El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se refiere a un Proyecto de Real Decreto que establece los criterios técnicos y sanitarios de las piscinas. Este proyecto se basa en un texto anterior que ya fue objeto de informe por la AEPD en 2011. El informe actual revisa las implicaciones de protección de datos personales en el contexto de la regulación de piscinas.
El Proyecto de Real Decreto tiene como objetivo establecer criterios técnicos y sanitarios para la calidad del agua, del aire y la seguridad de las piscinas, con la finalidad de proteger la salud de los usuarios. Uno de los puntos clave del informe es la obligación impuesta al titular de la instalación de llevar un libro de registro, preferiblemente en soporte informático, que incluya datos relativos al autocontrol y situaciones de incidencias e incumplimientos.
El artículo 4.2 del Proyecto menciona la necesidad de registrar incidencias, que podrían incluir datos relacionados con la salud de los usuarios. Según el artículo 7.3 de la Ley Orgánica 15/1999, los datos de carácter personal que hagan referencia a la salud solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado. Por lo tanto, sería necesario que existiera una norma con rango de ley que permita el tratamiento de estos datos.
El artículo 13.2 del Proyecto establece un procedimiento de notificación de incidencias, y el artículo 13.3 especifica que ciertos casos deben ser notificados a la autoridad competente. El Anexo V del Proyecto detalla la información que debe incluirse en estas notificaciones, la cual se limita a datos numéricos como el número de personas afectadas, su sexo y edad, sin incluir información que permita la identificación personal.
La AEPD considera que, para garantizar la protección de datos, el artículo 4.2 del Proyecto debe hacer referencia explícita a la obligación de incluir en el registro únicamente la información del Anexo V. Además, sugiere suprimir la expresión «como mínimo» del artículo 13.4 para evitar posibles interpretaciones que pudieran incluir datos personales identificables.
En cuanto a las restantes obligaciones de registro e información, la AEPD concluye que no incorporan datos de carácter personal, por lo que quedan al margen de la aplicación de la Ley Orgánica 15/1999. Esta ley solo es aplicable cuando se trata de informaciones relativas a personas físicas identificadas o identificables.
En resumen, el informe de la AEPD subraya la necesidad de clarificar y limitar el tipo de datos que se registran en las piscinas para evitar el tratamiento de datos personales sensibles sin la debida cobertura legal. Las recomendaciones se centran en asegurar que los registros se limiten a datos disociados, es decir, que no permitan la identificación de los usuarios, garantizando así el respeto al derecho fundamental a la protección de datos personales.