| Informe | 2022-0073 |
| Enlace | 📋 |
**Resumen del Informe Jurídico de la AEPD (Informe 0073/2022)**
La Agencia Española de Protección de Datos (AEPD) analiza un proyecto de Real Decreto que regula los registros nacionales en materia de reproducción asistida, incluyendo:
1. **Registro Nacional de Donantes** (artículo 21 Ley 14/2006).
2. **Registro Nacional de Actividad** de centros y servicios de reproducción asistida (artículo 22 Ley 14/2006).
3. **Registro de Centros y Servicios** de reproducción asistida (artículo 30 Real Decreto-ley 9/2014).
### **Principales Observaciones y Recomendaciones**
1. **Falta de rango legal adecuado**:
– El proyecto de Real Decreto excede su ámbito de desarrollo reglamentario al regular aspectos sustanciales del tratamiento de **datos personales sensibles**, como los de salud (artículos 9.1 y 9.2 del RGPD). La jurisprudencia constitucional y del TJUE exige que estos tratamientos estén regulados por **normas con rango de ley**, no por reglamentos.
– El Tribunal Constitucional (STC 76/2019) y el Tribunal de Justicia de la Unión Europea (TJUE) insisten en que la ley debe:
– Justificar expresamente el interés público o causa de levantamiento de la prohibición del tratamiento (artículo 9.2 RGPD).
– Establecer **presupuestos y condiciones claras** para el tratamiento de datos.
– Incluir **garantías adecuadas** frente a posibles injerencias en derechos fundamentales.
2. **Datos personales y categorías especiales**:
– El proyecto incluye datos de salud (datos personales sensibles) y sugiere que podrían manejarse otros como «datos epidemiológicos» o «perfil sociodemográfico», lo que requiere regulación legal expresa.
– La AEPD señala que la Ley 14/2006 ya delimita algunos datos para los registros, pero no abarca todos los contemplados en el proyecto. Por ejemplo:
– El **Registro de Actividad** (artículo 9 del proyecto) incluye datos personales que no están previstos en la ley original (ej.: datos clínicos o epidemiológicos).
– El **manual de datos** del proyecto delega en una resolución administrativa la definición de los datos tratados, lo que vulnera la reserva de ley (artículo 53.1 CE).
3. **Garantías y seguridad**:
– El proyecto incorpora medidas técnicas y organizativas para garantizar la seguridad de los datos (artículo 20), como la anonimización de la información accesible a terceros. La AEPD considera este aspecto positivo, pero insiste en que dichas garantías deben estar reguladas por ley.
– Se incluye una **Disposición Adicional Tercera** sobre protección de datos, alineada con buenas prácticas en otras normas, pero nuevamente, la AEPD recuerda que su ubicación debe ser en una norma con rango de ley.
4. **Evaluación de Impacto (EIPD)**:
– El proyecto no incluye una **Evaluación de Impacto sobre la Protección de Datos (EIPD)** durante su tramitación (artículo 35.10 RGPD y Real Decreto 931/2017). La AEPD recomienda su incorporación en la Memoria de Análisis de Impacto Normativo (MAIN) para identificar y mitigar riesgos para los derechos de los interesados.
5. **Colaboración público-privada**:
– Se permite la participación de centros y servicios en la definición de datos mediante manuales técnicos (artículo 14 del proyecto), lo que la AEPD considera excesivo: **la ley debe determinar qué datos se tratan y bajo qué condiciones**, sin delegar en instrumentos infralegales.
### **Conclusión y Recomendaciones Finales**
La AEPD concluye que el proyecto **infringe la reserva de ley** al regular aspectos nucleares del tratamiento de datos sin soporte en una norma con rango de ley. Para su conformidad con el ordenamiento jurídico, se requiere:
– Que el tratamiento de datos personales sensibles (salud) se regule en una **ley**, no en un Real Decreto.
– Que la norma legal:
– Especifique el **interés público** que legitima el tratamiento.
– Defina **qué datos personales** se incluyen en cada registro y con qué finalidades.
– Establezca **garantías específicas** (ej.: plazos de conservación, acceso restringido, derechos de los interesados).
– Que se incluya una **Evaluación de Impacto sobre la Prote