Ana María Castro Martínez
Ha saltado la noticia a través de los medios de comunicación que se han cedido los expedientes en trámite cursados para acceder a la Ley de Dependencia en la comunidad gallega. Esta cesión deriva de una contratación pública con la mercantil Indra Sistemas cuyo fin era el de revisar y simplificar el procedimiento de atención a la dependencia de la Xunta de Galicia, en concreto digitalizar unos 4000 expedientes y crear una herramienta informática que permita acceder a la Administración al expediente digital. Los datos que constan en estos expedientes son relativos a la vida de la persona que solicita prestaciones de la Ley de Dependencia, tanto los que afecten a su salud como los de ámbito social, personal, patrimonial, datos hasta ahora sensibles y protegidos por las normas. Todo ello sin el consentimiento de los solicitantes dado que éstos sólo han cedido sus datos a la Administración y no a una mercantil.
El planteamiento de la cuestión es si es posible, sin el consentimiento de una persona, de una persona con discapacidad o dependencia, que pretende acceder a los beneficios de la Ley de Dependencia, ceder sus datos a un tercero cuando dichos datos están protegidos por la legislación. Veamos qué nos dice la Ley.
El derecho fundamental a la protección de datos reconoce al ciudadano de a pié la facultad de tener en todo momento el control de sus datos personales y la capacidad para disponer y decidir sobre ellos. En la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en su Artículo 6 Consentimiento del afectado nos indica: 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias....... 3. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del tratamiento los datos relativos al afectado.
Si continuamos observando la Ley en el artículo 7.3 reza: Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
En el artículo 8 se incide en el tema de los datos de salud: Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad
Introduce el artículo 10 el deber de secreto: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
En el artículo 11 dice claramente y sin lugar a dudas: 1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley...
Artículo 12.1 Acceso a los datos por cuenta de terceros 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
En el nuevo Reglamento General de Protección de Datos que entra en vigor el 25 de mayo de 2018 incide en que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para que el consentimiento sea inequívoco requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado, sobre todo para datos de carácter sensible. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Tiene que ser además verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.
Los artículos expuestos en relación a la protección de datos personales nos crean la duda de que quizás no sea correcto el tratamiento de datos de las personas con discapacidad o dependencia gallegas cedidos a una mercantil. El tema ha sido denunciado por varios sindicatos y ha suscitado interés en los partidos políticos. La defensa de la Administración se basa en que en el articulado de la Ley ordena el secreto profesional y que éste se cumple en el contrato suscrito dado que se garantiza la confidencialidad de datos con la mercantil, así como con sus trabajadores que manejen los datos cedidos, por tanto, entienden que cumplen la normativa en su totalidad y el objetivo de modernizar el Sistema para la Autonomía y Atención a la Dependencia. Las críticas inciden en que no puede retirarse la tramitación de los funcionarios a personal privado pudiendo contratar trabajadores interinos, que no debieran salir los expedientes de las dependencias de la Administración y pasarse a una mercantil privada, que a los solicitantes no se les ha informado de la cesión de sus datos, que cuando los solicitantes rellenan los formularios no se les indica que sus datos podrán ser cedidos sin su expreso consentimiento…
Desde mi punto de vista, creo que la protección de las personas con discapacidad y dependencia parte de la persona con discapacidad y dependencia que es la protagonista de su propia vida y que si ésta no puede o no se le permite emitir consentimiento sobre datos de su propia vida las estamos apartando de la sociedad y está quedando en un terreno baldío el principio de igualdad. Es más, sus datos sensibles debieran ser protegidos incluso más que el del resto de personas precisamente porque son personas con discapacidad donde el derecho a la intimidad y a la propia imagen juega un papel de suma importancia en sus vidas. Considero muy acertado el Reglamento en cuanto a que el consentimiento debe ser inequívoco dado que es la expresión de la libertad de la persona. Asimismo, me parece un gran acierto cuando indica que no puede deducirse de la inacción de los ciudadanos y que debe demostrarse que el afectado otorgó consentimiento.