| Informe | 2023-0016 |
| Enlace | 📋 |
### **Resumen del Informe Jurídico de la AEPD (N/REF: 0016/2023)**
El proyecto de Real Decreto para la creación de la **Red Estatal de Vigilancia en Salud Pública** busca modernizar y ampliar los sistemas de vigilancia epidemiológica, incorporando no solo enfermedades transmisibles (como ya regulaba el RD 2210/1995) sino también enfermedades no transmisibles, salud laboral y ambiental, entre otras. Este proyecto se enmarca en los objetivos del **Plan de Recuperación, Transformación y Resiliencia** y busca alinearse con la **Ley 33/2011 de Salud Pública**, que ya contemplaba la creación de una Red de Vigilancia Pública.
#### **Contexto y objetivos principales:**
– **Mejora de los sistemas de vigilancia** tras las lecciones aprendidas durante la pandemia de COVID-19.
– **Integración de sistemas**: Se prevé coordinar múltiples sistemas de vigilancia (enfermedades transmisibles y no transmisibles, salud laboral, ambiental, alerta precoz, etc.).
– **Base legal**: Se apoya en leyes como la **Ley 14/1986 (General de Sanidad), la Ley 16/2003 (Cohesión y Calidad del SNS) y la Ley 33/2011 (Salud Pública)**, así como en normativas internacionales como el **Reglamento Sanitario Internacional (2005)** y el **Reglamento UE 2022/2371** sobre amenazas transfronterizas graves para la salud.
—
#### **Aspectos clave sobre protección de datos:**
El informe destaca que el tratamiento de datos en esta red **afecta a datos personales, especialmente categorías especiales como datos de salud**, por lo que debe ajustarse al **RGPD (Reglamento UE 2016/679)**, la **LOPDGDD (Ley Orgánica 3/2018)** y la jurisprudencia del Tribunal Constitucional.
1. **Base jurídica para el tratamiento de datos**:
– Se legitima bajo el **artículo 6.1.e del RGPD** (misión de interés público) y el **artículo 6.1.c** (cumplimiento de una obligación legal).
– Para categorías especiales de datos (como salud), se aplica el **artículo 9.2.i del RGPD**, que permite el tratamiento cuando sea necesario por interés público en salud pública, siempre que se respeten las garantías adecuadas.
2. **Principios clave en el proyecto**:
– **Minimización de datos**: Solo se recogerán datos estrictamente necesarios (artículo 19.3).
– **Seguridad y trazabilidad**: Los sistemas deben garantizar la **interoperabilidad, seguridad y trazabilidad** de los datos (artículo 20).
– **Secreto profesional**: Las personas que accedan a los datos estarán sujetas al secreto profesional (artículo 8.2 de la Disposición Adicional).
– **Anonimización**: Siempre que sea posible, los datos deben anonimizarse o seudonimizarse (artículo 19.3 y Disposición Adicional 6).
3. **Garantías específicas**:
– **Acceso a historias clínicas**: Solo de forma motivada y por profesionales sanitarios (artículo 16.3 de la Ley 41/2002).
– **Información al afectado**: Se exceptúa el deber de informar cuando sea imposible o implique un esfuerzo desproporcionado (artículo 14.5.d del RGPD), pero se debe garantizar el derecho a conocer la finalidad del tratamiento.
– **Cesión a terceros**: Solo se permitirá si es estrictamente necesario y previa anonimización (Disposición Adicional 9).
—
#### **Observaciones y recomendaciones de la AEPD:**
Aunque el proyecto incluye buenas prácticas como la **Evaluación de Impacto en Protección de Datos (EIPD)** y una **Disposición Adicional sobre protección de datos**, la AEPD realiza las siguientes observaciones críticas:
1. **Falta de Evaluación de Impacto específica**:
– Debería incluirse una **EIPD detallada** (artículo 35 RGPD) que analice riesgos para los derechos fundamentales, especialmente dada la integración de múltiples sistemas y el alto volumen de datos de salud.
2. **Tratamiento masivo e indiscriminado**:
– El TC (Sentencia 17/2013) prohíbe el acceso indiscriminado a datos personales por parte de administraciones públicas.