personals en els dos sentits.
La mateixa Agència Espanyola de Protecció de Dades (AEPD), a la seva Guia pràctica per a les Avaluacions d'Impacte, al seu Annex VI: Catàleg d'amenaces i possibles solucions (pàg. 51) estableix que "si es cedeixen dades personals, establir per escrit acords que contemplin les condicions sota les que es produeix la cessió i, si s'escau, les relatives a cessions ulteriors així com les possibilitats de supervisió i control de l'acompliment de l'acord"; pel que recomanem que es signin aquests contractes que generem en la nostra aplicació amb els destinataris de dades.
Normativa relacionada: