| Informe | 2023-0028 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (2023-0028)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico sobre un Proyecto de Real Decreto relacionado con productos sanitarios para diagnóstico in vitro, en el que se abordan aspectos clave de protección de datos personales. El dictamen destaca las siguientes cuestiones:
Contexto normativo:
El proyecto deriva del Reglamento (UE) 2017/746, que regula productos sanitarios in vitro, pero no aborda en profundidad la protección de datos, limitándose a referencias obsoletas a la Directiva 95/46/CE (ya derogada por el RGPD). La AEPD recuerda que, en la práctica, la normativa aplicable es el RGPD (Reglamento 2016/679) y, en España, la LOPDGDD.
Base jurídica del tratamiento de datos:
Los tratamientos de datos sanitarios en este ámbito se sustentan en el interés público (art. 6.1.e RGPD) y en la Disposición Adicional Decimoséptima (DA 17ª) de la LOPDGDD, que incluye supuestos como la Ley 14/2007 de Investigación Biomédica.
El proyecto solo menciona la protección de datos en el art. 11.8 (referido a pruebas genéticas), pero no incorpora una regulación exhaustiva, quedando superada por la DA 17ª.
Recomendaciones clave:
Evaluación de Impacto (EIPD): La AEPD insta a realizar una Evaluación de Impacto en Protección de Datos como parte del proceso de elaboración normativa, según el art. 35.10 RGPD y el Real Decreto 931/2017. Esto permitiría integrar en la Memoria del Análisis de Impacto Normativo (MAIN) un análisis de riesgos para los derechos digitales, evitando que los responsables posteriores repitan este proceso.
Contenido de la información genética: El art. 11.6 del proyecto obliga a informar sobre las personas con acceso a datos genéticos, pero la AEPD pide incluir también medidas técnicas y organizativas para garantizar su seguridad (anonimización, acceso no autorizado y protocolos ante brechas).
Conformidad con el RGPD:
El proyecto debe asegurar que sus disposiciones no contradigan el RGPD, especialmente en tratamientos de datos de salud. La AEPD subraya que, al regularse estos tratamientos por norma jurídica, los responsables quedan obligados a aplicarlos, pero previamente deben verificarse su compatibilidad con el RGPD.
En conclusión, el informe critica la falta de integración de la protección de datos en el proyecto normativo y recomienda una revisión que incluya evaluaciones de impacto y medidas concretas de seguridad para garantizar el cumplimiento del RGPD y los derechos fundamentales de los ciudadanos.