En su informe jurídico nº 360/2013, la Agencia Española de Protección de Datos, se pronuncia sobre si los centros sanitarios privados con los que las Mutuas pactan la prestación de asistencia sanitaria a los trabajadores, son encargados de tratamiento conforme a la LOPD o si por el contrario, son responsables de fichero.
Las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, para el tema de las prestaciones sanitarias y recuperadoras, y la asistencia sanitaria, pueden –entre otras cosas- firmar convenios con entidades privadas.
La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establece, por su parte, un régimen específico para el tratamiento y cesión de datos de salud de las historias clínicas, diferenciado del propio de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Según tal régimen especial existirían obligaciones sobre acceso, uso y conservación de historias clínicas, que han de cumplir precisamente esos centros médicos que atenderían a los trabajadores. Por tanto, la Mutua no podría contravenir con sus órdenes estas obligaciones, lo que –como dice la AEPD- hace que no pueda considerarse que exista un encargo de tratamiento.
Se trata de una excepción a lo previsto en la disposición adicional vigésimo sexta del Real Decreto Legislativo 3/2011.
El artículo 12.2 de la LOPD, referido a los supuestos de encargados de tratamiento o acceso a datos por cuenta de terceros, establece que:
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Por tanto, si estamos en un supuesto (como el que comentamos) en el que el responsable de fichero o tratamiento, tiene vedada la posibilidad de dar instrucciones al tercero, no se cumple un requisito fundamental del encargo de tratamiento, y por tanto, el centro sanitario privado es igualmente responsable de fichero y no un mero encargado de tratamiento.