Las asociaciones de pacientes, como cualquier otra organización, disponen de diferentes datos referentes a sus empleados, proveedores y clientes. Podríamos considerar que la figura de cliente la ocupan sus socios que, sin duda, son su gran activo, como de cualquier otra empresa mercantil lo son los clientes propiamente dichos.
Por la propia naturaleza de las asociaciones de pacientes, los datos de los que disponen, relativos a sus socios son primordialmente de salud. Estos datos según la regulación europea y la reciente legislación española encajan dentro de las denominadas categorías especiales de datos que deben ser especialmente protegidos. Ello determina que las asociaciones de pacientes deban realizar una gestión pormenorizada y diligente en el tratamiento de datos de sus socios, lo cual en no pocas ocasiones les genera importantes dudas y problemas.
El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que, en este ámbito, nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico lesivo para la dignidad y los derechos de los afectados. Por su parte, en la Sentencia 292/2000, de 30 de noviembre, el TC lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero.
Sin entrar en las numerosas obligaciones que determina la regulación en la materia, me gustaría detenerme a analizar el primer aspecto propio a las relaciones con los socios en este ámbito; como es el consentimiento del interesado en formar parte de la asociación, como primera garantía de los derechos que a este le asisten en relación con sus datos asociativos.
En relación con los datos de salud, el Reglamento general de protección de datos parte del principio general de prohibición de su tratamiento, al indicar que quedan prohibidos el tratamiento de datos personales relativos a la salud. Sin embargo, el propio Reglamento excepciona esta prohibición cuando el interesado preste su consentimiento explícito para el tratamiento de dichos datos personales.
De esta manera, el consentimiento sobreentendido o tácito que era una práctica habitual en la gestión de los datos de los socios no es válido, y así se especifica claramente que el silencio del interesado o la inacción de este no deben constituir ni entenderse en ningún caso como consentimiento.
Para que las asociaciones dispongan de datos de salud de sus socios requiere el consentimiento expreso de aquellos
Por tanto, podemos concluir con rotundidad que para que las asociaciones dispongan de datos de salud de sus socios requiere el consentimiento expreso de aquellos, ya que es el consentimiento el que legitima el tratamiento de estos datos.
A tal efecto, el Reglamento define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Conviene aclarar que no es suficiente obtener el consentimiento de manera general, sino que aquel debe otorgarse para uno o más fines, que deben ser siempre especificados con la mayor concreción posible. A la vez, en caso de varias finalidades, se deben detallar y enumerar las mismas, dando la oportunidad a la persona de la cual recabamos los datos, que pueda individualizar su consentimiento para una, varias o todas las finalidades que la asociación pretenda. En caso de que el interesado no preste su consentimiento para alguna de las finalidades, la asociación no podrá utilizar los datos personales para aquella. Naturalmente, en el caso de que decida rechazar el consentimiento, no puede sufrir consecuencias negativas.
El consentimiento debe ser plasmado en un documento que incluya la necesidad, la finalidad y la temporalidad del tratamiento de los datos, así como los derechos del interesado y cómo ejercerlos.
Otro aspecto peculiar es el referente a los menores de edad. En este caso, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que se exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto en cuyo contexto se recaba el consentimiento para el tratamiento, lo cual no es en sí mismo un aspecto propio de protección de datos sino del acto o negocio jurídico del que se trate.
Por tanto, en el caso de menores de catorce años, el tratamiento de los datos solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de esta patria potestad o tutela.