Fuente de la imagen: harveyandfriends en pixabay |
El año pasado, en el sitio Protección de Datos, me hacía eco de la “Guía para pacientes y usuarios de la sanidad”, publicada por la Agencia Española de Protección de Datos (AEPD), intentando dar respuesta a las dudas más frecuentes que suele plantearse la ciudadanía cuando se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios y que tiene por objeto facilitarles el conocimiento de sus derechos. Si quieres acceder a la guía, clickea AQUÍ. El documento forma parte de las actuaciones del Plan estratégico de la Agencia, que la recoge como parte de los instrumentos preventivos para dar a conocer y fomentar el cumplimiento de los derechos que tienen los ciudadanos respecto al tratamiento de sus datos personales. Su lanzamiento se suma a otras de las acciones realizadas en el ámbito del tratamiento de datos de salud, como el decálogo básico que incluye los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros.
Pues bien, recientemente recogía en Protección de Datos la preocupación de la AEPD por la proliferación de diversas iniciativas públicas que tratan de fomentar una reacción rápida ante posibles nuevos brotes de COVID–19, como registrar determinados datos de los clientes que acuden a locales de ocio. A este respecto, es necesario puntualizar que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”. Para poner en marcha el registro de clientes que acuden a locales de ocio, tratándose de una medida para la contención del coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Adicionalmente, si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.
Según la AEPD, teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el 6.1.c)[1]. En todo caso, debe señalarse que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD[2]. A estos efectos, debe hacerse especial incidencia en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por ello deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas[3]. Deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.
Igualmente, para la AEPD la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria. Cuestión que también tienen que valorar las autoridades sanitarias de las Comunidades Autónomas. Adicionalmente, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar[4]. En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.
Además, debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación. De acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria. Por su parte, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas. Fuente de la información: AEPD. Fuente de la imagen: harveyandfriends en pixabay.
_______________________________
[1] “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.
[2] “El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”).
[3] No es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos.
[4] Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes.