| Informe | 2022-0045 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD sobre el proyecto HEBAR (2022-0045)**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el proyecto **HEBAR** (*Herramienta Epidemiológica Ambiental Basada en Aguas Residuales*), un sistema de información diseñado para apoyar la vigilancia en salud pública y el control de contaminantes en aguas residuales, conforme a la **Ley 14/1986 de Sanidad** y la **Recomendación (UE) 2021/472** sobre vigilancia del SARS-CoV-2 en aguas residuales de la UE.
#### **Fundamento legal y objeto del proyecto**
El sistema **HEBAR** se justifica por la necesidad de recopilar datos epidemiológicos para prevenir riesgos sanitarios y planificar acciones públicas. Sin embargo, desde la perspectiva de protección de datos, el proyecto implica el tratamiento de datos personales de los usuarios del sistema (especialmente datos identificativos como nombre, apellido y DNI), lo que requiere cumplimiento estricto con el **RGPD** y la **LOPDGDD**.
—
#### **Análisis de protección de datos y medidas adoptadas**
La AEPD evalúa si el proyecto garantiza el derecho fundamental a la protección de datos, destacando:
1. **Artículo 10 de la orden proyectada**:
– Establece que el **Ministerio de Sanidad** debe implementar medidas técnicas y organizativas para garantizar la seguridad de los datos, evitando accesos no autorizados, alteraciones o pérdidas.
– Los datos personales se regirán por el **RGPD** y la **LOPDGDD**, asegurando su legitimidad y proporcionalidad.
2. **Principio de minimización de datos**:
– El acceso profesional al sistema se limita a **nombre, apellido y DNI**, excluyendo otros datos innecesarios.
– Se implementa una **gestión descentralizada de usuarios**, donde cada comunidad autónoma y operador gestiona sus propios permisos (lectura, modificación, alta/baja), reduciendo riesgos de exposición.
3. **Anexo II (Características del sistema)**:
– Incluye **protección de datos** y **privacidad y seguridad** como requisitos del sistema.
– En casos justificados, se permite incluir datos de contacto (correo/teléfono), siempre alineados con el principio de minimización.
—
#### **Conclusiones y recomendaciones de la AEPD**
La AEPD valora positivamente que:
– Se identifique al **Ministerio de Sanidad** como responsable del tratamiento.
– Se apliquen medidas de **seguridad** y **protección desde el diseño (Privacy by Design)**.
– Se respeten los principios de **proporcionalidad, minimización y transparencia**.
No obstante, como medida preventiva, recomienda que la **Exposición de Motivos** de la norma incluya la referencia expresa al informe previo de la AEPD, reforzando la legitimidad del tratamiento.
—
### **Conclusión final**
El informe de la AEPD reconoce que el proyecto **HEBAR** cumple con el marco legal de protección de datos, siempre que se apliquen estrictamente las medidas de seguridad y minimización previstas. El enfoque descentralizado y la limitación de datos identificativos son clave para evitar riesgos para los derechos de los ciudadanos. La AEPD insiste en que cualquier desarrollo normativo posterior que afecte a datos personales debe someterse a su evaluación previa.