El informe jurídico de la AEPD, con número 0012/2013, aborda la consulta sobre la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) de incluir información personal de pacientes en una medalla con código QR. La consulta proviene de «Ronda Inmuebles, S.L.», una empresa relacionada con actividades inmobiliarias, lo que genera cierta confusión sobre la relación con la inserción de datos médicos en un código QR.
El informe comienza definiendo qué se entiende por dato personal y tratamiento de datos según la LOPD. La inclusión de información en un código QR implica un tratamiento de datos personales, que debe estar legitimado, preferiblemente mediante el consentimiento del afectado. En el caso de datos relativos a la salud, se requiere un consentimiento expreso.
El informe destaca la necesidad de aplicar los principios de protección de datos, como la calidad y proporcionalidad. Los datos deben ser adecuados, pertinentes y no excesivos en relación con las finalidades determinadas. Esto implica que no se pueden incluir todos los datos personales del paciente sin una justificación clara y específica.
Se analiza la inclusión de datos identificativos y el historial médico del paciente. El informe sugiere que la información debe ser específica y necesaria para la finalidad pretendida. Por ejemplo, en el caso de un enfermo de Alzheimer, podría ser suficiente incluir datos identificativos y una persona de contacto, mientras que en el caso de un enfermo de corazón, podrían ser necesarios datos médicos específicos.
El informe también subraya la importancia de las medidas de seguridad para garantizar que solo los servicios sanitarios autorizados puedan acceder a la información. La Ley 41/2002 de Autonomía del Paciente establece la obligación de reserva sobre la historia clínica y la necesidad de adoptar medidas de seguridad para asegurar la confidencialidad.
En conclusión, la inclusión de datos personales en un código QR es posible siempre que se cumplan ciertos requisitos: consentimiento informado del portador, inclusión solo de los datos estrictamente necesarios y adaptación de medidas de seguridad adecuadas. Además, si la finalidad es que solo el personal sanitario acceda a la información, deben implementarse medidas que impidan el acceso a terceros.