¿Dónde están los límites en la cesión de información entre las clínicas sanitarias y las aseguradoras? ¿Deben los hospitales ceder los datos médicos de sus pacientes a las mutuas para que estas hagan las facturas de sus clientes? La Agencia Española de Protección de Datos (AEPD) ha tenido que dar un paso al frente y pronunciarse sobre estas cuestiones de privacidad, que si en un principio parecen de sentido común, no están, sin embargo, del todo claras.

Para empezar, acaba de publicar una guía dirigida a pacientes y usuarios de la sanidad donde recoge los resultados de un estudio sobre ‘Conocimiento, actitudes y opiniones ante la privacidad de datos sanitarios de carácter personal’ realizado por el Ministerio de Sanidad, ante la plena aplicación del Reglamento General de Protección de Datos (RGPD), a partir del 25 de mayo de 2018. Una de las conclusiones de este informe es la buena valoración de la sanidad pública en España y la calidad de la formación de todos los profesionales y gestores sanitarios, “lo que lleva a los usuarios a tener la certeza de que sus datos están en buenas manos y son utilizados de forma responsable”.

Aun así, surgen las dudas en este caso. “Los hospitales y centros sanitarios tienen un problema con la firma de los contratos con mutuas y aseguradoras de pacientes y es que figuran como encargados de la gestión de los datos del usuario. De modo que, como encargados, no pueden tomar decisiones sobre el fin de esta información y tienen que limitarse a seguir instrucciones de la aseguradora, que figuraba como responsable de esta documentación”, señala María Martín, de Helas Consultores, consultora delegada de protección de datos (DPD) de un grupo hospitalario.

Ante tal disyuntiva, la consultora preguntó a la AEPD, que contestó: “Un centro (…) en el marco de las relaciones con aseguradoras y mutuas tiene, en relación con los pacientes que acuden al mismo, la condición de responsable del tratamiento de los datos que sean incorporados a sus historias clínicas”. De esta forma, deja claro que “el hospital es responsable de esta documentación sanitaria, es decir, de la información que el centro obtiene del paciente cuando realiza la asistencia médica. Hay otra información que tiene la aseguradora y se refiere al paciente, como cliente, que se detalla en la póliza que firman, de la que es responsable la aseguradora”, comenta Martín en declaraciones a ‘Diario Médico’.

Ganar autoridad

La diferencia entre ser responsable o ser encargado conlleva ganar autoridad ante las peticiones que las mutuas realizan al centro sanitario para facturar cada servicio. Es aquí donde surge el verdadero problema. En el papel de responsable, el hospital tiene capacidad para negarse a dar una información si considera que no está respetando el criterio de ‘minimización del dato’, que figura en la ley. Así se recoge también en la guía elaborada por el Ministerio, concretamente en la pregunta 3 de la página 12, donde se afirma que los datos de salud se pueden ceder a otras entidades diferentes de las que las han recogido y tratado “siempre que exista legitimización para ello”. Y pone el ejemplo de cuando se acude a un médico o a un centro sanitario como usuarios de la sanidad privada (con la tarjeta de la compañía aseguradora), el médico facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.

Carlos Rus, secretario general de la patronal Alianza de la Sanidad Privada Española (ASPE), cree, no obstante, que este tema necesita más respuestas por parte de la AEPD, respuestas que, a día de hoy, no llegan. A pesar de que desde los hospitales se interpreta que el dato clínico del paciente no es una información de la que deba disponer la aseguradora para facturar el servicio y, no por capricho, sino porque al dárselo no se cumple con lo que figura en la norma, lo cierto es que si no se aclaran estas cuestiones las clínicas y hospitales pueden encontrarse con sanciones en forma de multas millonarias tal y como recoge la ley orgánica de protección de datos.

Y a todo esto, ¿qué dice el paciente?, ¿puede negarse a que sus datos circulen en manos de las aseguradoras? La consultora Helas trae el extracto de una cláusula de admisión que deben cumplimentar los pacientes a su llegada al hospital en observación de la ley de protección de datos. En ella se indica que “sus datos personales, incluidos los de su historia clínica, podrán ser remitidos a su entidad aseguradora u otras entidades bajo cuya cobertura se preste la asistencia, para la facturación y pago de la asistencia prestada (…)”. Aquí se da la opción de no aceptar, pero se añade, “en caso de oponerse será íntegramente de su carga como paciente particular el pago de los productos y/o servicios prestados”.