¿Qué nivel de seguridad debemos aplicar cuando tratamos datos relativos a la discapacidad de las personas?
¿Qué nivel de seguridad debemos aplicar cuando tratamos datos personales relativos a la discapacidad de las personas?
En el ámbito de los datos personales especialmente protegidos es motivo de consulta recurrente qué nivel de protección mínimo tiene que adoptar el responsable del tratamiento de datos relativos la salud.
El artículo 8 de la Directiva 95/46/CE ya categorizó los datos relativos a la salud como “especiales”. Una expresión similar (“categorías particulares”) fue la utilizada por el artículo 6 del Convenio Nº 108/1981 del Consejo de Europa. Con ello se pretendía alertar a los legisladores nacionales de la importancia de establecer suficientes mecanismos para salvaguardar los intereses legítimos de los titulares de tales datos.
La LOPD asume el espíritu de la Directiva y el Convenio 108 introduciendo una nueva expresión: “datos especialmente protegidos”. No obstante, apenas hace referencia a datos relativos a la salud; se limita a legitimar a las instituciones, los centros sanitarios y los profesionales correspondientes a tratarlos. Debemos acudir pues a su Reglamento de desarrollo (RDL 1720/2007), que sí especifica qué son los datos relacionados con la salud:
“Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética” (letra g) del art 5.1).
En lo que a nosotros concierne, debemos poner en consonancia este precepto con el 81.6 del mismo texto legal, que dice así:
“También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos”.
Como observamos, se trata de una excepción a la regla general diseñada por el Legislador, que es la de dotar del máximo nivel de seguridad al tratamiento de datos referentes a la salud de las personas. Regla que oportunamente es extensible a datos de ideología, afiliación sindical, religión, creencias, origen racial y vida sexual (art 81.3 RLOPD).
Obviando el análisis amplio del concepto de discapacidad y de las diversas clasificaciones de la Organización Mundial de la Salud sobre la misma, baste recordar esta definición:
“Cualidad de aquella persona que tiene impedida o entorpecida alguna de las actividades cotidianas consideradas normales, por alteración de sus funciones intelectuales o físicas”. (RAE)
La Agencia Española de Protección de Datos (AEPD) ha pretendido dar respuesta a la pregunta planteada en el encabezamiento a través de diversos informes jurídicos. No obstante, es el de fecha 1 de julio de 2008 (Informe 0179/2008) el que trató por primera vez este asunto con profundidad y ha servido de fundamento de los siguientes.
Del análisis del contenido del Informe se concluye que únicamente serán exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan uno o varios de los siguientes datos:
- La mera indicación del grado o porcentaje de minusvalía del afectado (o de los miembros de su unidad familiar) a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del IRPF.
- La indicación del dato “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no, así como la incapacidad laboral del trabajador.
Para que obre la excepción se deben cumplir dos presupuestos:
- Datos relativos exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado.
- Con motivo del cumplimiento de deberes públicos.
En lo concerniente al primero de los presupuestos, el tenor literal es claro. Si además del grado de discapacidad o la declaración de la condición de invalidez del afectado, se trata algún otro dato de salud, como las circunstancias específicas que determinan el porcentaje de discapacidad del mismo, sería preceptivo aplicar las medidas de seguridad de nivel alto.
Para explicar el segundo de los presupuestos, la AEPD, en el Informe de 1 de julio de 2008, se circunscribe a tres ámbitos:
- A efectos de las retenciones del IRPF, la Ley 35/2006 (LIRPF) y su Reglamento establecen que será preciso calcular el mínimo personal y familiar para casos de minusvalía.
- En materia de prevención de riesgos laborales, la Ley 31/1995 (LPRL) insta al empresario a que vele por la salud de sus trabajadores, para lo cual, en su caso, se realizarán los exámenes médicos pertinentes, obteniéndose resultados favorables (“apto”) o desfavorables (“no apto”).
- En lo que respecta a las obligaciones en materia de seguridad social, el RDL 1/1994 (LGSS) establece que el empresario tiene que asumir las contribuciones derivadas de la existencia de enfermedad profesional o accidente laboral, y en algunos casos se prevé un régimen de colaboración, a través de las mutuas de accidentes de trabajo y enfermedades profesionales. Para ello es ineludible conocer la situación de discapacidad o invalidez del afectado que fundamente el tratamiento de datos.
Hallamos otros dos supuestos que versan sobre este mismo requisito. A uno le da respuesta el Informe 0519/2009 cuando supedita la concesión de una subvención para planes de formación al procedimiento de selección de candidatos entre los que tienen prioridad las personas con discapacidad. Aquí es la convocatoria de la subvención (en aplicación de la Orden TAS/718/2008, de 7 de marzo) la que justifica que el tratamiento de dichos datos sea esencial para seguir el procedimiento legalmente establecido.
En el otro supuesto, el Informe 0175/2010 autoriza la implantación sobre el fichero de medidas de seguridad de nivel básico. Nos encontramos ante un tratamiento de datos de discapacidad de los solicitantes de una vivienda o plaza de aparcamiento protegidas, tratamiento que tiene por finalidad la de cumplir con el porcentaje de reserva de plazas a discapacitados establecido en las normas de aplicación (se cita el Decreto 3/2004, de la Junta de Comunidades de Castilla-La Mancha, de Régimen Jurídico de las Viviendas de Protección).
En conclusión, debemos analizar cada caso concreto y sobre todo entender que las excepciones son sólo eso, excepciones. La valoración por un experto en protección de datos y seguridad de la idoneidad legal y económica de la adopción der unas medidas u otras es algo fundamental. Quizás sea mucho más precavido realizar una pequeña inversión inicial para cumplir la regla general que buscar las argucias legales y tecnológicas para entrar dentro del ámbito de aplicación de las excepciones. Pero esto, como todo, es cuestión de cultura.
Francisco Antonio Domínguez Díaz
@FranADominguez