| Informe | 2025-0015 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Informe 0015/2025)
El informe aborda un convenio entre el Servicio Andaluz de Salud (SAS) y Instituciones Penitenciarias para garantizar la interoperabilidad entre sus historias clínicas electrónicas, permitiendo al personal sanitario penitenciario acceder a los datos clínicos de los reclusos en el SAS y viceversa. Las principales dudas se centran en la aplicabilidad de normativas previas (como el informe 018/2006) y en la legitimación para el tratamiento de datos de salud en este contexto.
Contextos clave:
Doble especialidad normativa:
Materia penitenciaria: Excluida del ámbito de aplicación del RGPD (Reglamento General de Protección de Datos), se rige por normativa específica (Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, y su Reglamento) y supletoriamente por el RGPD.
Datos de salud: Considerados datos de carácter especial (art. 9 RGPD), su tratamiento está permitido si se destina a fines médicos, sanitarios o de salud pública (art. 9.2.h RGPD y disposición adicional decimoséptima de la LOPDGDD).
Integración en el Sistema Nacional de Salud (SNS):
Los informes 018/2006 y 0367/2009 se basaban en que los servicios de salud penitenciarios estaban integrados en el SNS (Ley 16/2003).
En Andalucía, esta integración no ha ocurrido, por lo que los tratamientos de datos no pueden basarse en dicha premisa. Sin embargo, la Asistencia Integral Sanitaria (arts. 207 y 209 del Reglamento Penitenciario) exige la formalización de convenios entre la Administración Penitenciaria y las sanitarias para garantizar la salud de los reclusos.
Base legal para el tratamiento de datos:
Los convenios entre el SAS e Instituciones Penitenciarias legitiman los tratamientos de datos de salud al amparo del art. 6.1.c y e RGPD:
Art. 6.1.c RGPD: Cumplimiento de una obligación legal (velar por la salud de los internos, art. 3.4 LOGP).
Art. 6.1.e RGPD: Tratamiento necesario para el cumplimiento de una misión en interés público (asistencia sanitaria integral).
El artículo 7.3 del Reglamento Penitenciario permite la cesión de datos de salud para urgencias o estudios epidemiológicos, alineándose con lo dispuesto en la Ley 41/2002 y la Ley General de Salud Pública.
Conclusiones principales:
Los servicios de salud penitenciarios en Andalucía no están integrados en el SNS, pero su obligación de garantizar la salud de los reclusos se cumple mediante convenios con las administraciones sanitarias.
Estos convenios constituyen una base legal suficiente para legitimar los tratamientos de datos de salud (accesos, registros y cesiones) bajo el art. 6.1.c/e RGPD.
La telemedicina y la formación compartida previstas en el convenio también son compatibles con la normativa de protección de datos, siempre que se respeten los principios de minimización, finalidad y proporcionalidad.
Recomendaciones:
Los convenios deben detallar los protocolos de acceso y cesión de datos, asegurando que los tratamientos sean proporcionales y limitados a los fines sanitarios establecidos.
Debe garantizarse la confidencialidad e integridad de los datos, así como el derecho de los reclusos a ser informados sobre el tratamiento de sus datos (art. 13 RGPD).
Este informe subraya la importancia de formalizar adecuadamente los acuerdos de colaboración entre administraciones para garantizar tanto la asistencia sanitaria como el cumplimiento normativo en protección de datos.