4. C
esión de datos de salud a requerimiento de las administraciones públicas responsables en materia de protección de menores
4. Recomendación general del Ararteko 4/2011, de 10 de octubre.
Cesión de datos de salud a requerimiento de las administraciones públicas responsables en materia de protección de menores.
I. Antecedentes
Durante la tramitación de algunas quejas que se sitúan en el ámbito de la actividad que las diputaciones forales realizan en materia de protección familiar, observamos que se producen c
esiones de datos.
El análisis de algunas c
ircunstancias nos llevó a pensar que el modo en que se facilitan algunos datos de salud puede adolecer de falta de c
oncreción respecto de la finalidad c
on la que los solicitan los servicios sociales.
II. Fundamentos
Esta práctica c
omún por parte de los servicios de protección de menores encuentra su fundamento en la Ley 3/2005, de 18 de febrero, de Atención y Protección a la Infancia y la Adolescencia, c
uyo artículo 21 dispone lo siguiente: "Los titulares de los servicios de salud y el personal sanitario están obligados a poner en c
onocimiento de las administraciones públicas c
ompetentes en materia de protección de las personas menores de edad, o c
uando sea necesario del ministerio fiscal o de la autoridad judicial, aquellos hechos que puedan suponer la existencia de malos tratos o una situación de desprotección o riesgo infantil, aportando los datos que resulten necesarios y suficientes para garantizar la c
alidad y eficacia de las intervenciones, así c
omo c
olaborando c
on las c
itadas administraciones para evitar y resolver tales situaciones".
Coincidiendo c
on ese c
riterio, Osakidetza entiende que la c
itada Ley 3/2005, justifica la c
esión de datos sin c
onsentimiento del interesado.
Efectivamente, en los c
asos en que no se c
uente c
on el c
onsentimiento del titular, el acceso a los datos personales por parte de quien en principio no está autorizado, necesita una habilitación legal: así lo establece la Ley Orgánica 15/1999, de 13 diciembre, que regula la Protección de Datos de C
arácter Personal (LOPD) en su artículo 11.2.
Así pues, estas c
esiones pueden estar justificadas desde el punto de vista de las funciones para c
uyo desarrollo se solicitan, y tener fundamento legal.
Sin embargo, apreciamos datos que llevan a pensar que tales c
esiones pudieran estar produciéndose sin las debidas garantías. Para que estas garantías existan no basta c
on disponer de una previsión legal que ampare la c
esión de datos, es necesario que c
ada supuesto esté debidamente justificado en todos aquellos aspectos que la protección de datos demanda.
La habilitación legal no es por sí misma suficiente en estos c
asos. Es necesario que se tenga en c
uenta el principio de c
alidad de los datos, según el c
ual estos deben ser los adecuados, pertinentes y no excesivos en relación c
on el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (artículo 4 de la LOPD).
Si se c
oncreta qué tipo de información es necesaria de acuerdo c
on la finalidad, el responsable a quien se pide la c
omunicación de datos podrá valorar qué información c
línica puede facilitar.
De este modo, la recogida de datos personales sanitarios por parte de los servicios sociales podría quedar justificada en c
uanto al fin para el que se recaban.
Desde esta perspectiva de la protección especial que tienen los datos personales de salud, el Ararteko c
oncluyó en la siguiente
III. Recomendaciones
caso se estaría dando un acceso indiscriminado
contrario a la protección de datos.
compatibilidad entre el derecho a la protección de datos de salud y el derecho a la protección del menor, es necesario además que el acceso a esos datos se dé en
conformidad
con el principio de
calidad, es decir que sean adecuados, pertinentes y no excesivos en relación
con la finalidad para los que se obtengan.
Para ello, el c
edente, sin dar por buenas peticiones insuficientemente determinadas, debe c
omprobar que la petición del c
esionario se adecua a la finalizada para la que se piden.
Un informe específico que extraiga únicamente los datos relevantes para el c
aso, puede evitar que se c
edan datos que no lo son y que afectan a la intimidad de las personas.