El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta realizada por el IMSERSO sobre la conformidad con la normativa de protección de datos de una petición del Ministerio de Universidades. Esta petición solicita la comunicación de una base de datos con identificadores de personas incluidas en el Sistema Integrado de Información Universitaria (SIIU), para cruzar estos datos con la Base Estatal de Personas con Valoración del Grado de Discapacidad y remitir posteriormente la información obtenida sobre el grado de discapacidad de cada identificador.
El informe destaca que la consulta se enmarca en el nuevo régimen establecido por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos marcos normativos exigen una responsabilidad proactiva por parte del responsable del tratamiento de datos, quien debe cumplir con principios como la limitación del plazo de conservación y la minimización de datos.
El RGPD y la LOPDGDD definen «datos personales» como cualquier información sobre una persona física identificada o identificable, y «tratamiento» como cualquier operación realizada sobre datos personales. En relación con los «datos de salud», el RGPD los define como datos personales relativos a la salud física o mental de una persona, incluyendo la prestación de servicios de atención sanitaria.
El artículo 9 del RGPD prohíbe el tratamiento de datos personales que revelen el origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos, relativos a la salud o a la vida sexual, salvo en circunstancias específicas. Estas circunstancias incluyen el consentimiento explícito del interesado, el cumplimiento de obligaciones legales, la protección de intereses vitales, el tratamiento por fundaciones o asociaciones sin ánimo de lucro, datos manifestamente públicos, la formulación, ejercicio o defensa de reclamaciones, razones de interés público esencial, fines de medicina preventiva o laboral, salud pública, archivo en interés público, investigación científica o histórica, y fines estadísticos.
El informe concluye que, según la normativa vigente, no resulta conforme con la protección de datos la petición del Ministerio de Universidades al IMSERSO para realizar el cruce de información con datos de carácter personal, ya que no se ha contemplado normativamente la realización de estadísticas comprensivas de datos de salud referidos a personas físicas identificadas o identificables. Por lo tanto, el Instituto consultante debe ajustarse a lo dispuesto en la Ley 12/1989 de la Función Estadística Pública, que establece que los datos susceptibles de revelar circunstancias que afecten a la intimidad personal o familiar solo pueden recogerse previo consentimiento expreso de los interesados.