Determinados medios de comunicación han publicado algún artículo en el que se afirmaba que los abogados y los médicos estamos exentos de cumplir con las garantías que la normativa de protección de datos exige a otros colectivos. Como lo oyen. Se basaban -de forma vaga y equivocada- en esta publicación de la Agencia Española de Protección de Datos (AEPD).

Como dicha comunicación no tiene nada que ver con lo que apuntaban esos artículos, y como la desinformación en materia de protección de datos puede ser peligrosa, he creído oportuno aclarar los conceptos erróneos.

El primero de ellos es el más importante: no hay ninguna exención que haga que abogados y médicos estemos libres de cumplir con las obligaciones en materia de protección de datos.

Así de simple. Igual que el resto de responsables de tratamiento tenemos que asegurarnos de que el nuestro sea leal, transparente, exacto, necesitamos base legitimadora, debemos respetar los derechos de los interesados, hemos de contar con un registro de las actividades del tratamiento cuando sea obligatorio, tenemos que aplicar los principios de minimización de datos y de limitación del plazo de tratamiento, etcétera.

Lo que dice la AEPD es una cosa muy diferente. Nos explica que, dado que no todos los tratamientos son iguales (comparemos, por ejemplo, los tratamientos que haga Google con los que haga una pequeña zapatería con listado de clientes), no se debería exigir lo mismo a todos. Y el RGPD ya preveía la posibilidad de que las autoridades de control -entre ellas, la AEPD- pudieran publicar una lista de tratamientos concretos que no requieran una evaluación de impacto previa (EIPD). Lo que hace la AEPD es, precisamente, publicar esa lista.

En uno de los apartados de esa lista dice, literalmente:

«Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tratamientos de datos que requieran evaluación de impacto relativa a protección de datos publicada por la AEPD» (resaltados nuestros).

¿Quiere este párrafo decir que médicos y abogados están exentos de cumplir con el RGPD o la LOPD?. En absoluto.

Vayamos paso a paso. Las personas que sigan este blog con asiduidad sabrán de sobras qué es una EIPD y por qué es importante conocer este concepto. En cualquier caso ya vemos que la AEPD no exime a médicos y abogados de cumplir con toda la normativa de protección de datos. Al contrario, lo único que dice es que no hace falta que lleven a cabo EIPD.

Pero esta exención no es ni universal ni absoluta.

No es universal porque no se aplica a todos los médicos y abogados. En realidad solo se aplica a aquellos «que ejerzan de forma individual« (por ejemplo, no se aplicaría a médicos que formaran parte de la plantilla de un hospital).

Y no es absoluta porque, en su parte final, el párrafo nos viene a decir que si el tratamiento es especialmente sensible (por cumplir de forma significativa con dos o más de las condiciones que ya citó en su día la propia AEPD) entonces vuelve a ser obligatorio hacer la EIPD. Aunque se trate de un médico o abogado que ejerza de forma individual.

Además, como puede leerse, la exención de la AEPD se aplica a cualquier trabajador autónomo que ejerza de forma individual (la mención a médicos y abogados es a título de ejemplo clarificador). De modo que no se trata de una suerte de «privilegio clasista» que solo favorece a médicos y abogados, como daban a entender los citados artículos.

Por todo ello, descuiden. Médicos y abogados tenemos que cumplir la normativa de protección de datos como cualquier otro responsable.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales