La entrada de hoy, que profundiza en algunos aspectos “oscuros” del nuevo reglamento, es la segunda colaboración de Ana Marzo, habitual colaboradora de S2 Grupo, y a la que ya presentamos en su anterior entrada. Estoy seguro de que les será de interés.
Entre las bondades del nuevo reglamento de la LOPD (en adelante RDLOPD) nos encontramos con la grata sorpresa de la rebaja del nivel de seguridad establecida en el artículo 81.5.b) el cual dispone que:
A mí que me explique algún resuelto lector cómo compatibilizamos el tratamiento accesorio o incidental con el principio de calidad del dato que establece en la LOPD (recordemos Ley Orgánica y por tanto norma de rango superior al reglamento):
Es más, que me resuelvan la duda de cómo es posible al amparo de la LOPD y en particular, de su nítido principio de calidad, disponer de tratamientos o ficheros que, como predica el nuevo reglamento en su artículo 81.5.b), contienen “datos sin guardar relación con su finalidad”.
Sorprendente declaración normativa, pero más sorprendente aún la postura de la Agencia Española de Protección de Datos (en adelante AEPD) que ni corta ni perezosa contesta entre sus “FAQS” a la pregunta de qué se entiende por ficheros o tratamientos no automatizados en los que de forma “accidental o accesoria” se contengan datos especialmente protegidos lo siguiente:
Deber de formalizar el documento conforme a la ordenación vigente
No inclusión del documento en el fichero.”
Partiendo del hecho de que el reglamento no menciona el tratamiento accidental sino incidental, parece que la AEPD permite el tratamiento (porque existe una obligación legal vigente) pero no su archivo en el fichero. Magistral solución; ¿será que podremos cumplimentar el parte de baja pero no lo podremos archivar y por tanto, no podrá formar parte del fichero?
Y yo insisto, aún no hemos resuelto el verdadero problema: el tratamiento de datos especialmente protegidos que no guardan relación con su finalidad —y por tanto, como hemos advertido— en contra del principio de calidad del dato.
En un reciente informe la AEPD (ante la consulta de un reclamante sobre la necesidad o no de hacer constar en una historia clínica el dato de sí un accidentado en el momento del accidente tenía o no puesto el cinturón de seguridad) manifiesta lo siguiente:
…
En consecuencia, debería procederse a la cancelación del contenido de la historia clínica del dato referido a si la paciente llevaba puesto el cinturón de seguridad si dicho dato no resulta relevante para facilitar su asistencia sanitaria ni aporta información veraz y actualizada acerca de su estado de salud.”
¿Será que amparados en el artículo 81.5.b) del nuevo RDLOPD podremos aplicar el nivel de seguridad básico a los datos especialmente protegidos incurriendo en una infracción del principio de calidad y nadie nos lo había contado?
Ana Marzo
Muy bueno. Vaya razón que tienes.