| Informe | 2021-0049 |
| Enlace | 📋 |
El informe jurídico de la AEPD (Agencia Española de Protección de Datos) sobre el proyecto de Real Decreto que regula la organización y funcionamiento de varios registros relacionados con la reproducción humana asistida y la donación de tejidos humanos, destaca varios puntos clave en torno a la protección de datos personales y la normativa vigente.
El proyecto tiene como objetivo regular tres registros específicos: el Registro nacional de donantes, el Registro nacional de actividad y resultados de los centros y servicios de reproducción asistida, y el Registro de centros y servicios de reproducción asistida que da cobertura al Registro de centros y unidades de aplicación de tejidos humanos. Estos registros incluyen datos personales sensibles, como datos de salud, que están protegidos por el Reglamento General de Protección de Datos (RGPD).
El informe subraya que el RGPD define los datos personales como toda información sobre una persona física identificada o identificable, y que los datos de salud son considerados categorías especiales de datos personales, cuyo tratamiento está en principio prohibido. Para tratar estos datos, es necesario que concurra una causa de levantamiento de la prohibición, como se establece en el artículo 9.2 del RGPD.
El Tribunal Constitucional y el Tribunal de Justicia de la Unión Europea han establecido que cualquier injerencia en el derecho fundamental a la protección de datos personales debe estar claramente definida por una norma con rango de ley. Esta norma debe especificar el interés público esencial o la causa que justifica la restricción, regular pormenorizadamente las injerencias al derecho fundamental, y contener las garantías adecuadas frente a la recopilación de datos personales.
El informe señala que los preceptos legales actuales (artículos 21 y 22 de la Ley 14/2006 y artículo 30 del Real Decreto-ley 9/2014) no cumplen con estos requisitos, ya que no contienen regulación suficiente para justificar la injerencia en el derecho fundamental a la protección de datos personales. Además, el proyecto de Real Decreto, al ser una norma reglamentaria, no tiene el rango necesario para establecer las garantías adecuadas.
El informe también menciona la Sentencia del Tribunal Supremo de 30 de mayo de 2014, que declaró nulo un Real Decreto por falta de rango, y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que requiere que los tratamientos de datos sensibles estén amparados en una norma con rango de ley.
En cuanto a la regulación específica del proyecto, el informe critica que se difiera a una resolución de la Dirección General de Cartera Común de Servicios del Sistema Nacional de Salud y Farmacia la determinación de qué datos personales se tratarán en los registros, lo cual es inconstitucional porque solo una norma con rango de ley puede establecer tales limitaciones.
Finalmente, la AEPD recomienda que se realice una Evaluación de Impacto de Protección de Datos (EIPD) y que se incluya en la Memoria del Análisis de Impacto Normativo (MAIN), conforme a lo establecido en el artículo 35 del RGPD, dado que el tratamiento de datos personales sensibles a gran escala requiere una evaluación exhaustiva de riesgos y garantías adecuadas.