El Informe 0445/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con el tratamiento de datos personales en el contexto de evaluaciones psicotécnicas y psicológicas de alumnos.
Primero, el informe determina la naturaleza de los datos que se tratan según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, el Real Decreto 1720/2007. La entidad consultante realiza evaluaciones psicotécnicas que incluyen características de personalidad y preferencias profesionales de los alumnos. Según el artículo 5.1 g) del Reglamento, estos datos se consideran «datos de salud», ya que incluyen informaciones concernientes a la salud mental de los individuos. Este criterio se ha mantenido en informes anteriores de la AEPD, como el de 20 de mayo de 2002, que define los datos de salud de manera amplia, incluyendo informaciones sobre la salud física y mental de una persona.
Dado que los datos tratados son de salud, el informe concluye que deben aplicarse medidas de seguridad de nivel alto, tal como exige el artículo 4.3 del Reglamento de Seguridad. Esto implica que la entidad debe implementar medidas adicionales para proteger la información sensible que maneja.
En segundo lugar, el informe analiza el tipo de servicios que presta la entidad consultante. La empresa emite informes individuales dirigidos a las familias y otros informes, tanto individuales como colectivos, para los tutores del grupo-clase y equipos psicopedagógicos. La comunicación directa entre la entidad y las familias impide que la consultante pueda ser considerada encargada del tratamiento, ya que mantiene una relación directa con los padres de los escolares. Según el artículo 20.1 del Reglamento, se considera que existe comunicación de datos cuando el acceso establece un nuevo vínculo entre quien accede a los datos y el afectado.
Finalmente, el informe concluye que, al tratarse de datos relacionados con la salud de los escolares, es necesario contar con el consentimiento expreso de los menores para proceder al tratamiento. En el caso de menores de catorce años, se requiere el consentimiento de los padres o tutores, mientras que para los mayores de catorce años, el consentimiento del menor es suficiente, salvo que la ley exija la asistencia de los titulares de la patria potestad o tutela.
En resumen, el informe subraya la importancia de clasificar correctamente los datos tratados y de obtener el consentimiento adecuado, especialmente cuando se manejan datos sensibles como los de salud, y cuando se trata de menores de edad. Además, enfatiza la necesidad de implementar medidas de seguridad de nivel alto para proteger estos datos.