| Informe | 2022-0076 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD sobre la creación de la Agencia Estatal de Salud Pública (AESAP)**
El **Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD)** ha emitido un informe (referencia **2022-0076**) sobre el **anteproyecto de creación de la Agencia Estatal de Salud Pública (AESAP)**, que modifica la Ley 33/2011, de 4 de octubre, General de Salud Pública. Este informe evalúa, principalmente, el **cumplimiento de la normativa de protección de datos personales (RGPD y LOPDGDD)** en los tratamientos que realizará la nueva agencia.
—
### **1. Contexto y objetivos de la AESAP**
La AESAP se crea para **fortalecer la vigilancia en salud pública**, reforzando:
– La **Red Estatal de Vigilancia en Salud Pública**, integrando enfermedades transmisibles y no transmisibles, lesiones y determinantes sociales.
– Un **sistema de alerta temprana y respuesta rápida** ante amenazas para la salud pública.
– La **coordinación entre administraciones** (estatal, autonómica y local) y con instituciones europeas e internacionales.
– La **generación de inteligencia epidemiológica** para la toma de decisiones.
La creación responde a lecciones de la **pandemia de COVID-19** y a marcos como el **Plan de Recuperación, Transformación y Resiliencia** o la **Estrategia de Vigilancia en Salud Pública**.
—
### **2. Principales cuestiones sobre protección de datos**
La AEPD señala que los **tratamientos de datos personales** necesarios para la AESAP deben ajustarse al **RGPD (Reglamento UE 2016/679)** y a la **LOPDGDD (Ley Orgánica 3/2018)**. Destacan aspectos clave:
#### **A. Bases legales para los tratamientos**
– **Interés público (Art. 6.1.e RGPD)**: Para fines propios de la AESAP, como la vigilancia epidemiológica o la alerta temprana.
– **Cumplimiento de una obligación legal (Art. 6.1.c RGPD)**: Cuando los datos se obtengan de sujetos obligados (ej.: suministros de datos sanitarios).
– **Datos de salud (Art. 9.2.i RGPD)**: Su tratamiento está permitido para **protección frente a amenazas graves** o garantizar la **seguridad de medicamentos y servicios sanitarios**, siempre que existan **garantías adecuadas** (ej.: secreto profesional, limitación de la finalidad y medidas de seguridad).
La AEPD insiste en que **las garantías no pueden dejarse a desarrollo posterior**, sino que deben figurar en la propia ley, alineándose con la **doctrina del Tribunal Constitucional** (STC 76/2019).
#### **B. Medidas específicas para datos de salud**
El informe cita **normas preexistentes** que ya regulan estos tratamientos:
– **Ley 33/2011 (General de Salud Pública)**: Artículos 41 (obligaciones de secreto) y 43 (información epidemiológica).
– **Ley 41/2002 (Autonomía del Paciente)**: Artículo 16 (acceso a historias clínicas por salud pública).
– **Artículo 8.3 de la propuesta de anteproyecto**: Establece que el acceso a datos sanitarios debe someterse a la Ley 41/2002 y priorizar la **anonimización o disociación** cuando no sean estrictamente necesarios los datos identificativos.
#### **C. Principios del RGPD aplicables**
– **Minimización y limitación de finalidad**: Solo se podrán tratar datos **necesarios** para los fines de la AESAP.
– **Integridad y confidencialidad**: Deberán aplicarse las medidas del **Esquema Nacional de Seguridad** (Real Decreto 311/2022).
– **Transparencia**: Deber de información a los afectados (Art. 13-14 RGPD).
—
### **3. Propuesta de redacción normativa**
Para garantizar la legalidad, la AEPD recomienda incluir en el anteproyecto un **artículo específico sobre tratamientos de datos** (Artículo 8 propuesto), que establezca:
1. **Sujeción estricta** al RGPD y LOPDGDD.
2. **Legitimación** para tratamientos en interés público (Art. 6.1.e RGPD) o por obligación legal