| Informe | 2023-0080 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el proyecto de Real Decreto de modificación de la tarjeta sanitaria individual (Expediente 2023-0080)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el proyecto de Real Decreto que modifica el Real Decreto 183/2004, para adaptarlo a la digitalización e incluir la tarjeta sanitaria virtual (TSV), validada en todo el Sistema Nacional de Salud (SNS).
Principales aspectos del informe:
Tratamiento de datos personales:
La tarjeta sanitaria individual (TSI), tanto física como virtual, contiene información que identifica unívocamente a los titulares (nombre, apellidos, código de identificación del SNS, etc.), lo que la convierte en datos personales bajo el RGPD y la LOPDGDD.
La AEPD recomienda que el proyecto incluya un análisis de riesgos y una evaluación de impacto en protección de datos (EIPD) en la Memoria del Análisis de Impacto Normativo (MAIN), especialmente al tratarse de una norma que regula tratamientos de datos con base legal en el artículo 6.1.c o e del RGPD (obligación legal o interés público).
Tarjeta virtual:
La AEPD advierte sobre los riesgos adicionales que conlleva el uso de una tarjeta virtual, como una mayor exposición a accesos no autorizados, y sugiere que su emisión sea voluntaria para el titular.
Propone que la tarjeta virtual solo se emita a quienes ya tengan una tarjeta sanitaria física, limitando así los riesgos.
Datos adicionales en la tarjeta:
El artículo 3 del proyecto permite la inclusión de datos como el DNI, número de Seguridad Social, fecha de caducidad o fotografía, pero la AEPD considera que deberían incluirse solo cuando lo prevea una ley con rango suficiente, garantizando las medidas adecuadas.
Critica la redacción actual («adicionalmente»), ya que no especifica la base legal necesaria para tratar estos datos.
Accesibilidad y datos sensibles:
Respecto a la inclusión de datos en braille, la AEPD destaca que si se aplica a todos los usuarios (no solo a personas con discapacidad visual), no constituiría un dato especial. Sin embargo, si solo se destina a personas con discapacidad visual, se trataría de una categoría especial de datos (artículo 9 del RGPD), lo que requeriría una base legal específica.
Principios del RGPD:
El informe recuerda que cualquier tratamiento de datos debe cumplir con los principios de licitud, transparencia, limitación de la finalidad y minimización (artículos 5 y 6 del RGPD).
La inclusión de datos en un chip (mencionado en el proyecto) debe estar claramente definida para evitar tratamientos excesivos o no regulados.
Conclusiones y recomendaciones de la AEPD:
Incorporar un análisis de riesgos y EIPD en la MAIN para evaluar los impactos en protección de datos.
Limitar la tarjeta virtual a casos voluntarios y con garantías de seguridad.
Exigir base legal específica para la inclusión de datos adicionales, garantizando el principio de proporcionalidad.
Clarificar la normativa sobre braille para evitar el tratamiento indebido de categorías especiales de datos.
En resumen, la AEPD apoya el avance tecnológico pero insiste en que la regulación debe cumplir estrictamente con la protección de datos, con transparencia, proporcionalidad y garantías suficientes.