La Agencia de Protección de Datos, en ejercicio de las facultades que le confiere la ley y como garante que es, del cumplimiento de la misma, ha impuesto una sanción a Aresa, la compañía de salud de Mutua Madrileña, por infracción del art.7.3. de la LOPD. Aresa, compañía especializada en Asistencia Médica, fue adquirida por Mutua Madrileña los primeros días del mes de diciembre de 2005.
Denuncia
En enero de 2006 una particular que había suscrito una póliza con la compañía Aresa, presenta una denuncia contra ésta, manifestando que la aseguradora cuenta con unos informes médicos suyos emitidos por el profesional que la trata en la actualidad. Después de negarse a remitir los informes alegando que era documentación interna, Aresa le comunica que esa información había sido proporcionada por el médico por un acuerdo contractual existente entre ambos.
En virtud de esta información se le denegó la solicitud de una intervención quirúrgica con fundamento en que padecía esa patología con anterioridad.
Infracción
Se le imputa a la compañía aseguradora la infracción del art.7.3 de la LOPD que establece un régimen particular respecto de los datos sanitarios, por tratarse de datos especialmente protegidos, y para su tratamiento se exige el consentimiento expreso del afectado.
Si bien Aresa tenía el consentimiento para el tratamiento de los datos de salud que figuran en el cuestionario, pero ese consentimiento no puede ampliarse a cualquier datos de salud. Por lo demás las condiciones generales del seguro firmado por la denunciante no autorizan a la compañía tratamiento de datos de salud obtenidos de los médicos que colaboran con la aseguradora.
Aseguradora
La compañía señala en su defensa que el motivo de la solicitud del informe, fue comprobar el momento en que se había producido la patrología de la denunciante con la finalidad de financiar su intervención quirúrgica y que el tratamiento del dato de salud por parte de Aresa era necesario por el derecho de la entidad a preconstituir una prueba tendente a iniciar, en su caso, un proceso judicial. Si tuviese que pedirle el consentimiento para una posible denuncia, difícilmente lo obtendría.
En cuanto a la cesión de los datos a la compañía de seguros, se produce una colisión de derechos: el de protección de datos y el derecho a que se comunique al asegurador la ocurrencia de un siniestro y las circunstancias que agraven el riesgo de un siniestro, derecho amparado por la Ley de Contratos. La propia LOPD establece que no se exigirá el consentimiento en el caso que una Ley disponga otra cosa.
Consentimiento
La Ley impone a la aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado como consecuencia de la enfermedad del asegurado, lo que exige conocer cuál será éste, dado que la asistencia se realizará generalmente por terceros ajenos a la propia entidad aseguradora, y en consecuencia esta obligación parecería incluir un indicio de la necesidad de comunicación a la aseguradora de los datos necesarios para conocer la actividad asistencial realizada. Sin embargo, no puede invocarse que se trate una excepción contemplada en el art. 11.2.c) de la LOPD, porque la ley exige, en el caso del tratamiento de datos relacionados con la salud de las personas la existencia, que en caso de no contarse con el consentimiento del interesado, se requiere que exista una norma específica con rango de Ley que autorice la cesión de dichos datos, y en el caso no se da ninguno de los supuestos contemplados en la citada norma que le permitiera a la compañía ceder los datos de la denunciante sin su consentimiento.
Sanción