| Informe | 2024-0046 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (2024-0046)
El informe analiza una consulta del Ministerio de Sanidad sobre una solicitud de acceso a datos sanitarios presentada al amparo de la Ley 19/2013 de Transparencia, en la que un particular pidió un registro detallado (desde 2011 hasta 2023) de ingresos hospitalarios públicos, incluyendo códigos CIE (diagnósticos), edad exacta, sexo, fechas de ingreso y alta, tipo de admisión (urgencias o programado) y resolución final.
Principales consideraciones:
Naturaleza de los datos solicitados:
La AEPD determina que la información, aunque solicitada como «anonimizada», en realidad consiste en datos desidentificados que podrían permitir la reidentificación de los pacientes, especialmente en provincias con pocos hospitales o en casos de personas con notoriedad pública. Esto viola el RGPD (Art. 4.1), que protege los datos de personas «identificables», incluso indirectamente.
La reidentificación es factible combinando los datos solicitados (como fecha exacta de ingreso, edad o diagnóstico) con otros registros públicos o información accesible.
Incompatibilidad con la Ley de Transparencia (Ley 19/2013):
El artículo 15.1 de esta ley prohíbe la cesión de datos personales sin consentimiento del afectado o sin una base legal que lo permita.
La AEPD señala que la ley de transparencia no puede usarse como base jurídica para acceder a datos de salud sin las garantías exigidas en la Disposición Adicional 17ª de la LOPDGDD (Ley Orgánica de Protección de Datos) ni sin cumplir los requisitos para investigaciones sanitarias.
Además, la solicitud fue considerada abusiva porque:
Buscaba evitar las limitaciones de desagregación del Portal Estadístico del Ministerio de Sanidad, diseñado para proteger la privacidad.
Implicaba un riesgo desproporcionado para los derechos de los pacientes, y su concesión habría requerido un esfuerzo incompatible con el correcto funcionamiento del sistema sanitario.
Normativa aplicable: Ley de Función Estadística Pública (Ley 12/1989):
Los datos solicitados provienen del Registro de Atención Especializada (RAE-CMBD), que está sujeto a secreto estadístico (Art. 13 y 14 de la Ley 12/1989).
Solo se permitiría su cesión para fines científicos y bajo estrictas condiciones (instituciones reconocidas, proyectos avalados y datos mínimos necesarios), lo que no aplica en este caso.
Régimen preferente de normas sectoriales:
La AEPD recuerda que, cuando existe una normativa específica (como la estadística o la de datos sanitarios), la Ley 19/2013 solo actúa de forma supletoria.
En consecuencia, el Ministerio de Sanidad actuó correctamente al denegar la solicitud, al no poder garantizar la anonimización efectiva ni aplicar excepciones legales.
Conclusiones clave:
Los datos de salud son categorías especiales de datos (Art. 9 RGPD), y su procesamiento requiere garantías altas.
La anonimización debe ser robusta: si existe riesgo de reidentificación, se consideran datos personales y no pueden ser cedidos.
La Ley de Transparencia no es una vía válida para eludir las protecciones de la normativa de protección de datos, especialmente en salud.
Valoración final:
El informe de la AEPD respalda al Ministerio de Sanidad por haber denegado adecuadamente la solicitud, argumentando que:
Los datos solicitados no estaban anonimizados, sino solo desidentificados, lo que violaría el RGPD.
La Ley de Transparencia no justifica el acceso a datos sanitarios sin consentimiento ni base legal específica.
La normativa sectorial sobre estadística sanitaria impone restricciones adicionales que impiden la cesión.
La AEPD concluye que la denegación fue conforme a derecho, priorizando la protección de datos personales sobre el derecho de acceso a la información pública en este caso concreto.