El Informe 0654/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, a un fichero utilizado en un proyecto de investigación que contiene datos relativos a reacciones alérgicas, tests realizados y datos del paciente, identificados por un código numérico.
La consulta se centra en determinar si este fichero está sujeto a la normativa de protección de datos. La AEPD reitera que, según el artículo 2.1 de la Ley Orgánica 15/1999, esta ley se aplica a los datos de carácter personal registrados en cualquier soporte que permita su tratamiento, y a toda modalidad de uso posterior de estos datos. Además, el artículo 3.a) define los datos de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables.
El informe también se refiere a la definición de «persona identificable» del artículo 5.1.o) del Reglamento de desarrollo de la Ley Orgánica, que incluye a toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
Para ilustrar, el informe menciona la Ley 14/2007, de Investigación Biomédica, que distingue entre «muestra biológica anonimizada o irreversiblemente disociada», «muestra biológica no identificable o anónima» y «muestra biológica codificada o reversiblemente disociada». Las dos primeras categorías podrían quedar excluidas de la aplicación de la Ley Orgánica 15/1999, mientras que la tercera, que permite la identificación a través de un código, sí está sujeta a dicha ley.
En el caso específico del informe, dado que los datos del paciente están asociados a un código numérico que permite su identificación, la AEPD concluye que la Ley Orgánica 15/1999 es plenamente aplicable. Esto implica que el fichero debe cumplir con las medidas de seguridad previstas en la ley y su reglamento de desarrollo. La identificación a través de un código numérico no convierte los datos en anónimos o disociados, por lo que la protección de datos debe ser garantizada.
En resumen, el informe subraya la importancia de la identificación indirecta a través de códigos y la necesidad de aplicar la normativa de protección de datos en cualquier fichero que contenga información que pueda asociarse a personas identificables, asegurando así la privacidad y seguridad de los datos personales.