El sorprendente tratamiento accesorio de los datos personales

La entrada de hoy, que profundiza en algunos aspectos «oscuros» del nuevo reglamento, es la segunda colaboración de Ana Marzo, habitual colaboradora de S2 Grupo, y a la que ya presentamos en su anterior entrada. Estoy seguro de que les será de interés.

Entre las bondades del nuevo reglamento de la LOPD (en adelante RDLOPD) nos encontramos con la grata sorpresa de la rebaja del nivel de seguridad establecida en el artículo 81.5.b) el cual dispone que:

«En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.»

A mí que me explique algún resuelto lector cómo compatibilizamos el tratamiento accesorio o incidental con el principio de calidad del dato que establece en la LOPD (recordemos Ley Orgánica y por tanto norma de rango superior al reglamento):

«los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.»

Es más, que me resuelvan la duda de cómo es posible al amparo de la LOPD y en particular, de su nítido principio de calidad, disponer de tratamientos o ficheros que, como predica el nuevo reglamento en su artículo 81.5.b), contienen «datos sin guardar relación con su finalidad».

Sorprendente declaración normativa, pero más sorprendente aún la postura de la Agencia Española de Protección de Datos (en adelante AEPD) que ni corta ni perezosa contesta entre sus «FAQS» a la pregunta de qué se entiende por ficheros o tratamientos no automatizados en los que de forma «accidental o accesoria» se contengan datos especialmente protegidos lo siguiente:

«Caso concreto: inclusión de un dato de salud incluido en un parte de baja:
        Deber de formalizar el documento conforme a la ordenación vigente
        No inclusión del documento en el fichero.»

Partiendo del hecho de que el reglamento no menciona el tratamiento accidental sino incidental, parece que la AEPD permite el tratamiento (porque existe una obligación legal vigente) pero no su archivo en el fichero. Magistral solución; ¿será que podremos cumplimentar el parte de baja pero no lo podremos archivar y por tanto, no podrá formar parte del fichero?

Y yo insisto, aún no hemos resuelto el verdadero problema: el tratamiento de datos especialmente protegidos que no guardan relación con su finalidad —y por tanto, como hemos advertido— en contra del principio de calidad del dato.

En un reciente informe la AEPD (ante la consulta de un reclamante sobre la necesidad o no de hacer constar en una historia clínica el dato de sí un accidentado en el momento del accidente tenía o no puesto el cinturón de seguridad) manifiesta lo siguiente:

«Solamente debería introducirse la información relevante, aclarando que según los principios de pertinencia y proporcionalidad de la recopilación de datos, toda compilación de datos debe limitarse a aquellos datos que sean adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente.

En consecuencia, debería procederse a la cancelación del contenido de la historia clínica del dato referido a si la paciente llevaba puesto el cinturón de seguridad si dicho dato no resulta relevante para facilitar su asistencia sanitaria ni aporta información veraz y actualizada acerca de su estado de salud.»

¿Será que amparados en el artículo 81.5.b) del nuevo RDLOPD podremos aplicar el nivel de seguridad básico a los datos especialmente protegidos incurriendo en una infracción del principio de calidad y nadie nos lo había contado?

Ana Marzo

Comments

  1. Muy bueno. Vaya razón que tienes.