Desde que comenzó la campaña de vacunación hemos asistido a ciertas irregularidades donde algunos políticos y altos cargos han incumplido la estrategia establecida de vacunación contra la COVID-19.
Tras la polémica que se ha suscitado muchos son los grupos parlamentarios que están solicitando la consulta a las listas integras de cargos públicos vacunados hasta la fecha amparándose en un ejercicio de transparencia e incluso algunos quieren ir más allá dando publicidad a los listados de personas que han sido vacunadas.
Conviene señalar, que, según el Reglamento General Europeo de Protección de Datos (en adelante RGPD), la comunicación o cesión de datos consiste en una actividad de “tratamiento” de datos, pues el artículo 4.2) del RGPD define “tratamiento” como cualquier operación sobre datos personales como la recogida, registro, comunicación, difusión o cualquier otra forma de acceso.
Dicha actividad consistente en la cesión, difusión o comunicación de datos de una persona implica un tratamiento de datos personales, y por tanto está sujeta a la normativa sobre protección de datos y a sus principios, esto es, al RGPD y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD).
Pues bien, nuestra autoridad de control, esto es la Agencia Española de Protección de Datos (AEPD), a través de un reciente informe de su gabinete jurídico ha considerado pertinente pronunciarse dando respuesta así a la solicitud de información efectuada por un parlamentario de la Junta General del Principado de Asturias, sobre la relación de altos cargos y cargos directivos del Principado de Asturias, sus organismos autónomos, entes públicos y empresas públicas a los que se les ha suministrado alguna de las vacunas contra el COVID-19.
Según consta en la consulta, el Servicio de Salud del Principado de Asturias (SESPA), en su condición de responsable del tratamiento de los datos personales, contestó que, siendo el dato relativo al estado vacunal de una persona un dato de salud y, como tal, una categoría especial de dato, su comunicación requeriría, conforme al artículo 9 del Reglamento Europeo de Protección de datos el consentimiento explícito del interesado, sin que fuera posible tampoco facilitar una relación de cargos vacunados, ya que el cargo sirve para identificar a la persona y no siendo tampoco factible la opción de proporcionar la información solicitada mediante la remisión de datos seudonimizados, ya que esto no da respuesta al requerimiento recibido que es tener conocimiento sobre a qué cargos públicos concretos se les ha proporcionado la vacuna frente al COVID-19.
Ante las serias dudas que suscitaron las cuestiones planteadas, el Delegado de protección de datos de la consultante (Junta General del Principado de Asturias), dio traslado a la AEPD para que se pronunciase sobre los criterios expuestos y que dada la generalidad con la que se están planteando las solicitudes de información de parlamentarios en relación con las personas que han recibido la vacuna contra el COVID-19, la propia AEPD considera necesario analizar, con carácter general, el régimen jurídico aplicable a los correspondientes tratamientos de datos personales.
MARCO NORMATIVO
Para el tratamiento (o la cesión) de datos de salud, objeto de análisis en el presente informe, debemos acudir primeramente al artículo 9 del RGPD que regula el tratamiento de las “categorías especiales de datos personales”, gozando de esta naturaleza, entre otros, los datos de salud.
Para ello, debemos partir de la consideración de la información correspondiente al hecho de la vacunación como un dato relativo a la salud, dado que la información relativa a la condición de haberse recibido la vacuna, en cuanto revela información sobre el estado de salud de las personas que la han recibido, es un dato de salud, y por tanto debe incluirse dentro de las “categorías especiales de datos” de acuerdo con el artículo 9 del RGPD, respecto de los que rige la regla general de su prohibición (art. 9.1 RGPD).
En este sentido, todo tratamiento de datos personales relativos a la salud debe cumplir los principios pertinentes establecidos en el artículo 5 del RGPD y ajustarse a una de las bases jurídicas y las excepciones específicas que se enumeran, respectivamente, en el artículo 6 y el artículo 9 del RGPD para la licitud del tratamiento de esta categoría especial de datos personales.
El tratamiento de las categorías especiales de datos está prohibido por el artículo 9.1 del RGPD. No obstante, el artículo 9.2 RGPD establece el listado tasado de circunstancias que pueden concurrir para poder llevar a cabo el tratamiento o cesión de las categorías especiales de datos. Únicamente en el caso de que concurra alguna de las circunstancias previstas en el artículo 9.2 del RGPD y 9.2 LOPDGDD, se excepciona la prohibición del tratamiento o cesión de datos de salud.
Entre las circunstancias del 9.2, las mencionadas en las letras g) h) e i) pueden referirse a datos de salud:
“g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.”
Conviene recordar que cuando el RGPD se refiere a la base del Derecho de la Unión o de los Estados miembros, debemos entender una norma con rango de ley.
En este sentido, el artículo 9.2 de la LOPDGDD, referido a las categorías especiales de datos, establece que “los tratamientos de datos contemplados en las letras g) h) e i) del 9.2 RGPD deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.”
A este respecto, debe partirse de que dichos datos han sido solicitados por un parlamentario de la Junta General del Principado de Asturias, en el ejercicio del derecho que le reconoce el artículo 14.1. de su Reglamento:
1. Para el mejor cumplimiento de sus funciones parlamentarias, previo conocimiento del Portavoz de su Grupo, los Diputados tendrán derecho a obtener de los organismos e instituciones de la Administración de la Comunidad Autónoma los datos, informes o documentos que obren en poder de ésta.
Conforme a reiterada doctrina constitucional el derecho a la información de los diputados forma parte del derecho fundamental reconocido en el artículo 23 de la Constitución, la sentencia del Tribunal Constitucional núm. 203/2001 de 15 octubre establece una directa relación entre el derecho de un parlamentario «ex» art. 23.2 CE con el que nuestra Constitución atribuye a los ciudadanos a participar en los asuntos públicos en el art. 23.1, pues «son primordialmente los representantes políticos de los ciudadanos quienes dan efectividad a su derecho a participar en los asuntos públicos».
En consecuencia, de acuerdo con la jurisprudencia citada, el derecho de información de los parlamentarios forma parte del contenido del derecho fundamental a la participación política reconocido en el artículo 23 de la Constitución, por lo tanto, superior al de cualquier ciudadano. No obstante, como todo derecho fundamental es limitado, debiendo encontrarse entre dichos límites la protección del derecho fundamental a la protección de datos personales recogido en el artículo 18.4 de la Constitución y en el RGPD y la LOPDGDD.
LEGITIMACIÓN: INTERÉS PÚBLICO ESENCIAL
El derecho de información de los diputados, en cuanto forma parte del contenido del derecho fundamental a la participación política reconocido en el artículo 23 de la Constitución y derivado de la configuración de España como un Estado democrático en el artículo 1 de la misma y de la función de control de la acción del Gobierno atribuida a las Cortes Generales en su artículo 66 y a los Parlamentos autonómicos en los respectivos Estatutos de Autonomía, responde a la existencia de un interés público esencial, por lo que el tratamiento de categorías especiales de datos, en el presente caso, de datos de salud, podría ampararse en el artículo 9.2.g) del RGPD, siempre y cuando concurran todos los requisitos previstos en el mismo:
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
¿podemos considerar entonces a los reglamentos parlamentarios como normas con rango de ley que habilitaría la comunicación de los datos de vacunación que solicita un grupo parlamentario?
Pues parecer ser que esta cuestión no plantea duda alguna a esta Agencia, atendiendo a la doctrina del tribunal constitucional:
Con carácter general, la Constitución reconoce la potestad reglamentaria de las Cámaras en su artículo 72.1, y dispone que los Reglamentos sólo podrán ser aprobados o modificados por la mayoría absoluta de la Cámara correspondiente. La potestad autorreglamentaria implica, además de la atribución a las Cámaras de la facultad autonormativa, que la norma reglamentaria deriva directamente de la Constitución y que, por consiguiente, no tiene más límites que los establecidos por ella. Esta potestad supone también, que ninguna otra norma que no sean los Reglamentos de las Cámaras puede regular la organización y funcionamiento de estas, configurándose así en una “reserva de Reglamento”.
En consecuencia, los Reglamentos de las Cámaras son normas directamente vinculadas y subordinadas a la Constitución y su posición en el sistema de fuentes no puede determinarse en términos de jerarquía, sino en términos de competencia, esto es, partiendo de la reserva constitucionalmente prevista a favor de los Reglamentos para que estos, y no otra norma cualquiera, ordenen la vida interna de las Cámaras. La fuerza de Ley atribuida por el Tribunal Constitucional a los Reglamentos parlamentarios, queda también reflejada en el artículo 27.2 de la Ley Orgánica del Tribunal Constitucional.
Por consiguiente, existiendo un interés público esencial, previsto en una norma de derecho interno con fuerza de ley, resulta determinante analizar si dicha norma ha procedido a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, y si la misma ha previsto las garantías adecuadas, teniendo en cuenta que la exigencia general de dichas garantías se refuerza cuando se trata de categorías especiales de datos personales, tal y como resulta del artículo 9.2.g) del RGPD, que se refiere a las “medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de interesado” y del artículo 9.2 de la LOPDGDD, que prevé que dichos tratamientos al amparo de la letra g) del artículo 9.2. del RGPD “deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad”.
Pero volviendo al inicio de este post, ¿podrían dichos parlamentarios, en aras de la transparencia del proceso de vacunación, dar publicidad y difusión a los listados de personas que han sido vacunadas, en especial, los cargos públicos concretos a los que se les ha proporcionado la vacuna frente al COVID-19?
Los datos de vacunación forman parte de la historia clínica del paciente, hay que tener en cuenta que entre las finalidades señaladas en el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente que permiten el acceso a la historia clínica NO se incluye la difusión de la misma a la ciudadanía en aras de la transparencia.
Según lo establecido en el RGPD únicamente si concurriese alguna de las circunstancias señaladas en las letras g) h) e i), sobre la base de una norma con norma con rango de ley, el responsable del tratamiento podría realizar el tratamiento o la cesión de datos personales de salud. De lo manifestado no parece deducirse que el hecho de dar publicidad a la ciudadanía en aras de la transparencia, esté comprendido en alguna de estas circunstancias.
Por otro lado, haciendo una referencia al marco normativo relativo a la transparencia de la información pública, esto es, la Ley 19/2013, de 9 de diciembre, de trasparencia, acceso a la información pública y buen gobierno. La información relativa a listados de personas que han recibido una vacuna no se especifica expresamente como uno de los extremos objeto de publicidad activa recogidos en la Ley 19/2013. Así, ante la posible colisión entre la publicidad de la información pública y la protección de datos personales, debemos tener en cuenta lo dispuesto en el artículo 5.3 y en el artículo 15 de la Ley 19/2013, que establece para los datos de salud que el acceso a los mismos solo se podrá autorizarse en el caso de que el afectado manifieste su consentimiento expreso, o si el acceso estuviera amparado por una norma con rango de ley.
A modo de CONCLUSIÓN:
La AEPD entiende que existe un interés público esencial previsto en una norma de derecho interno con fuerza de ley como es el Reglamento de las cámaras que habilita a los parlamentarios en su función de control parlamentario a conocer que cargos públicos han sido vacunados. Pero el acceso a esta información no es una carta en blanco sin que la misma se llevará a cabo de forma que no se conculquen las garantías legalmente establecidas para la protección de datos de carácter personal, de forma que:
Todo tratamiento, cesión, difusión o publicación de información que contenga datos de carácter personal debe respetar la normativa reguladora en materia de protección de datos y sus principios recogidos en el artículo 5 del RGPD, singularmente, los principios de:
- Minimización: de modo que los datos personales que se faciliten a los parlamentarios sean los estrictamente indispensables para el ejercicio de su función (es decir, que sean “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”)
- Limitación de la finalidad, de modo que no sean tratados ulteriormente de manera incompatible con la finalidad para la que se obtuvieron, por lo que deberá indicarse en la comunicación que los mismos únicamente pueden ser utilizados para la finalidad que justifica su cesión.
