Fuente de la imagen: geralt en pixabay |
Siguiendo las instrucciones del Gobierno de mi país, la tarde del viernes la pasé en casa. Entre otras tareas pendientes, aproveché para hojear el informe que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19[1], recientemente publicado por la Agencia Española de Protección de Datos (AEPD) y que ya referencié en el sitio Protección de Datos. El Reglamento General de Protección de Datos (RGPD), contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general. En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia. El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público[2] o los intereses vitales del interesado u otras personas físicas[3], sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal[4].
Según la AEPD, estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados. Asimismo, los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. El informe precisa las excepciones recogidas en el art. 9.2. RGPD[5]. Igualmente, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública[6] o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”. En materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado a las autoridades sanitarias de las distintas AAPP las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad.
Apunta la AEPD que desde la óptica del tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria[7]. En aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo. Finalmente, la AEPD puntualiza que el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales[8], ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad[9], principio de exactitud, y el principio de minimización de datos[10]. Fuente de la información: AEPD. Fuente de la imagen: geralt en pixabay.
__________________________________
[1] Si quieres acceder al documento, clickea AQUÍ.
[2] Art. 6.1.e.
[3] Art. 6.1.d.
[4] Para el empleador en la prevención de riesgos laborales de su personal.
[5] El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas. El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g). Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h). Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).
[6] Modificada mediante Real Decreto-ley 6/2020, de 10 de marzo.
[7] Serán las autoridades sanitarias de las distintas AAPP quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud.
[8] RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
[9] En este caso, salvaguardar los intereses de las personas ante esta situación de pandemia.
[10] Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.