| Informe | 2025-0056 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (N/REF: 0056/2025)
El informe de la Agencia Española de Protección deDatos (AEPD) evalúa un proyecto normativo que regula el derecho a la protección de la salud y la atención sanitaria pública en España, específicamente para colectivos como personas extranjeras sin residencia legal y españoles residentes en el exterior. El análisis se centra en los tratamientos de datos personales derivados de esta normativa, especialmente los de salud, que están amparados por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Base jurídica para el tratamiento de datos
La AEPD destaca que el tratamiento de datos se justifica por dos supuestos del RGPD:
Cumplimiento de una obligación legal (art. 6.1.c del RGPD): Al derivar de la Ley 16/2003 (cohesión y calidad del SNS), que regula este derecho.
Interés público (art. 6.1.e del RGPD): Para garantizar la salud pública y la atención sanitaria a grupos vulnerables.
Además, se recuerda que la LOPDGDD (art. 8) exige que estos tratamientos estén respaldados por una norma con rango de ley, lo que cumple este proyecto normativo al desarrollar el artículo 3 ter de la Ley 16/2003.
Tratamiento de datos sensibles
El proyecto implica el manejo de datos de salud y de identificación, como pasaportes o documentos nacionales de identidad, especialmente en el procedimiento para acreditar el derecho a la asistencia sanitaria. La AEPD subraya la necesidad de garantizar:
Seguridad y confidencialidad: Las operaciones deben ajustarse al RGPD y a la LOPDGDD, incluyendo medidas técnicas y organizativas para proteger datos sensibles.
Transparencia: Se sugiere incluir una disposición específica que recuerde la obligación de cumplir con ambas normas.
Riesgos y recomendaciones
Aunque no se identifican infracciones graves, la AEPD recomienda:
Explicitar en el proyecto normativo el sometimiento a las normas de protección de datos, añadiendo una cláusula que mencione el RGPD y la LOPDGDD.
Asegurar proporcionalidad: Solo recopilar datos esenciales para el procedimiento (ej: número de identificación, no información médica superflua).
Garantizar derechos de los interesados: Informar sobre la base legal del tratamiento, el tiempo de conservación de datos y los mecanismos para ejercer derechos como el acceso, rectificación o supresión.
Conclusión
El informe valora positivamente que el proyecto normativo tenga en cuenta la protección de datos desde su diseño («privacy by design»), pero insta a reforzar la claridad normativa en su texto final para evitar ambigüedades. Se trata de un paso necesario para alinear la ampliación de la cobertura sanitaria con los principios de protección de datos y derechos fundamentales.