El informe jurídico 0129/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la naturaleza del dato de «fumador» en relación con la protección de datos de carácter personal, específicamente en el contexto de la Ley Orgánica 15/1999. La consulta plantea si el dato de si una persona es fumadora debe considerarse un dato de salud, y por ende, estar sujeto a un régimen especial de protección.
La AEPD comienza por delimitar el concepto de datos de salud, atendiendo a las normas nacionales e internacionales vigentes en España. La Ley Orgánica 15/1999 considera los datos de salud como especialmente protegidos, limitando su recopilación y cesión, pero no define explícitamente qué se entiende por datos de salud. Para ello, se remite a tratados internacionales como la Directiva 95/46/CE del Parlamento Europeo y el Convenio 108 del Consejo de Europa, que establecen un régimen especial de protección para estos datos.
El Convenio 108 y la Recomendación R (97) 5 del Consejo de Europa definen los datos de salud como informaciones concernientes a la salud pasada, presente y futura de un individuo, incluyendo el abuso de alcohol, drogas y nicotina. Sin embargo, estos documentos diferencian entre el consumo de sustancias estupefacientes y el consumo de alcohol o tabaco. Mientras que el consumo de drogas se considera directamente vinculado a la salud, el consumo de alcohol o tabaco solo se considera un dato de salud si se especifica la cantidad consumida y se demuestra que es abusivo.
En consecuencia, la AEPD concluye que el mero dato de «fumador» no implica por sí mismo una información directamente relacionada con la salud del afectado. Solo cuando se especifica la cantidad consumida y se demuestra que es abusiva, el dato se considera relacionado con la salud. Por lo tanto, si un fichero contiene únicamente el dato de si una persona es fumadora, sin información adicional sobre sus hábitos de consumo, no será necesario aplicar las medidas de seguridad de nivel alto reguladas por el Real Decreto 994/1999.
Este informe subraya la importancia de interpretar adecuadamente las normas de protección de datos y de considerar el contexto específico en el que se manejan ciertos datos personales para determinar el nivel de protección que requieren.