| Informe | 2025-0051 |
| Enlace | 📋 |
Resumen breve del informe jurídico de la AEPD (500 palabras)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el nivel de cumplimiento de la normativa de protección de datos en el Plan Estatal de Preparación y Respuesta frente a amenazas para la salud pública, enmarcado en el Sistema de Alerta Precoz y Respuesta Rápida (SIAPR), regulado por el Real Decreto 568/2024, que crea la Red Estatal de Vigilancia en Salud Pública.
Marco normativo aplicable
La AEPD constata que el proyecto se sustenta en un marco legal que ya incorpora disposiciones específicas sobre protección de datos. Las normas de referencia son:
Ley 33/2011, de 4 de octubre, General de Salud Pública (art. 7.2), que remite al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD), además de la Ley 41/2002, de autonomía del paciente, para garantizar la confidencialidad de los datos sanitarios.
Ley 7/2025, de 28 de julio, que crea la Agencia Estatal de Salud Pública (AESAP), cuyo artículo 7 detalla las condiciones para el tratamiento de datos personales, basándose en:
Interés público (art. 6.1.e RGPD).
Cumplimiento de obligaciones legales (art. 6.1.c RGPD).
Protección de la salud pública (art. 9.2.i RGPD), justificando el tratamiento de datos de salud sin consentimiento.
Real Decreto 568/2024, que regula la Red Estatal de Vigilancia, con una Disposición adicional primera que recoge:
Base legal para los tratamientos (RGPD y LOPDGDD).
Principio de minimización de datos, requiriendo anonimización o seudonimización cuando no sea estrictamente necesario procesar datos identificativos.
Deber de secreto para los responsables y encargados del tratamiento.
Interoperabilidad controlada, usando identificadores sanitarios (CIP, SNS, DNI) solo cuando sea imprescindible.
Cesión de datos anonimizados a terceros, siempre bajo estrictas garantías de confidencialidad.
Acceso a datos personales solo por profesionales sanitarios sujetos a secreto profesional o personal equivalente.
Evaluación de la AEPD
La AEPD considera que el proyecto respetan la normativa vigente y no vulneran derechos fundamentales, siempre que:
Se apliquen medidas técnicas y organizativas (como evaluaciones de impacto y Esquema Nacional de Seguridad).
Se evite el acceso indebido a datos identificativos (exigiendo disociación cuando no sea necesario).
Se garantice la transparencia (información a los afectados, salvo excepciones justificadas).
El intercambio internacional de datos cumpla con el RGPD y el Reglamento (UE) 2022/2371, que regula las amenazas transfronterizas en salud.
Conclusiones y sugerencias
La AEPD recomienda:
Incluir una disposición expresa en el Real Decreto que recoja la referencia al RGPD, LOPDGDD y a las normas específicas de salud pública (Ley 33/2011, Ley 7/2025 y RD 568/2024).
Fortalecer la documentación para demostrar el cumplimiento de los principios de proporcionalidad, necesidad y minimización de datos.
Asegurar que los informes generados por la Red no contengan información identificativa (salvo casos excepcionales y justificados).
En definitiva, el informe avalúa positivamente la adecuación del proyecto a la normativa de protección de datos, siempre que se apliquen las cautelas previstas y se respeten los límites éticos y legales en el tratamiento de información sanitaria.