El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la base jurídica del tratamiento de datos personales de salud por parte del Centro Nacional de Epidemiología (CNE), perteneciente al Instituto de Salud Carlos III (ISCIII). El CNE realiza vigilancia epidemiológica y estudios sobre enfermedades, tanto transmisibles como no transmisibles, y necesita acceder a bases de datos clínicas y administrativas gestionadas por otros organismos públicos.
El Estatuto del ISCIII, aprobado por Real Decreto 375/2001, establece que el Instituto es un organismo público de investigación con funciones en salud pública, control sanitario, formación y coordinación de actividades de investigación biomédica. El CNE, creado por la Orden de 27 de diciembre de 2001, tiene como objetivo mejorar la salud pública mediante la vigilancia epidemiológica y la investigación de factores de riesgo.
La actividad en materia de salud está regulada por la Ley General de Sanidad y la Ley General de Salud Pública, que promueven la colaboración entre servicios asistenciales y la coordinación efectiva para intercambiar información necesaria para la vigilancia de la salud pública. Estas leyes también establecen el respeto a la dignidad y la intimidad personal y familiar, y la protección de datos personales de salud.
El Reglamento General de Protección de Datos (RGPD) define los datos personales y de salud, y establece que el tratamiento de estos datos está prohibido salvo en casos específicos, como el interés público esencial o la salud pública. La Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) amplía estas excepciones, permitiendo el tratamiento de datos de salud sin consentimiento en situaciones de excepcional relevancia y gravedad para la salud pública.
La LOPDGDD también modifica la Ley General de Sanidad y la Ley de Autonomía del Paciente para incluir disposiciones específicas sobre el acceso a las historias clínicas por razones epidemiológicas o de salud pública. En estos casos, no será necesario el consentimiento de las personas afectadas si se cumplen ciertos requisitos, como la previa motivación por parte de la administración sanitaria y el acceso por un profesional sujeto al secreto profesional.
En resumen, el informe concluye que el CNE puede tratar datos personales de salud sin el consentimiento de los interesados cuando sea estrictamente necesario para la tutela de la salud pública, siempre que se cumplan las condiciones establecidas en la legislación vigente.