La protección de datos en tiempos de pandemia

Publicado el viernes, 3 abril 2020

Alberto Malo, abogado del departamento de Media & Technology de Auren.

Alberto Malo, Auren

El pasado 28 de marzo se aprobó la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, incluyendo “el desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19”, que facilitará la autoevaluación de los ciudadanos y permitirá tratar sus datos personales de salud y de localización. Esta aplicación permite geolocalizar a quienes presenten un cuadro clínico compatible con una infección por COVID-19, lo que ha levantado una enorme polémica, ya que implica limitar el derecho a la protección de datos.

Las bases legales que legitiman el tratamiento de datos personales sin consentimiento de los interesados para un supuesto como el que vivimos con el COVID-19 son las previstas en el artículo 6.1 d) RGPD, cuando “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, y 6.1 e) RGPD, cuando “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público (…)”, y se indica en el Considerando 46 RGPD que “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. (…) Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación (…)”.

El artículo 6.1 e) RGPD se refleja de forma prácticamente idéntica en el artículo 8.2 LOPDGDD, mientras que la base del tratamiento del artículo 6.1 d) RGPD no tiene necesidad de quedar más definida por el derecho español.

El artículo 3 de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, que ha sido modificada a raíz de la pandemia de COVID-19, por el Real Decreto-ley 6/2020 de 10 de marzo permite a las autoridades públicas aplicar, con el fin de controlar enfermedades contagiosas, “las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”. Estas medidas no limitadas en un listado numerus clausus permiten a las autoridades competentes geolocalizar a quienes sufran contagios con el fin de prevenir la propagación de la enfermedad.

Por su parte, la AEPD se manifiesta en su “Comunicado sobre apps y webs de autoevaluación del Coronavirus” de 26 de marzo indicando que en ningún caso el derecho a la protección de datos ha quedado suspendido, sino que se verá limitado por los intereses de salud pública que se están viendo gravemente afectados.

La AEPD indicaba el 26 de marzo que serán competentes para tratar los datos personales de localización “(…) el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas, que podrán cederse datos entre ellas, y a los profesionales sanitarios que traten a los pacientes o que intervengan en el control de la epidemia” mientras que dos días después la Orden establecía que “El responsable del tratamiento será el Ministerio de Sanidad y el encargado del tratamiento y titular del chatbot será la Secretaría de Estado de Digitalización e Inteligencia Artificial a través de la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales”.

Las entidades que traten los datos personales deberán informar de forma clara, accesible y fácilmente comprensible a los interesados de todos los aspectos relativos al tratamiento que prevé la normativa aplicable, por lo que es fundamental para garantizar este derecho que no existan contradicciones, debiendo asegurarse de esclarecer quién, qué, para qué y cómo se tratarán los datos personales que se obtengan.

En relación con lo anterior, es de destacar también que se permite que entidades privadas, que deberán cumplir con las mismas obligaciones, traten estos datos, y siempre que sigan las instrucciones de las autoridades y no los utilicen para ningún fin distinto, lo que debe suponer un estricto control del tratamiento.

En definitiva, dadas las excepcionales circunstancias que vivimos, se podrá limitar, y nunca suspender, el derecho a la protección de datos personales en favor de la salud pública y los intereses vitales de los interesados y las demás personas físicas, cumpliendo siempre con los deberes de información a los mismos y respetando los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad, además de exigirse a los responsables del tratamiento una responsabilidad proactiva en el cumplimiento de estos principios.

Sobre el autor
Redacción

La redacción de Lawyerpress NOTICIAS la componen periodistas de reconocido prestigio y experiencia profesional. Encabezado por Hans A. Böck como Editor y codirigido por Núria Ribas. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas

Comenta el articulo