Tema 38. La legislación de protección de datos de carácter personal. Normativa europea y estatal: el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Evaluación de Impacto en la Protección de Datos.

1. La legislación de protección de datos de carácter personal

🎯 Idea clave

• La protección de datos personales se sustenta en un marco normativo dual de origen europeo y estatal.
• El Reglamento (UE) 2016/679 establece las reglas básicas de protección aplicables directamente en el territorio de la Unión.
• La Ley Orgánica 3/2018 adapta el ordenamiento jurídico español al RGPD y regula específicamente los tratamientos en el ámbito sanitario.
• Los datos relativos a la salud constituyen una categoría especial que exige garantías reforzadas y medidas de seguridad específicas.
• Las administraciones públicas, incluido el Servicio Andaluz de Salud, actúan como responsables del tratamiento con obligaciones específicas.
• El tratamiento de datos de categorías especiales a gran escala obliga a la designación de un Delegado de Protección de Datos.

📚 Desarrollo

Marco normativo europeo y estatal. El Reglamento (UE) 2016/679, conocido como RGPD, constituye el pilar fundamental de la protección de datos en el ámbito europeo, estableciendo obligaciones directamente aplicables a los responsables del tratamiento, incluidas las administraciones públicas como el Servicio Andaluz de Salud.

Ley Orgánica de adaptación. La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, desarrolla el régimen de protección en España, regulando específicamente los tratamientos realizados por organismos sanitarios públicos amparados en el ejercicio de funciones de interés público en materia de salud.

Legislación del sector público. La Ley 40/2015, de Régimen Jurídico del Sector Público, y el Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad, complementan el marco de protección estableciendo requisitos para la administración electrónica y las medidas de seguridad aplicables a los sistemas de información.

Responsable del tratamiento. El Servicio Andaluz de Salud actúa como responsable del tratamiento de los datos personales de pacientes, usuarios y empleados, ostentando la obligación de garantizar la confidencialidad y seguridad de la información conforme a la normativa vigente.

Categoría especial de datos. Los datos de salud, incluidos diagnósticos, tratamientos, historias clínicas y resultados de pruebas, constituyen una categoría especial según el artículo 9 del RGPD, lo que obliga a extremar las garantías de protección y justificar su tratamiento en base al interés público en materia de sanidad.

Delegado de Protección de Datos. La normativa exige la designación de un Delegado de Protección de Datos cuando se traten a gran escala datos de categorías especiales, figura que el SAS tiene implantada y que supervisa el cumplimiento normativo actuando como punto de contacto para consultas y reclamaciones.

Principios de confidencialidad. La legislación impone el deber de acceso mínimo necesario, prohibiendo expresamente la consulta de datos por curiosidad, amistad o interés ajeno al servicio, exigiendo el cierre de sesiones, la custodia de credenciales y el respeto a los perfiles de acceso establecidos.

🧩 Elementos esenciales

• RGPD: Reglamento (UE) 2016/679 que establece el marco europeo de protección de datos directamente aplicable.
• LOPDGDD: Ley Orgánica 3/2018 que adapta el ordenamiento español al RGPD y regula derechos digitales.
• Datos de salud: Categoría especial que requiere medidas de seguridad adecuadas a su especial sensibilidad.
• Responsable del tratamiento: El SAS y demás organismos que determinan los fines y medios del tratamiento de datos personales.
• Delegado de Protección de Datos: Figura obligatoria para tratamientos a gran escala de datos especiales, con buzón en dpd.sspa@juntadeandalucia.es.
• Base de legitimación: El ejercicio de funciones de interés público en el ámbito de la salud pública ampara el tratamiento por organismos sanitarios.
• Ley 40/2015: Marco jurídico del sector público que regula la actividad administrativa y el procedimiento.
• Real Decreto 311/2022: Norma que regula el Esquema Nacional de Seguridad aplicable a los sistemas de información públicos.

🧠 Recuerda

• El RGPD es directamente aplicable en todos los Estados miembros sin necesidad de leyes de desarrollo.
• La LOPDGDD es la norma de adaptación española al RGPD.
• Los datos de salud son categoría especial con protección reforzada según el artículo 9 del RGPD.
• El SAS actúa como responsable del tratamiento de datos sanitarios, laborales y administrativos.
• La designación de DPD es obligatoria para tratamientos masivos de datos de salud.
• La condición de empleado público no autoriza el acceso ilícito a datos personales.
• Los principios de confidencialidad y minimización deben regir todo tratamiento de información.
• El acceso indebido por curiosidad constituye una vulneración de la limitación de finalidad.

2. Normativa europea y estatal: el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

🎯 Idea clave

• El Reglamento (UE) 2016/679 constituye la normativa europea de referencia en materia de protección de datos personales y su libre circulación.
• La Ley Orgánica 3/2018 adapta el ordenamiento jurídico español al RGPD desarrollando aquellos aspectos que el propio Reglamento remite a la legislación nacional.
• La LOPDGDD tiene un carácter dual al garantizar derechos digitales conforme al mandato constitucional del artículo 18.4 de la Constitución Española.
• Esta norma deroga expresamente la anterior Ley Orgánica 15/1999 y el Real Decreto 1720/2007.
• Su entrada en vigor tuvo lugar el 7 de diciembre de 2018, día siguiente a su publicación en el Boletín Oficial del Estado.

📚 Desarrollo

Reglamento General Europeo. El RGPD, o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, establece el marco normativo europeo relativo a la protección de datos personales y su libre circulación. Esta normativa vinculante regula directamente el tratamiento de información personal en todos los Estados miembros, constituyendo la referencia fundamental del sistema de protección.

Norma de adaptación española. La Ley Orgánica 3/2018 tiene por objeto integrar el RGPD en el ordenamiento jurídico español sin sustituirlo, actuando como norma de adaptación y complemento. Su finalidad consiste en desarrollar aquellas cuestiones orgánicas, procedimentales y materiales que el propio Reglamento permite concretar mediante legislación nacional, completando así el marco regulador.

Rango constitucional orgánico. La ley adopta forma de ley orgánica conforme al artículo 81 de la Constitución Española, ya que regula un derecho fundamental reconocido por el Tribunal Constitucional. La protección de datos constituye un derecho fundamental autónomo basado en el artículo 18.4 de la Constitución, lo que exige su aprobación por mayoría absoluta del Congreso de los Diputados.

Doble eje normativo. La LOPDGDD persigue dos objetivos simultáneos: adaptar y complementar el RGPD en aspectos remitidos a los Estados miembros mediante las denominadas cláusulas de apertura, e introducir un catálogo de derechos digitales ciudadanos para limitar el uso de la informática garantizando el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos.

Entrada en vigor y estructura. Publicada en el Boletín Oficial del Estado el 6 de diciembre de 2018, con referencia BOE-A-2018-16673, la normativa entró en vigor al día siguiente, el 7 de diciembre de 2018. Consta de 97 artículos distribuidos en 10 títulos y derogó expresamente la anterior Ley Orgánica 15/1999 y el Real Decreto 1720/2007.

Modelo de responsabilidad activa. La ley introduce el modelo de responsabilidad activa en la gestión del tratamiento de datos personales, representando una evolución respecto al anterior modelo de protección. Este enfoque implica que los responsables deben asumir una gestión proactiva del cumplimiento normativo, garantizando la efectiva protección de los derechos de las personas físicas.

🧩 Elementos esenciales

• RGPD (UE) 2016/679: Reglamento europeo que regula la protección de datos personales y su libre circulación.
• LOPDGDD: Norma española que adapta el ordenamiento interno al RGPD sin sustituirlo.
• Publicación: Real Decreto Legislativo publicado en el BOE número 294 de 6 de diciembre de 2018.
• Entrada en vigor: 7 de diciembre de 2018, día siguiente a su publicación oficial.
• Referencia BOE: BOE-A-2018-16673.
• Carácter orgánico: Requerido por el artículo 81 de la Constitución al regular derechos fundamentales.
• Base constitucional: Artículo 18.4 CE, que obliga a limitar el uso de la informática para garantizar derechos.
• Estructura: 97 artículos distribuidos en 10 títulos.
• Derogación: Ley Orgánica 15/1999 y Real Decreto 1720/2007 quedan expresamente derogados.
• Cláusulas de apertura: Aspectos del RGPD que permiten desarrollo por legislación nacional.
• Derechos digitales: Catálogo introducido conforme al mandato constitucional del artículo 18.4 CE.
• Responsabilidad activa: Modelo de gestión proactiva del cumplimiento normativo introducido por la ley.

🧠 Recuerda

• El RGPD es el Reglamento (UE) 2016/679 de 27 de abril de 2016.
• La LOPDGDD es la Ley Orgánica 3/2018, de 5 de diciembre.
• Publicada el 6 de diciembre de 2018, entró en vigor el 7 de diciembre de 2018.
• Tiene rango de ley orgánica por regular un derecho fundamental.
• Deroga la LOPD anterior de 1999 y el RD 1720/2007.
• Su doble eje combina adaptación al RGPD con garantía de derechos digitales.
• Consta de 97 artículos en 10 títulos.
• Se basa en el artículo 18.4 de la Constitución Española.
• No sustituye al RGPD, sino que lo integra y complementa.
• Introduce el modelo de responsabilidad activa en la gestión de datos.

3. Evaluación de Impacto en la Protección de Datos

🎯 Idea clave

• La Evaluación de Impacto en la Protección de Datos (EIPD) es un instrumento preventivo obligatorio regulado en el artículo 35 del Reglamento General de Protección de Datos (RGPD).
• Su función esencial consiste en identificar, analizar y gestionar de manera anticipada los riesgos que un tratamiento puede generar para los derechos y libertades de las personas físicas antes de su inicio.
• Resulta obligatoria cuando un tratamiento, especialmente si utiliza nuevas tecnologías, pueda entrañar un alto riesgo para los derechos y libertades por su naturaleza, alcance, contexto o fines.
• No constituye una auditoría ni una autorización formal previa de la autoridad de control, sino un proceso de análisis prospectivo integrado en la gobernanza ordinaria del tratamiento.
• El Servicio Andaluz de Salud debe aplicarla frecuentemente al tratamiento masivo de datos de salud y otras categorías especiales de datos personales.

📚 Desarrollo

Fundamento normativo. La Evaluación de Impacto relativa a la Protección de Datos, conocida también por sus siglas en inglés DPIA (Data Protection Impact Assessment), se encuentra regulada en el artículo 35 del RGPD. Este precepto establece la obligatoriedad de realizar dicha evaluación cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, configurándose como una técnica de gobernanza jurídica y organizativa de carácter preventivo.

Naturaleza y finalidad. La EIPD no es una auditoría posterior ni una mera autorización formal previa, sino un proceso de análisis prospectivo orientado a anticipar y reducir riesgos reales antes de que el tratamiento se inicie. Su lógica responde directamente al principio de responsabilidad proactiva o accountability, que impregna todo el RGPD y exige al responsable demostrar activamente que ha evaluado el impacto de sus decisiones y adoptado medidas concretas para mitigar los riesgos identificados.

Alcance del riesgo evaluado. El análisis no se limita a pérdidas técnicas de información, sino que abarca afectaciones a la intimidad, autonomía personal, igualdad, no discriminación, secreto profesional, reputación, seguridad física o libertad de decisión. La evaluación debe realizarse desde la perspectiva de las personas afectadas, garantizando una visión centrada en la protección de sus derechos fundamentales frente a la mera comodidad operativa.

Supuestos de obligatoriedad. Resulta especialmente obligatoria cuando el tratamiento utiliza nuevas tecnologías o, por su naturaleza, alcance, contexto o fines, presenta un alto riesgo. El Servicio Andaluz de Salud, al tratar masivamente datos de salud, datos genéticos, biométricos y otras categorías especiales de datos personales en su actividad asistencial e investigadora, se encuentra entre los responsables que con mayor frecuencia deben realizar este tipo de evaluaciones preventivas.

Contenido mínimo exigible. Conforme al artículo 35.7 del RGPD, la EIPD debe contener una descripción sistemática de las operaciones de tratamiento previstas y sus fines, incluyendo categorías de datos, interesados afectados, destinatarios, plazos de conservación y sistemas técnicos. Asimismo, debe incluir la evaluación de la necesidad y proporcionalidad de las operaciones respecto a su finalidad, demostrando que no existen alternativas menos intrusivas para la privacidad que permitan alcanzar el mismo objetivo.

Evaluación de riesgos específica. El documento debe identificar amenazas concretas como acceso no autorizado, pérdida de datos o modificación indebida, estimando la probabilidad de que se materialicen y valorando la gravedad de sus consecuencias para los interesados. El resultado debe reflejar una valoración del riesgo residual tras la aplicación de las medidas previstas, permitiendo una gestión efectiva de la protección de datos desde el diseño.

Formalización y momento. La evaluación debe realizarse obligatoriamente antes de iniciar el tratamiento y documentarse por escrito, integrándose en la gobernanza ordinaria del tratamiento de datos personales. Este proceso de análisis, decisión, documentación y revisión constituye una obligación de medio que demuestra el cumplimiento activo de las obligaciones derivadas del RGPD.

🧩 Elementos esenciales

• EIPD: Siglas de Evaluación de Impacto relativa a la Protección de Datos, conocida internacionalmente como DPIA (Data Protection Impact Assessment).
• Artículo 35 RGPD: Precepto que establece la obligatoriedad de la evaluación cuando existe probabilidad de alto riesgo para derechos y libertades.
• Instrumento preventivo: Técnica de gobernanza orientada a anticipar y reducir riesgos antes del inicio del tratamiento, distinta de una auditoría posterior.
• Responsabilidad proactiva (accountability): Principio que exige demostrar activamente la evaluación realizada y las medidas de mitigación adoptadas.
• Alto riesgo: Situación determinada por el uso de nuevas tecnologías o por la naturaleza, alcance, contexto o fines del tratamiento.
• Datos de salud: Categoría especial de datos que el Servicio Andaluz de Salud trata a gran escala y que frecuentemente obliga a realizar EIPD.
• Descripción sistemática: Primer elemento del contenido mínimo que debe detallar operaciones, fines, categorías de datos, interesados, destinatarios y sistemas técnicos.
• Necesidad y proporcionalidad: Segundo elemento que exige justificar que no existen alternativas menos intrusivas y que los datos tratados son los mínimos necesarios.
• Análisis de riesgos: Tercer elemento que identifica amenazas concretas, probabilidad de ocurrencia y gravedad de las consecuencias para los derechos de los interesados.
• Momento de realización: Obligatoriamente antes de iniciar el tratamiento y siempre documentada por escrito.
• Perspectiva de los afectados: Enfoque que prioriza los impactos sobre derechos fundamentales frente a la mera operatividad organizativa.

🧠 Recuerda

• La EIPD es obligatoria antes de iniciar el tratamiento cuando existe alto riesgo para derechos y libertades.
• No es una autorización previa de la autoridad de control ni una simple auditoría de cumplimiento formal.
• Debe incluir obligatoriamente descripción sistemática, evaluación de necesidad y proporcionalidad, y análisis de riesgos.
• El Servicio Andaluz de Salud realiza frecuentemente estas evaluaciones al tratar datos de salud a gran escala.
• Se fundamenta específicamente en el artículo 35 del RGPD y responde al principio de accountability.
• El análisis debe considerar impactos en intimidad, autonomía, igualdad y seguridad física, no solo pérdidas técnicas de datos.
• Siempre debe documentarse por escrito como prueba del cumplimiento proactivo del responsable.
• La evaluación se integra en la gobernanza ordinaria y constituye un proceso de análisis, decisión y revisión continua.