El Informe 0226/2013 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la consideración de ciertos datos incluidos en tarjetas de crédito como datos de salud, y las medidas de seguridad que deben aplicarse en consecuencia. La consulta se centra en si las preferencias del usuario para la personalización de la interfaz (como el uso de teclado braille o lengua de signos) deben ser tratadas como datos de salud, y si es necesario adoptar medidas de seguridad de nivel alto.
La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal no define explícitamente los datos relacionados con la salud, por lo que se recurre al Reglamento de desarrollo aprobado por el Real Decreto 1720/2007. Según este reglamento, los datos de salud incluyen información sobre la salud pasada, presente y futura, física o mental, de un individuo, así como el porcentaje de discapacidad y la información genética.
El Grupo de Trabajo del artículo 29 de la UE, en su Documento de trabajo sobre el tratamiento de datos personales relativos a la salud, también aboga por un concepto amplio de datos de salud, incluyendo cualquier información que tenga una relación clara y estrecha con el estado de salud de una persona. Esto incluye datos sobre el consumo de medicamentos, alcohol o drogas, así como datos genéticos.
El informe concluye que las preferencias del usuario para la personalización de la interfaz, que están configuradas como requisitos específicos para personas con dificultades especiales, deben considerarse datos relativos a la salud. Por lo tanto, de acuerdo con el Reglamento de desarrollo de la Ley Orgánica 15/1999, las medidas de seguridad a adoptar deberían ser de nivel alto.
Sin embargo, el artículo 81 del mismo reglamento establece una excepción: si los datos de salud se incluyen de forma incidental o accesoria y no guardan relación con la finalidad principal de la tarjeta, pueden aplicarse medidas de seguridad de nivel básico. No obstante, se subraya la obligación de adoptar medidas necesarias para evitar el acceso indebido a los datos, especialmente considerando el uso de tecnología RFID, que puede permitir a terceros no autorizados acceder a la información contenida en la tarjeta.
El informe también hace referencia a la Recomendación de la Comisión Europea sobre la aplicación de los principios de protección de datos en aplicaciones basadas en RFID, que establece la necesidad de realizar evaluaciones de impacto sobre la protección de datos y la intimidad antes de la puesta en funcionamiento de estas aplicaciones. El Grupo de Trabajo del artículo 29 ha aprobado un Marco de Evaluación del Impacto que debe seguirse para garantizar la privacidad desde el diseño y la gestión adecuada de los riesgos asociados.
En resumen, el informe concluye que, aunque las preferencias del usuario pueden considerarse datos de salud, la finalidad principal de la tarjeta no es el tratamiento de estos datos, por lo que podrían aplicarse medidas de seguridad de nivel básico. No obstante, se debe realizar una evaluación de impacto sobre la protección de datos y la intimidad, siguiendo el Marco de Evaluación aprobado por el Grupo de Trabajo del artículo 29, para garantizar la seguridad y privacidad de los datos.