El informe jurídico 182/2004 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si la cesión de datos referidos a personas drogodependientes a la Administración Autonómica es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. La consulta se centra en la información contenida en un cuestionario de 23 preguntas, que incluye datos sobre la salud de los interesados.
El informe comienza aclarando que la cesión de datos de carácter personal, en este caso, se refiere a datos relacionados con la salud de las personas. Según la Memoria Explicativa del Convenio 108 del Consejo de Europa y la Recomendación nº R (97) 5 del Comité de Ministros, los datos sobre drogodependencia se consideran datos de salud. Esto incluye informaciones sobre el consumo de drogas y el estado de salud, tanto presente como futuro, de las personas afectadas.
La AEPD subraya que la mera condición de drogodependencia y la indicación de la sustancia consumida son datos relacionados con la salud. Por lo tanto, la comunicación de estos datos incluye información de esta naturaleza, incluso si el afectado no sufre otras dolencias.
El informe también destaca que, aunque la información se haya disociado previamente mediante un código formado por las iniciales de los nombres y apellidos, esta disociación no es suficiente para proteger la identidad de las personas. La Administración podría asociar los datos facilitados con los datos identificativos de las personas sin esfuerzo desproporcionado, lo que implica un tratamiento de datos de carácter personal de personas completamente identificables.
Según el artículo 7.3 de la Ley Orgánica 15/1999, los datos de carácter personal que hacen referencia a la salud solo pueden ser recabados, tratados y cedidos cuando lo disponga una Ley o el afectado consienta expresamente. Existen excepciones en los artículos 7.6 y 8 de la Ley, que permiten el tratamiento de estos datos en ciertos contextos sanitarios y bajo el secreto profesional. Sin embargo, el supuesto planteado no parece encajar en estas excepciones.
Por lo tanto, la comunicación de los datos solo sería procedente si el interesado presta su consentimiento o si existe una norma con rango de Ley que lo habilite. El Tribunal Constitucional, en su Sentencia 292/2000, subraya que la excepción al consentimiento debe estar amparada por una Ley formal, no por una norma reglamentaria.
En el caso concreto, la comunicación de datos parece ampararse exclusivamente en normas reglamentarias adoptadas por el Gobierno autonómico. Por lo tanto, a menos que exista una norma con rango de Ley que habilite la cesión de los datos, la comunicación no estaría amparada por la Ley Orgánica 15/1999 si no cuenta con el consentimiento de los afectados.