| Informe | 2024-0011 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (Informe 0011/2024)
El informe de la Agencia Española de Protección de Datos (AEPD) analiza el proyecto de Real Decreto que regula la promoción de productos sanitarios dirigida a profesionales y al público en general. El texto destaca que el proyecto implica tratamientos de datos personales, por lo que debe ajustarse al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).
Principales aspectos del informe:
Tratamiento de datos personales:
El proyecto incluye tratamientos de datos en dos ámbitos:
Profesionales sanitarios: Acceso a páginas web con información promocional requiere registro con datos como nombre, apellidos, correo electrónico y profesión.
Publicidad dirigida al público: Declaraciones responsables y solicitudes de autorización para difundir publicidad de productos sanitarios contienen información identificativa de las personas físicas o jurídicas (representantes legales).
Base legal para el tratamiento de datos:
La AEPD considera que el tratamiento de datos puede ampararse en el RGPD (art. 6.1.c y e) y en la LOPDGDD (art. 8.2).
La obligación de tratamiento por parte de las autoridades sanitarias se basa en el cumplimiento de una misión de interés público (control de publicidad sanitaria).
La obligación impuesta a terceros (como profesionales sanitarios) para registrar datos se justifica como una medida legal.
Principios de protección de datos:
La AEPD subraya que el proyecto debe garantizar el cumplimiento de los principios del RGPD: licitud, lealtad, transparencia, minimización de datos, exactitud, limitación de la finalidad e integridad y confidencialidad.
En el caso del registro de profesionales sanitarios, el informe cuestiona la proporcionalidad de la medida y la falta de justificación para recopilar datos como nombre, apellidos y correo electrónico, ya que solo se busca verificar que quienes acceden a la información son profesionales sanitarios.
Falta de transparencia y análisis de riesgos:
El proyecto no cumple con las obligaciones de transparencia (art. 12, 13 y 14 RGPD), ya que no informa claramente a los afectados sobre la finalidad del tratamiento, la cesión de datos o los plazos de conservación.
La AEPD recomienda que el proyecto incluya una evaluación de impacto en protección de datos (EIPD) como parte de la Memoria de Análisis de Impacto Normativo (MAIN), algo que no se ha realizado.
Recomendaciones:
El proyecto debe especificar claramente qué datos personales son necesarios para cada tratamiento, evitando generalidades como «al menos» en la descripción de los datos requeridos.
Se debe justificar la necesidad del registro de profesionales sanitarios y cómo garantiza de manera eficaz y proporcional el acceso restringido a la información.
Incluir mecanismos de información clara y transparente a los afectados sobre el tratamiento de sus datos.
Conclusión:
El informe de la AEPD identifica que el proyecto de Real Decreto tiene un impacto significativo en la protección de datos, pero carece de un análisis riguroso sobre los riesgos y la proporcionalidad de las medidas propuestas. La AEPD recomienda corregir estas deficiencias para garantizar el cumplimiento del marco legal de protección de datos.