Consideraciones del Tribunal de Justicia de la UE sobre el tratamiento de datos personales

junio 8, 2017

Por Ana Delgado, vocal de e-Health del Foro Iberoamericano Ciudadanos y Salud, y profesora del Máster en Derecho de la Salud CESIF-Eupharlaw

Hace unos meses, Acta Sanitaria se hacía eco de una sentencia del Tribunal de Justicia de la Unión Europea (de 1 de Octubre de 2015) que ponía de manifiesto que “las personas cuyos datos personales son objeto de transmisión y tratamiento entre dos administraciones pública de un Estado miembro deben ser informadas de ello previamente”. En base a esta sentencia, Acta Sanitaria, comentaba la posibilidad de que este principio pudiera poner en tela de juicio el sistema de copago farmacéutico implantado en España por el Real Decreto Ley 16/2012, ya que la inclusión del artículo 94 bis en la Ley de Garantías y uso racional de medicamentos y productos sanitarios (ver versión consolidada del Texto Refundido) dispone que la aportación del usuario será proporcional a su nivel de renta.

Según indica Acta Sanitaria en dicho artículo, en el caso que se expone en la sentencia del Tribunal de Justicia de la Unión Europea, unos ciudadanos rumanos, cuyos ingresos declarados fueron transmitidos por la administración tributaria rumana a la Caja Nacional del Seguro de Enfermedad, impugnaron ante Tribunal de apelación de Cluj, Rumanía, la legalidad de esa transmisión desde el punto de vista de la Directiva sobre tratamiento de datos personales, ya que -como consecuencia de esta transmisión- se les exigió entonces el pago de atrasos de cotizaciones al régimen del seguro de enfermedad. Los interesados consideraron que sus datos fueron utilizados con fines distintos de aquéllos para los que habían sido inicialmente comunicados a la administración tributaria, sin ser informados de ello previamente.

La Sentencia, a colación del caso que se presenta, recalca la necesidad de que el tratamiento de datos personales cumpla:

(1) con los principios de calidad en el tratamiento del artículo 6 (lealtad, proporcionalidad, adecuación, exactitud) así como

(2) con una base que legitime el tratamiento en los términos del artículo 7 (consentimiento del interesado, cumplimiento de una obligación jurídica, cumplimiento de una misión de interés público, entre otros) y

(3) con el deber de información al interesado es clave en el tratamiento de los datos personales, disponiendo en el artículo 11 y 12 aquellos aspectos que tiene que ser objeto de información.

No obstante, la sentencia también expone que el «apartado 1, letras e) y f), del artículo 13 de la Directiva, dispone que los Estados miembros pueden limitar el alcance de las obligaciones y los derechos previstos en el artículo 10 de la Directiva cuando tal limitación constituya una medida necesaria para la salvaguardia de «un interés económico y financiero importante de un Estado miembro […], incluidos los asuntos monetarios, presupuestarios y fiscales» así como de «una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e)». No obstante, el citado artículo 13 exige expresamente que tales limitaciones se adopten mediante medidas legales.

La sentencia concluye que si bien el Derecho Rumano dispone «expresamente que las autoridades, instituciones públicas y otras instituciones transmitirán gratuitamente a las cajas del seguro de enfermedad, sobre la base de un protocolo, los datos necesarios para determinar la condición de asegurado». No obstante, se desprende de las explicaciones facilitadas por el órgano jurisdiccional remitente que los datos necesarios para determinar la condición de asegurado, en el sentido de dicha disposición, no incluyen los relativos a los ingresos, ya que la ley reconoce igualmente la condición de asegurado a quienes carecen de ingresos sujetos a tributación.»

En base a lo anterior, ¿qué aspectos toma en consideración la sentencia para fallar a favor de los ciudadanos rumanos?

El Tribunal de Justicia de la Unión Europea esencialmente se basa en el principio de lealtad y proporcionalidad en el tratamiento de los datos, por cuanto la transmisión que se hace de los datos relativos a los ingresos no está justificada ni es proporcionada a la finalidad perseguida por la administración pública y por tanto excede del interés económico y financiero, así como de su función de control. De hecho, la norma Rumana, no habla de la transmisión de datos relativos a los ingresos, sino de “datos necesarios para determinar la condición de asegurados”.

En el caso del sistema Copago farmacéutico del SNS, el artículo 94.ter de la Ley 29/2006, dispone lo siguiente:

«1. El Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina podrá tratar los datos obrantes en los ficheros de las entidades gestoras y servicios comunes de la Seguridad Social y de las entidades que colaboran con las mismas que resulten imprescindibles para determinar la cuantía de la aportación de los beneficiarios en la prestación farmacéutica. Dicho tratamiento, que no requerirá el consentimiento del interesado, se someterá plenamente a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y sus disposiciones de desarrollo.

Del mismo modo, y con la finalidad a la que se refiere el apartado anterior, la administración competente en materia tributaria podrá comunicar al Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina, sin contar con el consentimiento del interesado, los datos que resulten necesarios para determinar el nivel de renta requerido.

Igualmente, los órganos de las administraciones públicas que resulten competentes para determinar la concurrencia de los requisitos establecidos para la exención de la aportación previstos en el apartado 8 del artículo 94 bis de esta ley, podrán comunicar esta circunstancia al Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina sin contar con el consentimiento del interesado.

El Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina comunicará al Ministerio de Sanidad, Servicios Sociales e Igualdad y éste, a su vez, a las demás administraciones sanitarias competentes el dato relativo al nivel de aportación que corresponda a cada usuario de conformidad con lo establecido en la normativa reguladora de las recetas médicas y órdenes de dispensación. En ningún caso, dicha información incluirá el dato de la cuantía concreta de las rentas.

(…)»

Para valorar si la sentencia puede poner o no en tela de juicio el sistema de copago, hay que atender a varios aspectos:

Tal como dispone el artículo 13 de la Directiva, la limitación del alcance de las obligaciones y los derechos previstos en el artículo 10 de la Directiva, se adopta mediante una medida legal. En nuestro caso (el copago) el artículo 94.ter recoge la obligación de transmisión de datos relacionados con el nivel de renta.
El artículo 94.ter, observa el principio de proporcionalidad por cuanto se refiere a aquellos datos “que resulten imprescindibles para determinar la cuantía de la aportación de los beneficiarios en la prestación farmacéutica”.
En base al artículo 7.c) y e) de la Directiva, la norma española dispone una obligación para la administración pública que tiene como finalidad atender a una misión de interés público.
La norma que recoge tal obligación (94.ter) dispone específicamente quienes son los responsables del tratamiento y la finalidad para la que se tratan los datos del interesado.
Por último, cabe mencionar que la transmisión de datos que efectúa el INSS al Ministerio de Sanidad, corresponde a “el dato relativo al nivel de aportación que corresponda a cada usuario de conformidad con lo establecido en la normativa reguladora de las recetas médicas y órdenes de dispensación. En ningún caso, dicha información incluirá el dato de la cuantía concreta de las rentas”. Se está limitando, acotando la información imprescindible para que cada administración efectúe su misión de interés público.

Por todo lo anterior, cabría pensar que el sistema de copago farmacéutico no menoscaba los derechos relativos a la protección de datos y que no está en oposición al derecho de la Unión Europea.

Por otro lado, si nos fijamos en el Reglamento de Protección de Datos que tendrá pleno efecto en mayo del 2018, los supuestos que legitiman el tratamiento de datos personales se han aumentado. Así, es interesante aportar el siguiente cuadro de legitimación en el tratamiento de datos que recoge la Directiva y el Reglamento:

Directiva 95/46/EC

GDPR

Consentimiento explícito	Consentimiento explícito
Derecho laboral	Derecho laboral
Interés vital	Interés vital
Datos hechos manifiestamente públicos por el afectado	Datos hechos manifiestamente públicos por el afectado
Procedimiento judicial	Procedimiento judicial
Prevención/diagnóstico médicos, prestación de asistencia sanitaria/ tratamientos médicos o gestión de servicios sanitarios (por profesional sanitario sujeto al secreto profesional)	Medicina preventiva u ocupacional, análisis de la capacidad de trabajar de un empleado, diagnóstico médico, servicios o sistemas de asistencia, de tratamiento o gestión sanitarios o sociales (sobre la base de ley UE/nacional o por profesional sanitario sujeto a secreto profesional)
Interés público importante (conforme a ley nacional o decisión de autoridad de control)	Interés público importante (conforme a ley nacional) Interés Público en el área de la salud pública conforme a ley UE/nacional importante (conforme a ley nacional)
	Archivo para fines de interés público, fines de investigación científica o histórica o fines estadísticos, conforme al art. 89 (salvaguardas, pseudoanonimización)+ ley UE/nacional
	Los Estados Miembros pueden incluir condiciones adicionales (incluyendo limitaciones) en relación con datos genéticos, biométricos o de salud.

Parece, por tanto, que se consolidan otras bases legales para el tratamiento de los datos personales, además del consentimiento explícito, que ambas normas recogen y que así mismo han desarrollado cada uno de los Estados Miembros en sus respectivas normativas (LOPD en el caso de España).

Por último, cabe añadir que si bien la protección de datos ha tomado en estos últimos tiempos una mayor relevancia y protagonismo, no podemos olvidar que, en Derecho, ningún bien jurídico es absoluto, y que la ponderación de bienes jurídicos es esencial.

En el ámbito sanitario esta ponderación se hace todavía más necesaria dado que es esencial alcanzar un equilibrio entre la protección de la privacidad y la protección de la salud. Por tanto, se debe analizar, caso por caso, aquel tratamiento de datos personales que se efectúa en el ámbito sanitario y especialmente la finalidad del mismo.

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
YSC	1	Cookie de sesión	Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.
_gat	0	1 minuto	Google Universal Analytics instala estas cookies para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gat_UA-78467836-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.

Cookie	Tipo	Duración	Descripción
test_cookie	0	11 meses	Utilizada para comprobar si el navegador del usuario admite cookies.
vchideactivationmsg_vc11	0	9 meses	Permite enviar mensajes desde el formulario de contacto

Cookie	Tipo	Duración	Descripción
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	1	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.