El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las dudas planteadas por un parlamentario de la Junta General del Principado de Asturias respecto a la solicitud de información sobre la vacunación de altos cargos y directivos del Principado. La consulta se centra en la legalidad de la cesión de datos personales de salud, considerados como categorías especiales de datos según el Reglamento General de Protección de Datos (RGPD).
El Servicio de Salud del Principado de Asturias (SESPA) argumenta que la comunicación de estos datos requiere el consentimiento explícito de los interesados, ya que se trata de información sensible. El Delegado de Protección de Datos (DPD) del Principado, sin embargo, sugiere que la solicitud podría estar amparada por una habilitación legal, dado el carácter normativo de los Reglamentos parlamentarios.
La AEPD, en su análisis, subraya que el tratamiento de datos de salud está prohibido salvo que se cumplan las excepciones previstas en el artículo 9.2 del RGPD. Entre estas excepciones, se menciona la posibilidad de que el tratamiento sea necesario por razones de interés público esencial, siempre que se respeten las garantías adecuadas y se cumpla el principio de proporcionalidad.
El informe destaca que los Reglamentos parlamentarios tienen rango de ley y pueden habilitar la cesión de datos, pero deben incluir las garantías necesarias para proteger los derechos fundamentales de los interesados. La AEPD también recuerda que la jurisprudencia del Tribunal Constitucional y del Tribunal de Justicia de la Unión Europea exige que cualquier limitación a los derechos fundamentales, como la protección de datos, debe estar claramente definida por ley y respetar el contenido esencial de esos derechos.
En conclusión, la AEPD considera que la cesión de datos de salud solicitada por el parlamentario podría estar justificada por un interés público esencial, siempre y cuando se cumplan todas las condiciones y garantías establecidas en el RGPD y la normativa nacional. La responsabilidad de determinar la licitud del tratamiento recae en el responsable del tratamiento, en este caso, el SESPA, quien debe asegurarse de que se respeten todos los principios de protección de datos. La AEPD también subraya que la interpretación y aplicación de las normas correspondientes es competencia de la Mesa de la Cámara, sin perjuicio del control jurisdiccional posterior.