Tras recibir diversas quejas, la CNIL requiere clarificación sobre el tratamiento de datos de salud por parte de proveedores de seguros complementarios.
La CNIL requiere clarificación en relación a las condiciones bajos las cuales los proveedores de seguros de salud complementarios pueden recoger datos de salud, después de recibir numerosas quejas sobre su legitimidad para tratar esta información. Actualmente a veces se solicita consentimiento del paciente. La CNIL recomienda la adopción de una ley específica porque la normativa que aborda este tema no es clara. Los cientos de quejas recibidas por la CNIL se vinculaban con aproximadamente cincuenta organizaciones que ofrecen servicios de salud complementarios, las cuales recibieron los datos para realizar seguimiento, emitir recetas y reembolsar los datos, en forma de códigos. Dada la gran cantidad de quejas, la CNIL explore la posibilidad de que los proveedores de seguros complementarios de salud no tengan que tratar los datos sólo conforme al RGPD y la normativa nacional, que regulan el tratamiento de datos sensibles como los de esta categoría, sino también con confidencialidad médica que normalmente se aplica en estos casos.
La CNIL considera que debería ser posible el uso de datos de salud por parte de los proveedores de seguros complementarios, pero bajo condiciones específicas.
Mientras que todos los datos de salud tratados por proveedores de salud pueden considerarse una categoría especial de datos personales y como tal están protegidos por el RGPD y la confidencialidad médica, el artículo 9 del RGPD establece ciertas situaciones en las que estos datos pueden tratarse. En principio, la recogida y tratamiento de datos de salud están prohibidos, salvo que estén cubiertos por una de las excepciones del artículo 9 del RGPD o recogido en una normativa específica. Tomando esto en consideración, la CNIL señala que los proveedores de seguros de salud complementarios pueden tratarlos para reembolsar a sus asegurados. Sin embargo, debido a la naturaleza tan sensible de los datos, la CNIL indica que los textos normativos que regulan este aspecto están incompletos, y que deberían incluir más provisiones donde se detallen las actividades que pueden llevarse a cabo y las garantías que deben aplicarse.
La CNIL destaca que los proveedores de seguros de salud complementarios deben cumplir con los requisitos del RGPD, incluida la minimización de datos.
Bajo el principio de minimización de datos, los proveedores de seguros de salud complementarios sólo pueden tratar los datos necesarios para ofrecer los servicios. Tal y como recoge el artículo 5(1)(c) del RGPD, los datos tratados deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Además, los datos de salud deben protegerse mediante confidencialidad médica. Sin embargo, la CNIL manifiesta que los textos legales existentes no son adecuados para regular la confidencialidad médica. Mientras que la información compartida de manera directa con los proveedores de seguros de salud complementarios está protegida por confidencialidad médica, si son los profesionales de la salud los que los comparten con los proveedores de seguros de salud complementarios, se precisa una exención de la misma.
La CNIL considera que debe complementarse la ley para facilitar la aplicación de las excepciones.
La CNIL opina que las exenciones son muy implícitas o inexistentes y es por tanto necesario aclarar o complementar la ley para facilitar esta derogación mediante un marco normativo que proporcione garantías adecuadas. La CNIL ha comunicado sus conclusiones tanto al Ministerio de Salud y Prevención como a los proveedores de seguros de salud complementarios y considera que en ausencia de normas más completas, las cesiones pueden seguir teniendo lugar para los denominados “contratos responsables”. En algunos casos, los pacientes puede que tengan que compartir ellos mismos la información con los proveedores de seguros de salud. La CNIL también insistió en que pretende adoptar una ley que proteja y regule la transmisión de esta información para garantizar el respeto por la privacidad de los interesados y la actuación legítima de los profesionales de la salud y de las compañías de seguros.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.