| Informe | 2024-0047 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Sistema de Información de Vacunaciones e Inmunizaciones (SIVAIN)
Contexto y objetivo del SIVAIN
El SIVAIN es un sistema de información regulado por el Real Decreto 568/2024, que busca recopilar datos sobre vacunaciones e inmunizaciones en España para evaluar programas de salud pública, farmacovigilancia y cumplimiento de normativas internacionales. Su finalidad incluye:
Trazabilidad de vacunas (históricos).
Accesibilidad a la información por profesionales sanitarios y administraciones.
Estudios epidemiológicos y evaluación de políticas de vacunación.
Farmacovigilancia (análisis de reacciones adversas).
Certificados de vacunación para ciudadanos.
Datos personales tratados
El SIVAIN recopilaría datos de salud (categoría especial según el RGPD y la LOPDGDD), como:
Identificadores personales (nombre, ID único).
Datos clínicos (vacunas administradas, lotes, fechas, motivos de no vacunación).
Información geográfica (lugar de residencia y administración).
Cuestiones jurídicas clave
La Agencia Española de Protección de Datos (AEPD) emite un informe desfavorable por los siguientes motivos:
a) Falta de base jurídica suficiente
El RGPD (art. 6.1 y 9.2) exige una norma con rango de ley para legitimar el tratamiento de datos de salud.
Las leyes españolas citadas (Ley General de Sanidad 14/1986, Ley de Cohesión Sanitaria 16/2003, Ley General de Salud Pública 33/2011) no especifican la finalidad, alcance ni garantías del SIVAIN.
Doctrina del Tribunal Constitucional (STC 76/2019, 292/2000): La injerencia en derechos fundamentales (como la protección de datos) requiere ley orgánica que defina límites y garantías.
b) Vulneración de principios del RGPD
Falta de proporcionalidad: La inclusión de datos identificativos (superflua para alcanzar los fines sanitarios) y el registro de «motivos de no vacunación» son desproporcionados.
Minimización de datos: No se justifica la necesidad de tratar identificadores únicos (ej. ID personal) para la trazabilidad o estudios epidemiológicos.
Integridad y confidencialidad: No se detallan medidas técnicas (pseudonimización, control de acceso) ni se incluye un análisis de riesgos o Evaluación de Impacto en Protección de Datos (EIPD).
Diseño por defecto: El acceso a datos personales no está restringido por función, competencia o necesidad, violando el principio de «menos datos posible».
c) Seguridad deficiente
El proyecto no establece protocolos técnicos claros (autenticación, logging de accesos) ni alinea las medidas de seguridad con el Esquema Nacional de Seguridad (ENS).
Falta de deber de secreto específico para ciertos accesos (ej. administraciones no sanitarias).
d) Uso secundario no justificado
La cesión de datos a terceros (investigadores, organismos internacionales) debe realizarse con anonimización o seudonimización, pero el marco propuesto no define estos requisitos.
Propuesta de la AEPD
Para que el SIVAIN sea conforme al RGPD y la legislación española, requiere:
Una ley orgánica que:
Defina finalidad, ámbito, responsables y medidas de seguridad.
Establezca garantías proporcionales (ej. acceso restringido a profesionales sanitarios deben estar sujetos al secreto profesional).
Limite la conservación de datos a lo necesario.
Proteger datos identificativos solo cuando sea imprescindible para la salud pública.
Realizar una EIPD antes de implementar el sistema.
Incorporar medidas técnicas como:
Pseudonimización de datos identificativos en usos no clínicos.
Registro exhaustivo de accesos.
Autenticación fuerte (contraseñas, tokens).
Marcos normativos de referencia
RGPD (UE 2016/679): Principios de licitud, minimización y responsabilidad proactiva.
LOPDGDD (Ley 3/2018): Precisiones sobre datos sanitarios.
Ley 41/2002 de Autonomía del Paciente: Regula el acceso a historiales clínicos.
Reglamento (UE) 2022/2371: Exige límites al tratamiento de datos para salud pública.
Conclusión
La AEPD considera que el SIVAIN, tal como está regulado, no cumple con el marco legal de protección de datos. Para su implementación, se necesita:
✅ Una ley orgánica que especifique la finalidad y garantías.
✅ Medidas técnicas estrictas (pseudonimización, acceso controlado).
✅ Evaluación de riesgos y EIPD previa.
Recomendación final: El proyecto debería ser modificado sustancialmente o, en su defecto, derivado a una ley que subsane las carencias detectadas. De lo contrario, su implementación podría ser ilegal por vulnerar derechos fundamentales.