Consideraciones del Tribunal de Justicia de la UE sobre el tratamiento de datos personales
Por Ana Delgado, vocal de e-Health del Foro Iberoamericano Ciudadanos y Salud, y profesora del Máster en Derecho de la Salud CESIF-Eupharlaw
Hace unos meses, Acta Sanitaria se hacía eco de una sentencia del Tribunal de Justicia de la Unión Europea (de 1 de Octubre de 2015) que ponía de manifiesto que “las personas cuyos datos personales son objeto de transmisión y tratamiento entre dos administraciones pública de un Estado miembro deben ser informadas de ello previamente”. En base a esta sentencia, Acta Sanitaria, comentaba la posibilidad de que este principio pudiera poner en tela de juicio el sistema de copago farmacéutico implantado en España por el Real Decreto Ley 16/2012, ya que la inclusión del artículo 94 bis en la Ley de Garantías y uso racional de medicamentos y productos sanitarios (ver versión consolidada del Texto Refundido) dispone que la aportación del usuario será proporcional a su nivel de renta.
Según indica Acta Sanitaria en dicho artículo, en el caso que se expone en la sentencia del Tribunal de Justicia de la Unión Europea, unos ciudadanos rumanos, cuyos ingresos declarados fueron transmitidos por la administración tributaria rumana a la Caja Nacional del Seguro de Enfermedad, impugnaron ante Tribunal de apelación de Cluj, Rumanía, la legalidad de esa transmisión desde el punto de vista de la Directiva sobre tratamiento de datos personales, ya que -como consecuencia de esta transmisión- se les exigió entonces el pago de atrasos de cotizaciones al régimen del seguro de enfermedad. Los interesados consideraron que sus datos fueron utilizados con fines distintos de aquéllos para los que habían sido inicialmente comunicados a la administración tributaria, sin ser informados de ello previamente.
La Sentencia, a colación del caso que se presenta, recalca la necesidad de que el tratamiento de datos personales cumpla:
(1) con los principios de calidad en el tratamiento del artículo 6 (lealtad, proporcionalidad, adecuación, exactitud) así como
(2) con una base que legitime el tratamiento en los términos del artículo 7 (consentimiento del interesado, cumplimiento de una obligación jurídica, cumplimiento de una misión de interés público, entre otros) y
(3) con el deber de información al interesado es clave en el tratamiento de los datos personales, disponiendo en el artículo 11 y 12 aquellos aspectos que tiene que ser objeto de información.
No obstante, la sentencia también expone que el «apartado 1, letras e) y f), del artículo 13 de la Directiva, dispone que los Estados miembros pueden limitar el alcance de las obligaciones y los derechos previstos en el artículo 10 de la Directiva cuando tal limitación constituya una medida necesaria para la salvaguardia de «un interés económico y financiero importante de un Estado miembro […], incluidos los asuntos monetarios, presupuestarios y fiscales» así como de «una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e)». No obstante, el citado artículo 13 exige expresamente que tales limitaciones se adopten mediante medidas legales.
La sentencia concluye que si bien el Derecho Rumano dispone «expresamente que las autoridades, instituciones públicas y otras instituciones transmitirán gratuitamente a las cajas del seguro de enfermedad, sobre la base de un protocolo, los datos necesarios para determinar la condición de asegurado». No obstante, se desprende de las explicaciones facilitadas por el órgano jurisdiccional remitente que los datos necesarios para determinar la condición de asegurado, en el sentido de dicha disposición, no incluyen los relativos a los ingresos, ya que la ley reconoce igualmente la condición de asegurado a quienes carecen de ingresos sujetos a tributación.»
En base a lo anterior, ¿qué aspectos toma en consideración la sentencia para fallar a favor de los ciudadanos rumanos?
El Tribunal de Justicia de la Unión Europea esencialmente se basa en el principio de lealtad y proporcionalidad en el tratamiento de los datos, por cuanto la transmisión que se hace de los datos relativos a los ingresos no está justificada ni es proporcionada a la finalidad perseguida por la administración pública y por tanto excede del interés económico y financiero, así como de su función de control. De hecho, la norma Rumana, no habla de la transmisión de datos relativos a los ingresos, sino de “datos necesarios para determinar la condición de asegurados”.
En el caso del sistema Copago farmacéutico del SNS, el artículo 94.ter de la Ley 29/2006, dispone lo siguiente:
«1. El Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina podrá tratar los datos obrantes en los ficheros de las entidades gestoras y servicios comunes de la Seguridad Social y de las entidades que colaboran con las mismas que resulten imprescindibles para determinar la cuantía de la aportación de los beneficiarios en la prestación farmacéutica. Dicho tratamiento, que no requerirá el consentimiento del interesado, se someterá plenamente a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y sus disposiciones de desarrollo.
- Del mismo modo, y con la finalidad a la que se refiere el apartado anterior, la administración competente en materia tributaria podrá comunicar al Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina, sin contar con el consentimiento del interesado, los datos que resulten necesarios para determinar el nivel de renta requerido.
Igualmente, los órganos de las administraciones públicas que resulten competentes para determinar la concurrencia de los requisitos establecidos para la exención de la aportación previstos en el apartado 8 del artículo 94 bis de esta ley, podrán comunicar esta circunstancia al Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina sin contar con el consentimiento del interesado.
- El Instituto Nacional de la Seguridad Social o, en su caso, el Instituto Social de la Marina comunicará al Ministerio de Sanidad, Servicios Sociales e Igualdad y éste, a su vez, a las demás administraciones sanitarias competentes el dato relativo al nivel de aportación que corresponda a cada usuario de conformidad con lo establecido en la normativa reguladora de las recetas médicas y órdenes de dispensación. En ningún caso, dicha información incluirá el dato de la cuantía concreta de las rentas.
(…)»
Para valorar si la sentencia puede poner o no en tela de juicio el sistema de copago, hay que atender a varios aspectos:
- Tal como dispone el artículo 13 de la Directiva, la limitación del alcance de las obligaciones y los derechos previstos en el artículo 10 de la Directiva, se adopta mediante una medida legal. En nuestro caso (el copago) el artículo 94.ter recoge la obligación de transmisión de datos relacionados con el nivel de renta.
- El artículo 94.ter, observa el principio de proporcionalidad por cuanto se refiere a aquellos datos “que resulten imprescindibles para determinar la cuantía de la aportación de los beneficiarios en la prestación farmacéutica”.
- En base al artículo 7.c) y e) de la Directiva, la norma española dispone una obligación para la administración pública que tiene como finalidad atender a una misión de interés público.
- La norma que recoge tal obligación (94.ter) dispone específicamente quienes son los responsables del tratamiento y la finalidad para la que se tratan los datos del interesado.
- Por último, cabe mencionar que la transmisión de datos que efectúa el INSS al Ministerio de Sanidad, corresponde a “el dato relativo al nivel de aportación que corresponda a cada usuario de conformidad con lo establecido en la normativa reguladora de las recetas médicas y órdenes de dispensación. En ningún caso, dicha información incluirá el dato de la cuantía concreta de las rentas”. Se está limitando, acotando la información imprescindible para que cada administración efectúe su misión de interés público.
Por todo lo anterior, cabría pensar que el sistema de copago farmacéutico no menoscaba los derechos relativos a la protección de datos y que no está en oposición al derecho de la Unión Europea.
Por otro lado, si nos fijamos en el Reglamento de Protección de Datos que tendrá pleno efecto en mayo del 2018, los supuestos que legitiman el tratamiento de datos personales se han aumentado. Así, es interesante aportar el siguiente cuadro de legitimación en el tratamiento de datos que recoge la Directiva y el Reglamento:
Directiva 95/46/EC | GDPR |
Consentimiento explícito | Consentimiento explícito |
Derecho laboral | Derecho laboral |
Interés vital | Interés vital |
Datos hechos manifiestamente públicos por el afectado | Datos hechos manifiestamente públicos por el afectado |
Procedimiento judicial | Procedimiento judicial |
Prevención/diagnóstico médicos, prestación de asistencia sanitaria/ tratamientos médicos o gestión de servicios sanitarios (por profesional sanitario sujeto al secreto profesional) | Medicina preventiva u ocupacional, análisis de la capacidad de trabajar de un empleado, diagnóstico médico, servicios o sistemas de asistencia, de tratamiento o gestión sanitarios o sociales (sobre la base de ley UE/nacional o por profesional sanitario sujeto a secreto profesional) |
Interés público importante (conforme a ley nacional o decisión de autoridad de control) | Interés público importante (conforme a ley nacional)
Interés Público en el área de la salud pública conforme a ley UE/nacional importante (conforme a ley nacional) |
Archivo para fines de interés público, fines de investigación científica o histórica o fines estadísticos, conforme al art. 89 (salvaguardas, pseudoanonimización)+ ley UE/nacional | |
Los Estados Miembros pueden incluir condiciones adicionales (incluyendo limitaciones) en relación con datos genéticos, biométricos o de salud. |
Parece, por tanto, que se consolidan otras bases legales para el tratamiento de los datos personales, además del consentimiento explícito, que ambas normas recogen y que así mismo han desarrollado cada uno de los Estados Miembros en sus respectivas normativas (LOPD en el caso de España).
Por último, cabe añadir que si bien la protección de datos ha tomado en estos últimos tiempos una mayor relevancia y protagonismo, no podemos olvidar que, en Derecho, ningún bien jurídico es absoluto, y que la ponderación de bienes jurídicos es esencial.
En el ámbito sanitario esta ponderación se hace todavía más necesaria dado que es esencial alcanzar un equilibrio entre la protección de la privacidad y la protección de la salud. Por tanto, se debe analizar, caso por caso, aquel tratamiento de datos personales que se efectúa en el ámbito sanitario y especialmente la finalidad del mismo.