El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la solicitud de cesión de datos personales de salud por parte de la Autoridad Independiente de Responsabilidad Fiscal (AIReF) al Ministerio de Sanidad. La AIReF solicita datos individualizados de salud para cruzar con otras bases de datos, con el fin de realizar un estudio de revisión del gasto en instrumentos financieros de apoyo a los sectores productivos y del gasto derivado de la asistencia sanitaria del mutualismo administrativo.
### Contexto y Solicitud
La solicitud se basa en un Acuerdo del Consejo de Ministros (ACM) de 28 de diciembre de 2021, que encarga a la AIReF la realización de este estudio. La AIReF solicita datos del Registro de Actividad Sanitaria Especializada (RAE-CMBD) y la Base de Datos Clínicos de Atención Primaria (BDCAP). Estos datos serán cruzados y anonimizados por la Agencia Estatal de Administración Tributaria (AEAT) antes de ser utilizados por la AIReF.
### Consideraciones Jurídicas
El informe destaca que los datos solicitados son considerados sensibles, específicamente datos de salud, lo que implica un régimen de protección más estricto según el Reglamento General de Protección de Datos (RGPD). La legislación y la jurisprudencia del Tribunal Constitucional y del Tribunal de Justicia de la Unión Europea (TJUE) establecen que cualquier injerencia en el derecho fundamental a la protección de datos debe estar claramente habilitada por una norma con rango de ley.
### Requisitos Legales
Para que la cesión de datos sea legal, la norma habilitante debe:
1. **Especificar la circunstancia habilitante**: La norma debe identificar claramente la base legal que permite el tratamiento de datos sensibles, conforme al artículo 9.2 del RGPD.
2. **Definir la finalidad del tratamiento**: La finalidad debe estar claramente establecida y, si se corresponde con las letras c) o e) del artículo 6.1 del RGPD, debe estar reflejada en una norma con rango de ley.
3. **Incluir garantías adecuadas**: La norma debe contener las garantías necesarias para proteger los derechos de los interesados, sin deferir estas garantías a normas de rango inferior.
### Evaluación de Impacto
El informe también subraya la necesidad de realizar una evaluación de impacto en la protección de datos (DPIA) conforme al artículo 35 del RGPD, dado el alto riesgo que implica el tratamiento de datos sensibles. Esta evaluación debe ser realizada antes de proceder con el tratamiento y debe abordar los riesgos y las medidas de mitigación.
### Conclusiones
El informe concluye que la solicitud de cesión de datos no está respaldada por una norma con el rango y contenido necesarios para habilitar el tratamiento de datos sensibles. Además, no se ha realizado la evaluación de impacto requerida. Por lo tanto, la cesión de datos en los términos solicitados no cumple con los requisitos legales y de protección de datos establecidos por el RGPD y la legislación española.
En resumen, la AEPD advierte que la cesión de datos de salud solicitada por la AIReF no puede proceder sin una habilitación legal adecuada y una evaluación de impacto previa, lo que pone en duda la legalidad y la protección de los derechos de los interesados.