4. Cesión de datos de salud a requerimiento de las administraciones públicas responsables en materia de protección de menores
4. Recomendación general del Ararteko 4/2011, de 10 de octubre.
Cesión de datos de salud a requerimiento de las administraciones públicas responsables en materia de protección de menores.
I. Antecedentes
Durante la tramitación de algunas quejas que se sitúan en el ámbito de la actividad que las diputaciones forales realizan en materia de protección familiar, observamos que se producen cesiones de datos.
El an
álisis de algunas circunstancias nos llevó a pensar que el modo en que se facilitan algunos datos de salud puede adolecer de falta de concreción respecto de la finalidad con la que los solicitan los servicios sociales.
II. Fundamentos
Esta práctica común por parte de los servicios de protección de menores encuentra su fundamento en la Ley 3/2005, de 18 de febrero, de Atención y Protección a la Infancia y la Adolescencia, cuyo artículo 21 dispone lo siguiente: "Los titulares de los servicios de salud y el personal sanitario están obligados a poner en conocimiento de las administraciones públicas competentes en materia de protección de las personas menores de edad, o cuando sea necesario del ministerio fiscal o de la autoridad judicial, aquellos hechos que puedan suponer la existencia de malos tratos o una situación de desprotección o riesgo infantil, aportando los datos que resulten necesarios y suficientes para garantizar la calidad y eficacia de las intervenciones, así como colaborando con las citadas administraciones para evitar y resolver tales situaciones".
Coincidiendo con ese criterio, Osakidetza entiende que la citada Ley 3/2005, justifica la cesión de datos sin consentimiento del interesado.
Efectivamente, en los casos en que no se cuente con el consentimiento del titular, el acceso a los datos personales por parte de quien en principio no está autorizado, necesita una habilitación legal: así lo establece la Ley Orgánica 15/1999, de 13 diciembre, que regula la Protección de Datos de Carácter Personal (LOPD) en su artículo 11.2.
Así pues, estas cesiones pueden estar justificadas desde el punto de vista de las funciones para cuyo desarrollo se solicitan, y tener fundamento legal.
Sin embargo, apreciamos datos que llevan a pensar que tales cesiones pudieran estar produciéndose sin las debidas garantías. Para que estas garantías existan no basta con disponer de una previsión legal que ampare la cesión de datos, es necesario que cada supuesto esté debidamente justificado en todos aquellos aspectos que la protección de datos demanda.
La habilitación legal no es por sí misma suficiente en estos casos. Es necesario que se tenga en cuenta el principio de calidad de los datos, según el cual estos deben ser los adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (artículo 4 de la LOPD).
Si se concreta qué tipo de información es necesaria de acuerdo con la finalidad, el responsable a quien se pide la comunicación de datos podrá valorar qué información clínica puede facilitar.
De este modo, la recogida de datos personales sanitarios por parte de los servicios sociales podría quedar justificada en cuanto al fin para el que se recaban.
Desde esta perspectiva de la protección especial que tienen los datos personales de salud, el Ararteko concluyó en la siguiente
III. Recomendaciones
Para ello, el cedente, sin dar por buenas peticiones insuficientemente determinadas, debe comprobar que la petición del cesionario se adecua a la finalizada para la que se piden.
Un informe específico que extraiga únicamente los datos relevantes para el caso, puede evitar que se cedan datos que no lo son y que afectan a la intimidad de las personas.