La protección de datos y el coronavirus

David Molina: "Sería sano que hubiera un mayor debate de fondo respecto al acceso a los datos de geolocalización de nuestros móviles"

Entrevista
David M.

Entrevistamos a David Molina Moya, gerente del área Legal de BDO

El Real Decreto 463/2020, por el que se declara el estado de alarma, ha establecido una serie de medidas dirigidas a “proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública”, además de “prevenir y contener el virus y mitigar el impacto sanitario, social y económico”. En relación con el derecho a la protección de datos, ¿supone esto una suspensión o merma del mismo?

Más que del Real Decreto que declara el Estado de Alarma yo antes me preocuparía de la Orden SND/297/2020. En ella se hacen varias cosas con mucho mayor impacto en la privacidad de los ciudadanos. Por ejemplo, solicitar a los operadores móviles información sobre el geoposicionamiento de todos nosotros. Efectivamente el INE accederá a datos de geolocalización de todos nuestros móviles personales.

Por supuesto, en teoría se hará con garantías legales y “de manera agregada y anonimizada”. Sin embargo -no nos engañemos- allí es donde hay riesgo. Sería sano que hubiera un mayor debate de fondo al respecto de esta medida. Sería positivo para la deliberación técnica y democrática que se publicasen más aspectos de qué garantías de mitigación de riesgos de seguridad de la información, organizativos y legales se aplicará. Además la democráticamente recomendable sería incluso explicar más el fin perseguido para valorar si realmente compensa el riesgo. No que se publique el fin etéreo de prevenir la infección o relacionar datos de confinamiento y de centros de salud. Queremos el detalle concreto.

 

Tanto el RGPD como la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales contienen previsiones que permiten en situaciones excepcionales el tratamiento de datos de salud, incluso sin necesidad de contar con el consentimiento de los afectado. ¿Cuáles serían los límites en la situación actual y como se pueden controlar?

Hay numerosos límites, temporales (tiempo en el que será válido conservar los datos), de finalidad (únicamente se deben usar para frenar la enfermedad), organizativos (no debe acceder a esta información más gente de la necesaria), de seguridad de la información (deberían tener fuertes medidas informáticas de protección como el cifrado), etc.

Se pueden controlar por iniciativa de los ciudadanos -ejerciendo derechos de manera gratuita- o bien porque la Agencia Española de Protección de Datos inicie ciertas inspecciones de oficio durante o, sobre todo, después de que acabe el Estado de Alarma. Podría hacer algunas inspecciones a ciertas entidades y ese dato “correría como la pólvora” y todas las entidades harían un esfuerzo mayor en tratar bien estos datos personales.

 

Si un teletrabajador está afectado por coronavirus o en cuarentena preventiva por contagio de un familiar ¿tiene obligación de informar a la empresa del motivo de su baja?

Las posiciones más estrictas apuntan a que sí. Mi opinión es que sólo debe decirlo si antes de hacer teletrabajo pudo haber contagiado a compañeros (en esto los médicos indicarán el plazo) o si aún puede infectar en determinado momento en que la empresa ya se plantee retirar el teletrabajo. Siguiendo los plazos que le digan los médicos y pensando en cuando compartió espacios con sus compañeros. En caso de duda debe decirlo y la empresa debe saber cómo tratar legalmente y con garantías estos datos personales.

 

En el caso de las empresas que siguen haciendo trabajo presencial ¿cómo deben de tratar los datos de los empleados que están contagiados y que pueden ser necesarios para garantizar la salud del resto de sus empleados?

Resumiéndolo mucho aportando garantías legales, organizativas y de seguridad de la información y gestionándolo con sentido común a efectos de prioridades.

Por ejemplo deben de tratarse los datos en un entorno informático seguro (encriptado, contraseñas robustas, etc); no hay que recoger más datos de los imprescindibles; debe de informarse a los trabajadores que nos aportan estos datos de todo aquello que el RGPD nos obliga a informarles; organizativamente tenemos que tener en mente qué personas necesitan realmente acceder a esta información; también -cuando podamos- tendremos que hacer un análisis de riesgo y en algunas ocasiones Evaluaciones de Impacto en la Privacidad, actualizar el Registro de Actividades del Tratamiento; ir viendo cuánto tiempo trataremos los datos personales; asegurarnos de si hay implicaciones con proveedores, etc.