El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza un Proyecto de Real Decreto que regula el nivel mínimo de protección establecido en la Ley 39/2006, de promoción de la autonomía personal y atención a las personas en situación de dependencia. Este proyecto tiene como objetivo establecer los criterios de asignación y el procedimiento de abono a las Comunidades Autónomas, así como las necesidades y requisitos del Sistema de Información del Sistema para la Autonomía y Atención a la Dependencia (SISAAD).
El informe destaca la necesidad de que la Exposición de Motivos del proyecto indique que ha sido sometido al previo informe de la AEPD, conforme a lo dispuesto en la Ley Orgánica de Protección de Datos y el Estatuto de la Agencia. El artículo 1 del proyecto establece la regulación del nivel mínimo de protección y los criterios para su cuantificación, así como la información que deben suministrar las Comunidades Autónomas para su incorporación al SISAAD.
El artículo 32.1 de la Ley 39/2006 establece que la financiación del Sistema será suficiente para garantizar el cumplimiento de las obligaciones de las Administraciones Públicas competentes. El artículo 9.1 de la misma Ley dispone que el Gobierno determinará el nivel mínimo de protección garantizado para cada beneficiario, considerando el grado de dependencia y el número de beneficiarios.
El artículo 4.1 del proyecto indica que la asignación financiera del nivel mínimo se efectuará considerando el número de beneficiarios, el grado de dependencia y el tipo de prestaciones reconocidas. El artículo 5.2 establece que las Comunidades Autónomas deben informar a la Administración General del Estado sobre las resoluciones de reconocimiento de la situación de dependencia, incluyendo datos como el grado de dependencia, la prestación reconocida, la efectividad del derecho y la capacidad económica del beneficiario.
El informe plantea dos cuestiones principales: la necesidad de incluir datos identificativos del beneficiario y la extensión de los datos a aportar. En cuanto a la primera cuestión, se sugiere que, siempre que sea posible, se evite la transmisión de datos identificativos, aplicando el principio de proporcionalidad. En caso de que se proceda a la comunicación de estos datos, la cesión debería estar amparada por una norma con rango de Ley, como los artículos 32 y 9 de la Ley 39/2006.
En cuanto a la extensión de los datos, el artículo 37.2 de la Ley 39/2006 establece que el sistema contendrá información sobre la población protegida, recursos humanos, infraestructuras y resultados obtenidos. El artículo 5.2 del proyecto delimita los datos a facilitar al sistema, pero el artículo 6 remite a una norma de desarrollo que no clarifica el alcance real del registro. Se recomienda establecer una previsión en el proyecto que clarifique cuáles serán los datos incorporados al sistema, asegurando que sean adecuados, pertinentes y no excesivos en relación con la finalidad del sistema.
Finalmente, se aconseja que se establezca una norma general de sometimiento a la Ley Orgánica de Protección de Datos en los tratamientos y cesiones de datos, así como en los accesos al sistema de información y el uso posterior de la información, teniendo en cuenta el derecho de las personas beneficiarias a la protección de sus datos personales.