COVID-19: APPS, salud y datos personales

Publicado el lunes, 13 abril 2020

Alberto Malo, abogado del departamento de Media & Technology de Auren.

Alberto Malo, Auren

Es bien conocido por todos el lanzamiento, por parte del Gobierno, de una nueva app de autoevaluación de síntomas del COVID-19 con el fin de descongestionar el sistema sanitario, actualmente colapsado, y controlar la pandemia mediante la localización de los ciudadanos. Es importante destacar que no sólo se va a acceder a estos datos, sino también a los de salud, por lo que cabe preguntarse bajo qué fundamento se a llevar a cabo este tratamiento y qué responsabilidades existen.

En ningún caso la salud pública supone una “barra libre” para el tratamiento de este tipo de datos, definidos como “categorías especiales de datos” debido al impacto en los derechos de los interesados que puede suponer su tratamiento.

Aunque el artículo 9.1 RGPD prohíbe de forma genérica el mismo, el artículo 9.2 RGPD establece ciertas excepciones. Teniendo en cuenta la situación de pandemia que vivimos, las bases que pueden legitimar dicho tratamiento sin consentimiento de los interesados encajarían en las siguientes:

  • 2 g): “el tratamiento es necesario por razones de un interés público esencial (…)
  • 2 h): “el tratamiento es necesario para fines de medicina preventiva (…), diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social (…)
  • 2 i) “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud (…)”.

Sin duda, el precepto que más se ajusta a la situación actual es el artículo 9.2 i) RGPD, que cumple de forma precisa con todos los requisitos. No obstante, el artículo 9.2 LOPD establece que estos tratamientos “deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad”. Así, la Disposición Adicional decimoséptima LOPD determina que se encuentran amparados en el apartado i) anterior los tratamientos de datos de salud que se encuentren regulados en la Ley 3/1986, de medidas especiales en materia de salud pública, cuyo artículo 3 prevé que “Con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria (…) podrá adoptar las medidas oportunas para el control de los enfermos (…) y en la Ley 33/2011, General de Salud Pública, cuyo artículo 9 establece para “Las personas que conozcan hechos, datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de la población” la obligación de ponerlo en conocimiento de las autoridades sanitarias

Así pues, durante la pandemia de COVID-19 se complementan obligaciones de los ciudadanos y de las autoridades. Por un lado, la Orden SSI/445/2015, de 9 de marzo, por la que se modifican los anexos I, II y III del Real Decreto 2210/1995, de 28 de diciembre incluye en el mismo el SARS (en español, “Síndrome Respiratorio Agudo Grave”) como enfermedad de declaración obligatoria en su Anexo I. Por otro lado, existe una obligación por parte de las autoridades competentes, según las definen la AEPD y la Orden SND/297/2020, de 27 de marzo, de tratar los datos personales de los interesados conforme al RGPD, la LOPD y demás normativa aplicable conforme a los principios del tratamiento que se establece en la misma.

Lógicamente, un virus que se transmite con tanta facilidad como el COVID-19, capaz de paralizar y colapsar la sanidad y el sistema económico de un país entero, y que en España ya se ha cobrado más de 10.000 vidas, superando los 140.000 contagios, es un riesgo grave que merece la actuación de las autoridades competentes en la medida que sea necesaria. No obstante, estas medidas deben ser temporales y en ningún caso podrán implicar la supresión ni la suspensión de los derechos fundamentales de los ciudadanos, especialmente en este caso de los derechos fundamentales previstos en el artículo 18.4 de la Constitución Española.

Esta situación, junto con la adecuada complementariedad de la variada normativa que se ha expuesto, no dejan lugar a dudas de la potestad de las diferentes autoridades de tratar los datos personales de salud de quienes presenten un cuadro clínico compatible con una infección por COVID-19.

Sin embargo, y conociendo las discrepancias existentes entre el comunicado de 26 de marzo de la AEPD y el la Orden SND/297/2020, de 27 de marzo, donde sí parecen existir dudas es en relación a qué autoridades son consideradas competentes para el tratamiento de los datos. Esta falta de criterio único puede suponer un riesgo enorme para los derechos de los interesados, ya que, si bien verán tratados sus datos sin necesidad de haber prestado consentimiento, es obligación de los responsables del tratamiento informar, entre otros aspectos, sobre quién tratará los mismos. De no producirse esta aclaración, podríamos estar ante una grave vulneración de un derecho fundamental de los interesados.

Sobre el autor
Redacción

La redacción de Lawyerpress NOTICIAS la componen periodistas de reconocido prestigio y experiencia profesional. Encabezado por Hans A. Böck como Editor y codirigido por Núria Ribas. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas

Comenta el articulo