El Informe 207/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con la creación y gestión de una base de datos clínicos, patológicos y radiológicos de seguimiento, sin incluir identificación personal de los pacientes. La consulta se centra en determinar si dicha base de datos está correctamente disociada y, por ende, si queda excluida del ámbito de aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
Para que una base de datos esté correctamente disociada, es necesario que los datos personales sean tratados de manera que no puedan asociarse a una persona identificada o identificable. Esta definición se encuentra en el artículo 3 f) de la Ley Orgánica 15/1999 y se reitera en el artículo 5 del Real Decreto 1720/2007, que desarrolla dicha ley. Según estos artículos, un dato disociado es aquel que no permite la identificación del afectado.
En el caso planteado, cada médico introduce los datos de sus pacientes previa disociación, permitiendo que otros médicos consulten estos datos sin poder identificar al sujeto afectado. Sin embargo, surge la duda sobre si el nombre del médico que introduce los datos aparece en la base de datos. Si el nombre del médico no se incluye, la base de datos estaría totalmente anonimizada y quedaría excluida del ámbito de aplicación de la Ley Orgánica 15/1999. En este caso, no sería necesario notificar el fichero al Registro General de Protección de Datos, obtener el consentimiento informado ni adoptar las medidas de seguridad previstas en el Real Decreto 1720/2007.
Por el contrario, si el nombre del médico aparece en la base de datos, esta quedaría sometida en su integridad a la Ley Orgánica 15/1999. En tal situación, sería obligatorio notificar el fichero a través del sistema Nota, informar a los médicos sobre la incorporación de sus datos y obtener su consentimiento para el tratamiento de los mismos. Además, se deberían implantar las medidas de seguridad establecidas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.
En resumen, el informe subraya la importancia de la correcta disociación de datos para determinar la aplicación de la normativa de protección de datos. La inclusión o exclusión del nombre del médico en la base de datos es el factor determinante para decidir si se deben cumplir con las obligaciones establecidas por la Ley Orgánica 15/1999 y su reglamento de desarrollo.