COVID-19. Pero… ¿qué pasa con nuestros datos?

Con motivo de la pandemia mundial que nos afecta, son muchas las cuestiones o dudas que se han ido planteando a lo largo de estas semanas y que con toda seguridad se seguirán abordando.

Algunas de las cuestiones más notorias han sido: ¿Puede mi empresa tratar datos personales de salud de los empleados sin tener en cuenta nada más? ¿Hay que cumplir con la legislación vigente? ¿Las autoridades sanitarias pueden tratar todos los datos que consideren necesarios, y cómo?, ¿me van a vigilar a través del móvil?

En primer lugar, debemos hacer especial hincapié en que tanto la normativa en materia de protección de datos como la normativa sectorial o específica, siguen siendo plenamente aplicables como ha confirmado la autoridad de control en su Informe 0017/2020 y FAQS sobre COVID-19, así como el Comité Europeo de Protección de Datos.

En segundo lugar, debemos tener en cuenta que la legislación aplicable debe interpretarse en relación al estado en el que se encuentre la sociedad en el momento actual. Por consiguiente, antes de aventurarse a dar respuesta a las preguntas anteriormente referenciadas o, cualesquiera otras que puedan surgir al lector, debemos plantearnos si existe o no una necesidad real para la sociedad que prime ante la privacidad de los interesados para poder tratar sus datos.

Si analizamos todo lo ocurrido en estas semanas, comprobando el número de infectados, de fallecidos a consecuencia de los contagios, la saturación de la sanidad pública, y las medidas que tanto las autoridades como las empresas han tenido que adoptar, podemos argumentar que existe una necesidad real para la sociedad que habilita a las autoridades sanitarias en mayor medida y, en determinados casos a las empresas, a tratar datos de carácter personal (aunque sean de categoría especial) con el objetivo de velar por la salud pública de la población; es decir; existe un interés público superior a la privacidad de los interesados.

Una vez tenemos claro que existe esa necesidad para la sociedad, debemos basar las acciones que se vayan a emprender, en el derecho positivo; es decir; en una norma que nos habilite a llevar a cabo dichas acciones.

Haciendo referencia al Reglamento 2016/679 General de Protección de Datos, también conocido como RGPD, en su Considerando 4 dice que “el tratamiento de datos personas debe estar concebido para servir a la humanidad” por tanto, la legislación en materia de protección de datos no tiene como fin dificultar el tratamiento de los mismos sino que dichos tratamientos se realicen con garantías.

Hemos de destacar que el considerando 46 del citado reglamento habilita al tratamiento de datos de carácter personal cuando se trate de proteger el interés esencial de la vida del interesado o de otra persona física, sin necesidad de solicitar consentimiento a los interesados. Es decir, dicho considerando sería la base de legitimación para tratar datos personales en situaciones excepcionales como es el control de la pandemia que nos acontece y, por tanto, las Autoridades Sanitarias podrían, por ejemplo, tratar datos de salud de los pacientes para estudiar el origen de la pandemia y poder mitigar los riesgos de la misma, conforme se habilita en la Disposición Adicional 17ª de la Ley 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales.

Por otro lado, hemos de tener en cuenta la excepción del artículo 9.2 del RGPD respecto al tratamiento de datos de categoría especial y, las obligaciones en el ámbito laboral que aplican tanto a:

  • Empresarios, pues según el artículo 14 de la Ley 31/1995 de 8 de noviembre, de Prevención de Riesgos Laborales, deben garantizar la seguridad y salud de todos los trabajadores.
  • Trabajadores, dado que el artículo 29 de la Ley de Prevención de Riesgos Laborales, recoge que los empleados deberán informar y colaborar con la empresa para garantizar condiciones de trabajo seguras.

Por consiguiente, las empresas podrían tratar datos personales de sus empleados en relación a la COVID-19 siguiendo las directrices de las autoridades sanitarias y de la autoridad de control en materia de protección de datos, y por su parte los empleados deberán colaborar trasladando a su empresa o superior jerárquico cualquier síntoma que tengan, con la intención de prevenir el contagio y adoptar las medidas de seguridad que sean necesarias.

Sin embargo, todo lo anteriormente destacado no quiere decir que dejen de aplicar los principios del art. 5 del RGPD: Limitación, minimización, integridad, confidencialidad, etc.

Por último, veamos la cuestión de si las autoridades nos van a vigilar estudiando la trazabilidad de nuestros movimientos a través de las señales GPS de nuestros dispositivos móviles o, de aplicaciones creadas ad hoc para el COVID-19.

En este punto, mi opinión es que, por un lado, como ciudadanos debemos ir más allá de si nos van a vigilar o no, pues la situación actual en la que nos encontramos es de alarma social, y debemos dejar de mirarnos el ombligo y contribuir al bien general que es combatir la pandemia. Y, por otro lado, tanto las autoridades sanitarias como las empresas que desarrollen aplicaciones para facilitar la gestión sanitaria, incluso considerando las restricciones temporales, están obligadas a que dichas aplicaciones cumplan una serie de garantías, tanto en materia de protección de datos como respecto a los controles que establece el Esquema Nacional de Seguridad (que tienen que cumplir tanto administraciones públicas como sus proveedores de servicios).

Por todo ello, considero que no es tiempo de oportunismos, sino de colaborar y aportar nuestro granito de arena para acabar con esta pandemia lo antes posible.