La incidencia del COVID-19 en la protección de datos personales
La declaración del estado de alarma ha propiciado la proliferación de un gran número de normas que afectan a todos los ámbitos del Derecho y motivan un estudio concienzudo de todo cuanto se publica por parte de los profesionales.
Nos detendremos en este artículo en analizar sucintamente de qué manera la pandemia ha incidido en el derecho fundamental a la protección de datos personales, y ello a raíz de la publicación de la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.
- La Orden SND/297/2020, de 27 de marzo
Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial lo siguiente:
- El desarrollo de una aplicación informática para el apoyo en la gestión de la crisis sanitaria, en virtud de la cual:
- El usuario podrá realizar una autoevaluación acerca de la probabilidad de que padezca el COVID-19 en base a los síntomas médicos que comunique.
- Se ofrecerá al usuario información general sobre el COVID-19.
- Se proporcionarán al usuario consejos prácticos y recomendaciones en función del resultado de la autoevaluación.
La aplicación permitirá la geolocalización del usuario únicamente para verificar que se encuentra en la comunidad autónoma que declara estar.
- El análisis de la movilidad de las personas en los días previos y durante el confinamiento.
Este estudio se realizará a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.
Desde que entrara el vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de protección de datos de las personas físicas (en adelante, RGPD), completando su regulación la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), los ciudadanos hemos sido bombardeados con artículos, noticias y correos destinados a concienciarnos acerca de la importancia del derecho fundamental a la protección de datos personales. Gracias a ello, hemos tomado conocimiento de la relevancia y el poder del dato para empresas e instituciones, y en muchos casos hemos empezado a tomar medidas para proteger nuestra información personal.
Por consiguiente, ahora, cuando leemos palabras como “geolocalización” en el contexto de una aplicación móvil, por mucho que dicha aplicación dependa del Gobierno, nos saltan todas las alarmas y nos preguntamos si no se estarán vulnerando nuestros derechos aprovechando el contexto de la pandemia.
No parece que sea el caso. La propia Orden dispone que todo cuanto se prevé en la misma se entiende en el marco del debido cumplimiento del RGPD y la LOPDGDD, así como de los criterios interpretativos dados por la Agencia Española de Protección de Datos (en adelante, AEPD), a los que aludiremos a continuación.
Concretamente, en cuanto a la geolocalización para verificar que el usuario se encuentra en determinada comunidad autónoma, será el propio usuario quien consienta expresamente la cesión de estos datos al instalar la aplicación. No sucede lo mismo con el estudio de movilidad, cuya información podrá extraerse a través de los operadores móviles sin necesidad de que se haya descargado aplicación alguna. No obstante, en este último caso, los datos se tratan de forma anonimizada, es decir, no se asociarán a individuos concretos y, por tanto, no podemos considerar que exista un tratamiento de datos personales sin consentimiento.
En cualquier caso, hemos señalado que la Orden se ha dictado con pleno respeto al RGPD, la LOPDGDD y a las directrices de la AEPD. Conviene que nos detengamos en estas últimas por cuanto, además de justificar plenamente los tratamientos de datos por parte de los entes públicos en el contexto de la crisis sanitaria, también resuelve algunas dudas interesantes.
- Las directrices la Agencia Española de Protección de Datos
Analizaremos sucintamente el contenido de los tres documentos publicados por la AEPD en relación con el COVID-19, extrayendo de ellos las ideas más importantes en cuanto al tratamiento de datos personales en el contexto de la emergencia de salud pública derivada de la pandemia. Revisamos concretamente (i) el informe sobre los tratamientos de datos en relación con el COVID-19, (ii) el documento de preguntas frecuentes y (iii) el comunicado sobre apps y webs de autoevaluación del coronavirus, este último publicado un día antes de que se dictara la Orden comentada.
De dichos documentos se desprende la legitimación del Gobierno para el tratamiento de datos personales en el contexto actual y bajo las premisas contempladas en la Orden. Veamos los puntos más importantes:
- La situación de emergencia no puede conllevar la suspensión del derecho fundamental a la protección de datos personales. No obstante, la normativa sobre protección de datos no puede obstaculizar las medidas que adopten las autoridades competentes para luchar contra la pandemia.
- Los ciudadanos deben ser especialmente cuidadosos en el momento de facilitar sus datos para el control del COVID-19 ya que, además del Ministerio de Asuntos Económicos y Transformación Digital, otras entidades privadas están desarrollando aplicaciones o webs relacionadas con la pandemia. Únicamente las autoridades públicas están legitimadas para tratar estos datos en atención a las misiones realizadas en interés público, así como para garantizar los intereses vitales. Cuidado con los datos de salud que se ceden a empresas privadas.
- La geolocalización a través del teléfono móvil viene amparada en las amplias competencias que se conceden a las autoridades públicas en situaciones excepcionales como la presente, teniendo en cuenta que una de las medidas para gestionar la crisis sanitaria es la limitación de la libertad de circulación de las personas. El único dato que se debería facilitar para este propósito es el número de teléfono móvil a geolocalizar.
- Saliendo del ámbito de la Orden SND/297/2020 y entrando en el marco de las relaciones laborales, el empresario que cuente con personal a su cargo está sujeto a la normativa de prevención de riesgos laborales y, por tanto, deberá garantizar la seguridad y salud de todos los trabajadores a su cargo. Por ello, viene legitimado para el tratamiento de los datos de salud de sus empleados quienes, a su vez, deberán velar por su propia seguridad y salud en el trabajo y ser responsables de la de aquellas otras personas a las que pueda afectar su actividad profesional. Así, vendrán obligados a informar a su empleador de cualquier sospecha de contacto con el virus.
- En todo tratamiento de datos personales en el marco de la presente crisis sanitaria se aplicarán los principios previstos en el RGPD: licitud, lealtad, transparencia, limitación de la finalidad, exactitud y minimización de datos.
Así pues, está claro que, si bien las medidas adoptadas por el Gobierno en el contexto de la crisis sanitaria que vivimos vienen justificadas por la situación de excepcionalidad y por razones de salud pública, no todo vale, y no se pueden obviar los principios previstos en el RGPD y que protegen nuestro derecho fundamental a la protección de datos personales.
No hay razones, por el momento, que nos hagan desconfiar. Todo apunta a que el Gobierno, en materia de protección de datos, está actuando de forma totalmente coordinada con la AEPD, y cualquier incidencia en este derecho fundamental viene amparada por la normativa aplicable.
A fecha de publicación del presente artículo, la aplicación móvil del Gobierno ya está funcionando en varias comunidades autónomas.