jueves, 31 de mayo de 2007

LA CESIÓN DE DATOS Y LA COMPETITIVIDAD DE LAS EMPRESAS

Bien sea por la incorporación de nuestro país a la sociedad de la información, por la tan nombrada globalización, o simplemente por la necesidad de aumentar la competitividad de nuestras empresas o para prestar un mejor servicio, es muy común que se produzcan comunicaciones de datos de carácter personal con distintas finalidades. Sin embargo, por encima de las necesidades propias de nuestra empresa hay que atender rigurosamente el derecho
fundamental a la protección de datos.


La Ley Orgánica de Protección de Datos (en adelante LOPD) define la cesión como toda revelación de datos realizada a una persona distinta del interesado. A estos efectos, interesado es la persona física titular de los datos que sean objeto del tratamiento. La principal diferencia de esta figura respecto del acceso a datos por cuenta de tercero reside en que en este último caso, el tercero que accede a los datos lo hace para prestar un servicio al responsable del fichero, mientras que en la cesión se facilitan datos a un tercero que los incorpora a su propio fichero y que, por tanto, pasa a ser responsable de los mismos.

La LOPD establece tres requisitos fundamentales para poder llevar a cabo la cesión. Por una parte, para poder proc
eder a la comunicación, el interesado debe prestar su consentimiento; por otra, es necesario que el responsable del fichero informe adecuadamente a los afectados por una cesión. Consentimiento e información son los pilares de la regulación en materia de protección de datos en general, y de la cesión en particular, lo cual significa que el legislador ha querido configurar los datos de carácter personal como un elemento disponible para su titular, que si cuenta con información y presta su consentimiento tiene plena capacidad decisoria al respecto.

Por último, la cesión de datos debe producirse siempre, en el cumplimiento de fines directamente relacionados con las funciones legítimas de quien revela y de quien accede a los datos. No se ajustan a la ley, aquellas cesiones que tienen un fin distinto al manifestado en el momento de obtener el consentimiento del titular. Un ejemplo clarificador: un paciente presta su consentimiento a una cesión encaminada a la prestación del servicio sanitario y finalmente sus datos acaban en manos de una empresa de telemarketing.

Consentimiento e información están íntimamente relacionados. El consentimiento solamente será válido cuando responda a una información suficiente y adecuada sobre la finalidad de la cesión y la actividad que desempeña quien va a acceder a sus datos.

Los datos objeto de tratamiento en la actividad sanitaria presentan un especial régimen de protección. En efecto, la LOPD sitúa los datos personales que hagan referencia a la salud entre los especialmente protegidos, lo que significa que sólo se podrá proceder a su tratamiento cuando el interesado consienta expresamente o lo autorice una ley, dejando a salvo la posibilidad de que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes traten, sin necesidad de consentimiento expreso, los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos.

La cesión de datos en el ámbito sanitario presenta peculiaridades, así, pese a que el artículo 11.1 de la LOPD parte del principio general de la necesidad del previo consentimiento del interesado para la cesión de sus datos personales, este precepto, en su apartado 2.f) permite prescindir del consentimiento “Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiológicos”; no obstante, en este último caso, es preferible proceder al tratamiento disociado de la información, eliminando cualquier dato que permita llegar a la identidad del interesado.

Esta última posibilidad presenta múltiples ventajas, ya que si somos capaces de desarrollar las herramientas técnicas que permitan disponer de la información relevante sin que esta nos permita conocer a que persona concreta se refiere, podremos situarnos fuera de las restricciones que establece la ley, ya que ésta afecta, únicamente, a los datos de carácter personal y tras el procedimiento de disociación la información pierde su condición de personal.

Como se ha indicado, la cesión de datos parte del principio general de la obtención del consentimiento del interesado; no obstante, la LOPD establece una serie de excepciones, en las que puede prescindirse del consentimiento, entre ellas los casos en que “el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros”. Es importante señalar que cuando se acojan a esta excepción deberán comunicarse los datos estrictamente necesarios para el cumplimiento de la finalidad que motiva la comunicación, sin que se faciliten datos excesivos o injustificados.

No obstante, pese a que la LOPD no obliga a ello, recomendamos que en estos casos se solicite el consentimiento del interesado, informándole de la finalidad para la que son cedidos su datos y que, pese a no ser obligatorio, se firme un acuerdo de cesión entre el responsable del fichero y la entidad a la que se facilitan los datos, en el que se regulen los términos de dicha facilitación.

Una vez que informemos a los interesados y solicitemos su consentimiento, podremos utilizar sus datos para obtener una mayor competitividad de nuestro negocio o prestar un mejor servicio. Sin duda, el crecimiento de las empresas pasa por el respeto al derecho fundamental a la protección de datos

Publicado en Redacción Médica el Jueves 31 de Mayo de 2007.Número 570.AÑO III.

No hay comentarios: