Al igual que en casi todos los sectores, en el campo de la salud también existe la subcontratación. Ocurre por ejemplo cuando un odontólogo encarga una pieza a un protésico, o cuando un médico pide a un laboratorio un análisis de uno de sus pacientes o envía a éste a hacerse una radiografía.

En tales circunstancias habrá siempre un flujo de datos imprescindibles para realizar la actuación encargada, y a la luz de la Ley Orgánica de Protección de Datos (LOPD), habrá que dilucidar si se trata de datos personales y en tal caso si el profesional que recibe el encargo actuará respecto a esos datos como responsable del fichero o encargado del tratamiento. El asunto se trata en parte en el Informe 0625/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).


La AEPD explica que el profesional que recibe el encargo de un trabajo de este tipo tendrá la consideración de responsable del fichero en el momento en que mantenga contacto directo con el afectado, ya sea emitiéndole factura directamente o en el caso de que para garantizar un correcto funcionamiento sea necesario que se disponga de información personal del paciente y de darse alguna incidencia, sea necesario efectuar la correspondiente trazabilidad para conocer la identidad del paciente.

En este caso, la cesión de los datos por parte del primer profesional al segundo, debería de legitimarse o con el consentimiento expreso de
los afectados o en una Ley, dado que tratándose de datos de salud resulta aplicable el artículo 7.3 de la LOPD.

Por el contrario si el protésico o analista no tienen relación alguna con los pacientes, efectúan los trabajos por encargo y las facturas emitidas no implican una relación personal con el paciente, en estos casos nos encontramos ante una prestación de servicios por cuenta de terceros, es decir, un encargado del tratamiento., definido en el artículo 3 g) de la LOPD como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.” Definición que completa el artículo 5.1 i) Reglamento de desarrollo de la LOPD señalando que: “Encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo, que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.”

En cualquier caso hay que añadir que en ambos supuestos existe un tratamiento de datos de salud, que exige adoptar medidas de seguridad de nivel alto, medidas que se deberán implantar tanto si se actúa como responsable del fichero o como encargado del tratamiento.

Además si se da una relación de encargado del tratamiento, ésta deberá de formalizarse por escrito haciendo constar los extremos previstos en el artículo 12 de la LOPD y los de los artículos 20 a 22 del Reglamento

Fuente : Marketing Positivo. Jesús Pérez Serna