fbpx

La tensión entre los derechos fundamentales de Seguridad/Salud vs. Privacidad que algunos países –como China- soslayan con cierta alegría, cuesta mucho más de resolver en Europa.

Pandemia y protección de datos: Guía básica

Tribuna Madrid
Protección de datos sanitarios

Esta ha sido la tarea emprendida por algunas Autoridades de Protección de Datos europeas como nuestra Agencia Española de Protección de Datos (AEPD) que publicó el pasado 12 de marzo el Informe 0017/2020[1] señalando que la normativa sobre protección de datos personales -presidida por el Reglamento (UE) 2016/679 (RGPD)- “en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada” -tampoco lo ha sido tras la aprobación del Real Decreto 463/2020[2] de declaración del Estado de Alarma en España-. En la misma línea se han pronunciado otras Autoridades como el Garante italiano[3] o la CNIL francesa[4].

El mensaje subyacente es claro: la protección de datos sigue existiendo en tiempos de coronavirus. Sin embargo, la propia AEPD advierte que tal derecho “no puede obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia”. La gravedad de la situación no debe subestimarse por ello, en la actual Sociedad de la Información y del Conocimiento, caracterizada por el uso cotidiano de las TIC’s y los flujos masivos de información instantánea, no hacer uso de los recursos a nuestro alcance sería una actitud irresponsable. Como se ha observado en otros países como Japón o Singapur, nuestros datos personales han resultado ser -hasta la fecha- el remedios más efectivos para evitar la propagación de un virus que se cobrará en torno a 20.000 vidas en España.

Conocer si habíamos viajado a un país contagiado fue de las primeras medidas adoptadas en esta línea, a la le que siguieron otras como medir la temperatura corporal -dato, por cierto, catalogado como sensible por ser relativo a la salud- hasta las recientes medidas adoptadas por el Gobierno en virtud de la Orden SND/297/2020[5] entre las que se pretende geolocalizar a la población, si bien de forma anonimizada[6]. Sin duda son medidas excepcionales, para atajar una situación totalmente excepcional.

Sin perjuicio de lo anterior, el ordenamiento jurídico prevé “las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones como la presente en que existe una emergencia sanitaria de alcance general” (Informe 0017/2020). Y es que, frente a la opinión común, la normativa en materia de protección de datos personales no condiciona su tratamiento única y exclusivamente a prestar nuestro “consentimiento expreso” (arts. 6.1.a) y 9.2.b) RGPD). Es decir, que el propio RGPD prevé (arts. 6º y 9º - referido éste a categorías especiales de datos, entre los que se encuentran los relativos a la salud-) otras circunstancias habilitantes para ello. Lo laborioso y poco eficaz de recabar uno a uno el consentimiento de los interesados cuando el tiempo apremia para paliar los efectos de esta crisis, obliga a que los Responsables del Tratamiento procedan al mismo apoyándose en otros títulos habilitantes, igual de legítimos, en función de las circunstancias que se describen a continuación:

  • Que el tratamiento sea necesario por obligación legal (art.6.1.c) y 9.2.b) sería el caso de la empresa en la que se mide la temperatura de sus trabajadores y terceros que accedan a sus instalaciones, en cumplimiento de las obligaciones contempladas por la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. Asimismo, hay que estar a lo dispuesto por la legislación sectorial aplicable en este caso, por la Ley Orgánica 3/1986, de Medidas Especiales en Materia de Salud Pública, la Ley 33/2011, General de Salud Pública e incluso el Real Decreto 463/2020, de 14 de marzo.
  • Que el tratamiento sea necesario para cumplir con una misión realizada en interés público (art.6.1.e) como la seguridad o salud públicas. En caso de que se pretendan tratar datos sensibles, el art.9.2 habilita en sus apartados g) e i) a ello por razones de interés público esencial o en el ámbito de la salud pública, como sería la protección ante amenazas transfronterizas graves para la salud o para garantizar elevados niveles de calidad y seguridad de la asistencia sanitaria, medicamentos o productos sanitarios. Recuérdese que en estos supuestos únicamente las autoridades públicas pueden ser Responsables del tratamiento pues, salvo excepciones, son los únicos sujetos con competencia para ejercer tales poderes.
  • Que el tratamiento sea necesario para proteger intereses vitales del interesado u otra persona física (art.6.1.d) y 9.2.d). Conocer si se ha estado en contacto con una persona contagiada podría justificarse en la protección de tales intereses, pues si bien la transmisión del virus no necesariamente ha de derivar en la muerte del sujeto sí evitaría correr ese riesgo.
  • Cuando el tratamiento sea necesario para realizar un diagnóstico médico, o para evaluar la capacidad laboral del trabajador u otro tipo de asistencia sanitaria y social (art.9.2.h).

Continúa el muy relevante Informe 0017/2020 advirtiendo que, incluso en esta situación de emergencia sanitaria, se aplican íntegramente los principios contenidos en el art.5º RGPD como salvaguarda a priori frente a una posible vulneración de nuestro derecho fundamental.

El primero de estos principios del tratamiento, o si se prefiere límites al mismo, es precisamente que este se fundamente sobre una de las base legales contenidas en los artículos 6º o 9º, analizadas anteriormente; de lo contrario el tratamiento sería ilícito vulnerando el denominado Principio de Licitud del Tratamiento (art.5.1.a).

El interesado debe estar informado sobre cualquier extremo relacionado con sus datos personales (identificación del Responsable, qué datos se van a tratar, para qué finalidades…) tanto debe ser así que el propio Tribunal Constitucional entiende la garantía que aquí nos ocupa como un “derecho de control sobre los datos relativos a la propia persona[7], y no podríamos ejercer tal control si no dispusiéramos de la información oportuna. Es el denominado Principio de Transparencia (art.5.1.a) que termina de configurarse obligando a que tal información sea accesible, sencilla y de fácil comprensión.

El propio tratamiento debe estar supeditado necesariamente a la consecución de una finalidad principal, que en las circunstancias actuales tendría que ver con “frenar el contagio”. Más aún, el Principio de Limitación de la Finalidad (art.5º.1.b) obliga a que nuestros datos no sean tratados para otra distinta ni de manera incompatible con la finalidad inicial. Es decir, si se están tratando datos de salud para evitar el contagio entre personas, no podrán destinarse, como regla general, para alcanzar otros cometidos incompatibles con éste.

Por su parte, el Principio de Minimización de datos (art.5.1.c) restringe el tratamiento únicamente sobre aquellos estrictamente necesarios para cumplir con la finalidad principal; es decir, si el tratamiento tuviese como fin conocer si el sujeto presenta síntomas de contagio, no se deberán recabar otros datos que nada tengan que ver con dicha finalidad, como podrían ser sus datos bancarios. Pero además el Responsable debe realizar previamente el denominado juicio de proporcionalidad que determine, en línea con el anterior principio, la idoneidad, necesidad y proporcionalidad -stricto sensu- de solicitar los datos personales que se pretenden.

Hay que recordar asimismo que, el plazo de conservación de los datos está limitado a la consecución de la finalidad determinada para la que fueron recabados como determina el Principio de Limitación del Plazo de Conservación (art.5.1.e).

Pero en caso de que no se respeten dichos principios configurados como garantías a priori o se vulnere el derecho a la protección de datos por cualquier otro motivo, recordemos que nuestro ordenamiento jurídico contempla una batería de acciones tendentes a restablecer el derecho fundamental presuntamente lesionado. Hablaríamos entonces de garantías a posteriori de diversa índole:

Como garantía institucional, el Defensor del Pueblo, podría iniciar investigaciones, tendentes a aclarar si los poderes públicos hubiesen incurrido en cualquier práctica abusiva que menoscabase tal derecho, pudiendo dar cuenta de ello ante las Cortes Generales.

Desde la perspectiva judicial, el interesado tiene en su mano iniciar un procedimiento preferente y sumario ante el orden que corresponda según la materia, que podría culminar con la imposición de una sanción penal, civil, social…

Una vez agotadas todas las vías judiciales previas, podrá plantearse, en su caso, el acceso al Tribunal Constitucional, órgano judicial competente para conocer de los recursos de amparo sobre derechos fundamentales como el que nos ocupa. Y por último, y también en su caso, plantear el asunto ante el Tribunal Europeo de Derechos Humanos invocando la vulneración del derecho reconocido en el art. 8º de la Convención Europea de Derechos Humanos.

Sin perjuicio de lo anterior, la AEPD puede iniciar un procedimiento de investigación en caso de que un particular denuncie cualquier práctica abusiva sobre su derecho a la protección de datos e imponer, en su caso, la oportuna sanción administrativa que corresponda como consecuencia de la resolución de un procedimiento sancionador.

El Profesor José Luis Piñar aclara acertadamente que “la protección de datos no es un derecho impertinente que “prohíba” sin más “hacer las cosas”; más bien marca el camino que indica cómo deben hacerse las cosas[8]. Nuestro ordenamiento jurídico -haciendo alarde de su carácter premonitorio- ha previsto mecanismos suficientes para el tratamiento de datos personales en circunstancias como la actual, utilizando herramientas que nuestra avanzada sociedad tiene a su alcance. Herramientas que deben desarrollarse desde el diseño y por defecto respetando los principios del tratamiento de datos personales. Pero si aún contando con todas estas reglas y salvaguardas legales se llegase a violar nuestro derecho reconocido por el art.18.4 de la Constitución Española, existen otros mecanismos a nuestro alcance, de entre los que las Autoridades de control de protección de datos ocupan un lugar destacable por tener encomendada la tarea, nada más y nada menos, que de velar por el cumplimiento del Reglamento.

Salud y Privacidad no pueden ser antagónicos.

[1] https://www.aepd.es/es/documento/2020-0017.pdf

[2] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-4260

[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117

[4] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles

[5] https://www.boe.es/buscar/doc.php?id=BOE-A-2020-4162

[6] https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/

[7] https://www.boe.es/buscar/doc.php?id=BOE-T-2001-332

[8] https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/