fbpx

La pandemia por coronavirus ha puesto en relieve que “el derecho a la protección de los datos personales no es un derecho absoluto” cuando tiene interés público relacionado con la salud

La (i)legalidad de tratar datos personales sobre o relativos al COVID-19

Tribuna
Proteccion de datos covid19

Positivo/negativo en coronavirus: datos de salud

Tener coronavirus o haber tenido coronavirus es un dato de salud, y por tanto una de las categorías especiales de datos incluidas en el artículo 9.1 del Reglamento General de Protección de Datos (RGPD)[i]. En concreto, el RGPD define los datos de salud como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (art. 4.15).

Y tener coronavirus es una enfermedad de declaración obligatoria urgente a las autoridades sanitarias. En este sentido, tener o haber tenido coronavirus es igual que cualquiera de las siguientes enfermedades: cólera, fiebre amarilla, rabia, peste o difteria. Son las enfermedades para las que se establece la obligación de declaración urgente conforme al Anexo II del Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.

La consideración de la infección por coronavirus como enfermedad de declaración obligatoria urgente viene dada por el artículo 22, relativo a la declaración obligatoria de COVID-19, del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.[ii] Ahora bien, dependiendo del contexto del tratamiento de datos personales, cabría plantearse también que no tener o no haber tenido coronavirus es un dato de salud.

Desde la declaración del estado de alarma en nuestro país han sido múltiples las cuestiones que se han planteado en relación con el tratamiento de datos de positivos por COVID-19, quedando todavía pendientes algunas cuestiones que deberían ser resueltas para evitar futuras situaciones de incertidumbre.

Obligación de proporcionar información esencial para la trazabilidad de contactos

El Real Decreto-ley 21/2020 prevé que los “establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada” están obligados a proporcionar la “información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas”. Es importante tener en cuenta que se trata de una obligación exigible cuando “las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos”, lo que implica que los datos mínimos necesarios sean comunicados a las autoridades sanitarias para la finalidad indicada.

Sobre el tratamiento de datos personales por establecimientos, la Agencia Española de Protección de Datos (AEPD) emitió un comunicado[iii], con fecha 31 de julio, en el que analiza las diferentes situaciones que pueden darse para determinar cuál es la base de legitimación del tratamiento. Una de estas situaciones podría ser la necesidad de cumplir con una obligación legal aplicable al responsable del tratamiento, tal como sería el caso del cumplimiento de las obligaciones de la empresa de garantizar la seguridad y salud de todos los trabajadores en virtud de lo previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, o de una ley que establezca esta obligación de obtención y/o comunicación de datos a las autoridades sanitarias. Otra posible situación podría ser “hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias”, siendo la base legitimadora el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Además, por lo que se refiere a justificar la legitimidad de la medida consistente en la identificación de clientes para la finalidad ya indicada, la AEPD señala que “deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse”.

Algunas iniciativas autonómicas y protección de datos personales

Ante el temor de la denominada “segunda oleada” y a partir de lo previsto en el Real Decreto-ley 21/2020, especialmente durante el mes de julio de 2020, fueron surgiendo iniciativas de diverso alcance en virtud de las que se tratan datos personales con fines de identificación de positivos por COVID-19 en unos casos y de alerta o notificación de contacto con casos positivos en otros.

Algunos ejemplos son el registro de viajeros de la Consellería de Sanidade de la Xunta de Galicia, con la finalidad de poder tener identificados a quienes, sean residentes o no en Galicia, hayan estado durante los últimos catorce (14) días en territorios, dentro o fuera de España, con alta incidencia epidemiológica por COVID-19.[iv] O la Orden 920/2020, de 28 de julio, de la Consejería de Sanidad de la Comunidad de Madrid[v], que establece la obligación de llevar un registro de clientes para locales de ocio, tales como salones de banquetes, discotecas y establecimientos de ocio nocturno.

Ahora bien, a pesar de que el alcance las iniciativas varía, coinciden en el hecho de que la finalidad del tratamiento es la vigilancia de la salud pública. De nuevo, debe atenderse al Real Decreto-ley 21/2020, que en su artículo 27.2, señala que la finalidad del tratamiento es “el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública” a lo que añade también “la protección de intereses vitales de los afectados y de otras personas físicas”.

En cualquier caso, una de las lecciones que deberían aprenderse es que, en materia de protección de datos, sería recomendable tener criterios comunes con la finalidad de evitar situaciones que puedan derivar en incertidumbre y, por tanto, desconfianza. En la práctica se encuentran divergencias ante lo que debería ser un tratamiento de datos personales para una misma finalidad, o finalidades similares y limitadas, y al que son aplicables los mismos principios y base(s) de legitimación del tratamiento, con independencia de que las medidas adoptadas en cada caso sean las que las autoridades sanitarias competentes estimen más adecuadas.

Comunicado de la AEPD sobre la recogida de datos personales por establecimientos

A partir del ya citado Real Decreto-ley 20/2021 y por lo que se refiere a la recogida de datos personales de clientes que acuden a establecimientos con la finalidad de poder notificar posibles contactos con positivos en coronavirus, la AEPD emitió un comunicado, ya citado, tras varios informes, preguntas frecuentes y otros comunicados.

En particular, la AEPD se refiere en su comunicado a la naturaleza de los datos personales tratados para crear el registro de clientes, la base de legitimación del tratamiento y la licitud del tratamiento, atendiendo a los principios esenciales que legitiman el tratamiento de los datos personales.

En cuanto a la naturaleza de los datos personales tratados, y por si hubiera alguna dada, la AEPD puntualiza que los datos personales que se obtienen de los clientes para crear el registro de clientes no son datos relativos a la salud, ya que de lo que se trata es de tener datos de contacto para, si fuera necesario, poder notificarles que han podido estar expuestos a un caso positivo. Esto es lo que explica que la AEPD afirme en su comunicado que los datos que se recogen “no son catalogados en el RGPD como «categorías especiales de datos»”. Es decir, no son datos relativos a si se está o no contagiado, sino para poder comunicar posibles contactos con personas que sí han dado positivo en coronavirus.

Por lo que se refiere a la licitud del tratamiento, el comunicado de la AEPD parte de la necesidad de crear el registro de clientes, ciñéndose en este caso a los locales de ocio dado que son en los que se centraban las iniciativas públicas. La AEPD indicaba que, como medida para contener la pandemia, era y es necesario acreditar “su necesidad por las autoridades sanitarias y tiene que ser obligatoria” para que sea una medida efectiva.

Lo anterior determina que, a efectos de identificar cuál es la base de legitimación apropiada para tratar los datos personales, la AEPD indique que, a falta de o inadecuación de otras, sea la necesidad del tratamiento para “el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (art. 6.1.e del RGPD).

Y, finalmente, la AEPD recuerda una vez más que es necesario cumplir con la legitimidad del tratamiento, lo que implica evaluar tanto la proporcionalidad del tratamiento como el cumplimiento de los principios (en particular, minimización de datos, limitación de la finalidad, limitación del plazo de conservación, integridad y confidencialidad, así como responsabilidad proactiva).

Las apps de “rastreo” o sistemas de notificaciones sobre exposición al COVID-19

Las denominadas apps de “rastreo de contactos” (en inglés contact tracing), que consisten en notificar sobre la posible exposición a positivos por COVID-19, son un claro ejemplo de cómo la tecnología puede ayudar en situaciones como esta, especialmente si tenemos en cuenta la insuficiencia actual de los rastreadores en nuestro país.

Una vez más el uso de la tecnología es objeto de un escrutinio riguroso y, en ocasiones, tendencioso.

Por una parte, cabe prestar atención al dictamen de la Information Commissioner´s Office (ICO) sobre la iniciativa conjunta de Apple y Google que consiste en crear apps de rastreo de contactos que intercambian información entre dispositivos a través de Bluetooth de baja energía[vi] (en inglés, Bluetooth Low Energy). Actualmente se trata de dar soporte al desarrollo de apps que protegen la identidad de los usuarios. Y, en cualquier caso, tanto el presente como el futuro debe ser el de una innovación y cooperación responsables en materia de protección de datos, guiadas por la protección de datos desde el diseño y por defecto, y que se desarrollen en un marco flexible, es decir, capaz de dar respuesta a los retos y necesidades que se plantean.

Y, por otra parte, pueden verse voces críticas sobre el rastreo de usuarios por plataformas, lo que a su vez estaría vinculado, según estas voces, con el acceso masivo a datos por Gobiernos y el denominado como “capitalismo de la vigilancia” (en inglés surveillance capitalism).[vii]

Por tanto, comprender para qué sirve la tecnología es esencial a la hora de poder obtener el máximo beneficio que nos ofrece o puede ofrecer, especialmente en un momento en el que los recursos disponibles para contener la pandemia son insuficientes. Y entender cómo funciona la tecnología es también esencial a la hora de determinar qué garantías cabe esperar por quien la use, evitando así usos que no son éticos y que, en su caso, pueden llegar a ser también ilícitos.

Lecciones aprendidas para dar respuesta a incertidumbres futuras

Cuando se declaró el estado de alarma en nuestro país, y al igual que ocurrió en otros países de nuestro entorno, se suscitaron diversas dudas sobre cómo aplicar la normativa en materia de protección de datos. Incluso fue necesario, tanto por la AEPD como por expertos, aclarar que los derechos fundamentales, incluido el de protección de datos, seguían siendo aplicables. Basta ver que el Profesor Piñar Mañas, Catedrático de Derecho Administrativo, señaló que “la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el citado artículo 11 de la Ley Orgánica 4/1981”.[viii]

Si bien pueden seguir estando pendientes algunas medidas tales como la necesidad de una ley o una reforma legal en nuestro país o de acciones coordinadas entre las autoridades de protección de datos de la Unión Europea en virtud del mecanismo de cooperación y coherencia previsto en el RGPD, la incertidumbre inicial se ha ido despajando en buena medida. Al mismo tiempo, algunas dudas sobre cómo aplicar la normativa sobre protección de datos a casos concretos pueden no estar todavía resueltas, siendo deseable que las autoridades de protección de datos proporcionen directrices u orientaciones que puedan ser aplicadas en el día a día de los responsables del tratamiento.

Ahora bien, tras el test que ha supuesto la pandemia por coronavirus para la normativa en materia de protección de datos, ha quedado suficientemente probado que “el derecho a la protección de los datos personales no es un derecho absoluto” (considerando 4 del RGPD) y que el tratamiento de los datos personales puede ser necesario por motivos importantes de interés público “para fines humanitarios, incluido el control de epidemias y su propagación” (considerando 46 del RGPD), por lo que la clave está en “mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad” (considerando 4, ya citado).

Es decir, tal como señaló el Gabinete Jurídico de la AEPD en el informe 17/2020, “las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia”.[ix]

Resulta claro que el tratamiento de datos personales para alertar e identificar posibles positivos por COVID-19 será lícito siempre que cumpla con los principios y bases de legitimación previstas en la normativa aplicable en la materia, sin que pueda admitirse ningún tratamiento al margen de aquellos. Es decir, ni el derecho fundamental a la protección es un derecho absoluto o ilimitado, ni toda medida que pueda adoptarse para contener la pandemia está justificada si infringe derechos fundamentales y en particular el derecho a la protección de datos personales.

Por último, durante los últimos meses hemos asistido, y lo seguimos haciendo, a la aplicación práctica de la normativa sobre protección de datos en el caso de la pandemia, habiéndose resuelto algunas dudas, pero siendo necesario dar respuesta a otras muchas en las que el criterio clave a seguir es la proporcionalidad y la interrelación del derecho fundamental a la protección de datos con el bien común. Además, queda pendiente una importante acción legislativa que debería aclarar ciertas cuestiones, si bien ojalá no sea necesario recurrir a la misma.

[i] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

[ii] En relación con este Real Decreto-ley debe tenerse en cuenta la Resolución de 25 de junio de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de convalidación del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.

[iii] Agencia Española de Protección de Datos, “Comunicado sobre la recogida de datos personales por parte de los establecimientos”, 31 de julio de 2020. Consultado en https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-sobre-la-recogida-de-datos-personales-por-parte-de-los-establecimientos

[iv] El formulario para la recogida de datos personales de viajeros puede verse en https://coronavirus.sergas.gal/viaxeiros/

[v] Orden 920/2020, de 28 de julio, de la Consejería de Sanidad, por la que se modifica la Orden 668/2020, de 19 de junio, por la que se establecen medidas preventivas para hacer frente a la crisis sanitaria ocasionada por el COVID-19 una vez finalizada la prórroga del estado de alarma establecida por el Real Decreto 555/2020, de 5 de junio. Consultada en http://www.bocm.es/boletin/CM_Orden_BOCM/2020/07/29/BOCM-20200729-1.PDF

[vi] Information Commissioner´s Office, Information Commissioner´s Opinion: Apple and Google joint initiative on COVID-19 contact tracing technology, Reference 2020/01, 17 April 2020. Consultado, en inglés, en https://ico.org.uk/media/about-the-ico/documents/2617653/apple-google-api-opinion-final-april-2020.pdf

[vii] Vecchi, Paolo, “On the inadequacy of US Cloud providers”. Consultado, en inglés, en https://joinup.ec.europa.eu/collection/joinup/news/privacy-shield-invalidation

[viii] Piñar Mañas, José Luis, “La protección de datos durante la crisis del coronavirus”, 20 de marzo de 2020. Consultado en https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/

[ix] Gabinete Jurídico de la Agencia Española de Protección de Datos, Informe 0017/2020. Consultado en https://www.aepd.es/es/documento/2020-0017.pdf