El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la legalidad de comunicar datos personales de ciudadanos vacunados a la Oficina de Prevención y Lucha contra la Corrupción de las Illes Balears. La consulta plantea si se incumpliría el Reglamento General de Protección de Datos (RGPD) al proporcionar estos datos sin anonimizarlos o si sería suficiente proporcionar datos anonimizados o limitarlos a los estrictamente necesarios.
El informe destaca que el RGPD establece un régimen de responsabilidad activa, donde el responsable del tratamiento debe cumplir con los principios de licitud, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad. Además, el tratamiento de datos de salud, considerados como categorías especiales de datos, está prohibido salvo que se cumplan ciertas excepciones, como el consentimiento explícito del interesado o el cumplimiento de una obligación legal.
La AEPD subraya que la Oficina de Prevención y Lucha contra la Corrupción no es una autoridad competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales, por lo que no se aplica el régimen especial de la Directiva (UE) 2016/680. Por tanto, el tratamiento de datos personales por parte de esta oficina debe ajustarse al RGPD.
El informe analiza si el tratamiento de datos de salud puede justificarse por razones de interés público esencial, conforme al artículo 9.2.g) del RGPD. Para ello, es necesario que el tratamiento esté previsto en una norma con rango de ley que especifique el interés público esencial y establezca garantías adecuadas. La AEPD concluye que la solicitud de datos es excesiva y contraria a la normativa de protección de datos, ya que no se justifica la necesidad de acceder a los datos personales de las personas vacunadas y supone un tratamiento masivo de datos, lo cual es contrario al principio de minimización de datos y a la doctrina del Tribunal Constitucional y del Tribunal de Justicia de la Unión Europea.
En resumen, la AEPD considera que la comunicación de datos personales de ciudadanos vacunados a la Oficina de Prevención y Lucha contra la Corrupción sin anonimizarlos incumpliría el RGPD. La solicitud de datos debe ser específica, justificada y limitada a lo estrictamente necesario, y debe cumplir con las garantías establecidas en la normativa de protección de datos.