Artículo 7 Creación de la Agencia Estatal de Salud Pública y modificación de la Ley 33/2011 -General de Salud Pública-

1. Los tratamientos de datos de carácter personal de las personas físicas que sean necesarios para la aplicación de la presente ley se realizarán con estricta sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

2. El tratamiento de datos personales que resulte necesario para el cumplimiento de los fines de la AESAP se encuentra amparado por lo dispuesto en el artículo 6.1.e) del Reglamento (UE) 2016/679, al realizarse para el cumplimiento de una misión de interés público y en el ejercicio de potestades públicas conferidas a la misma. Los datos personales obtenidos por la AESAP solo podrán utilizarse para el cumplimiento de los fines generales del artículo 2 de la presente ley.

3. El tratamiento de los datos personales que resulten necesarios por parte de los sujetos obligados a suministrar datos conforme al artículo 6 se encuentra amparado por lo dispuesto en el artículo 6.1.c) del Reglamento (UE) 2016/679, al ser necesarios para el cumplimiento de una obligación legal. Los reales decretos en los que se establezcan los datos a suministrar, en los términos establecidos en ellos, deberán respetar el principio de minimización de datos y someterse al preceptivo informe de la Agencia Española de Protección de Datos.

4. Conforme a lo previsto en el artículo 9.2.i), del Reglamento (UE) 2016/679, será lícito el tratamiento de datos personales relacionados con la salud cuando ello sea estrictamente necesario para la tutela de la salud de la población.

En los supuestos en que no resulte estrictamente necesario acceder a los datos identificativos, se procederá a la previa disociación de los mismos.

En cualquier caso, el acceso a las historias clínicas por razones epidemiológicas y de salud pública se someterá a lo dispuesto en el artículo 16.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

5. Quienes por razón de su actividad tengan acceso a los datos de carácter personal estarán sujetos al deber de secreto previsto en el artículo 43.2 de la Ley 33/2011, de 4 de octubre.

6. Los sistemas de información que traten datos personales deberán garantizar la aplicación de las medidas técnicas y organizativas que resulten de la correspondiente evaluación de impacto en la protección de datos, en los términos previstos en el artículo 3 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

7. En el supuesto de que intervenga una entidad como encargada del tratamiento, deberá suscribirse con los respectivos responsables del tratamiento el correspondiente instrumento jurídico en los términos previstos en el artículo 28.3 del Reglamento (UE) 2016/679.