Saltar al contenido
¿Sería más eficaz una menor rigidez del Reglamento General de Protección de Datos en la lucha contra la pandemia del Covid-19?

El doble filo de la protección de los datos personales. A cargo de David Navarrete

AD 50/2020

Abstract:

La crisis del coronavirus golpea sin piedad a todos los sectores, y produce graves problemas, nunca antes planteados. La protección de los datos personales no ha sido una excepción, pero si puede convertirse en un óbice en la lucha contra esta pandemia si no se hace un uso apropiado y coherente en sintonía a reducir la propagación.

Palabras clave:

  • Datos personales.
  • Datos personales de la salud.
  • Covid-19.
  • Reglamento General de Proteccion de datos.
  • Ley Orgánica de protección de datos.

¿Sería más eficaz una menor rigidez del Reglamento General de Protección de Datos en la lucha contra la pandemia del Covid-19?

El Comité Europeo de Protección de Datos hace escasos días, marcó una serie de reglas en relación a las medidas que se debían seguir por parte de las instituciones, tanto públicas como privadas, respecto del tratamiento de datos de carácter personal.

Se decidía claramente por una línea garantista, es decir, establecía que los datos personales debían de seguir estando protegidos por parte de los encargados y responsables de tratamientos.

Por lo que se permitía adoptar ciertas restricciones que afectasen a las libertades de las personas, siempre y cuando se respetasen los principios generales recogidos:

  • El principio de integridad y confidencialidad, evitando así usos que puedan suponer un problema para los sujetos.
  • Lealtad, por lo que no podrán recogerse datos de manera desleal, es decir, mediante engaño o medios fraudulentos.
  • Principio de transparencia, toda información debe ser fácilmente accesible y comprensible.
  • Principio de exactitud. Los datos no solo deben ser exactos, sino que también deben de estar actualizados.
  • Principio de limitación de la finalidad, deben ser recogidos con fines determinados, explícitos y legítimos.
  • Principio de licitud, esto significa que esos datos deberán contar con el consentimiento de su titular o ampararse en alguno de los fundamentos jurídicos recogidos en el artículo 6 del Reglamento General europeo de Protección de Datos, en los que se ahondará más adelante.
  • El principio de minimización de datos, por el que los datos solo deben ser utilizados para el uso necesario e idóneo relativo al fin perseguido.
  • Y el principio de limitación del plazo de conservación, este es el necesario para llevar a cabo los fines.

Sin embargo esto plantea algunos problemas en la práctica, y sobre todo, limita la posibilidad de luchar contra la pandemia, siendo mucho más difícil controlarla.

Las comparaciones de datos entre países suelen ser maliciosas, ni nuestra sociedad es igual que la asiática, ni nuestro sistema permite adoptar las medidas, en muchas ocasiones restrictivas de derechos fundamentales, que se han adoptado allí. Medidas suponen una infracción clara de los derechos de los que gozamos hoy en día en la Unión europea.

En nuestro ordenamiento jurídico[1] si un trabajador expone que está sometido a riesgos graves e inminentes, dice “el empresario estará obligado a informar lo antes posible a todos los trabajadores afectados acerca de la existencia de dicho riesgo y de las medidas adoptadas o que, en su caso, deban adoptarse en materia de protección.”

Entendemos que hay actividades esenciales que no pueden ser detenidas de ninguna manera, pero siguiendo lo que nos dice la ley, quizás debieran de adoptarse nuevas medidas de protección con el objetivo de garantizar la seguridad de todos.

Somos conscientes del choque que se produce entre los derechos que poseen los titulares y las medidas a implementar, ya que por ejemplo, la instalación de videocámaras que consiguiesen tomar la temperatura podrían vulnerar los derechos relativos a la protección de datos personales, sin embargo, ¿no se han limitado ya derechos como la movilidad en pro de la ciudadanía?

Hablamos de datos relativos a la salud, datos especialmente protegidos que aun así también son fruto de un posible tratamiento, como precisa el artículo 9, párrafo segundo del RGPD el cual establece que podrá llevarse a cabo su tratamiento “cuando sea necesario por razones de interés público sustancial en el área de la salud pública (Artículo 9.2.i), sobre la base de la legislación nacional o de la Unión, o cuando exista la necesidad de proteger los intereses vitales del interesado (artículo 9.2.c), ya que el considerando 46 se refiere explícitamente al control de una epidemia”.[2] O incluso cuando sea necesario para la realización de un diagnóstico médico (artículo 9.2 h).

Este riesgo del qué se habla, presente en los artículos 6 y 9 de dicho normativa, establece la posibilidad de que se lleve a cabo el tratamiento de datos personales, tanto para el interesado como para otra persona física, por lo que parece qué es posible ese tratamiento en el caso ante el que nos encontramos. Y conviene recordar que ese “interés vital” es un concepto técnico, cuya determinación corresponderá a los propios sanitarios.

Este tratamiento solo podrá ser admitido y dirigido por las autoridades sanitarias, concurriendo el tratamiento por parte de los empleadores, con el objetivo de garantizar la salud pública.

Y es que hay diversas leyes en nuestro Ordenamiento Jurídico que legitiman el tratamiento de datos sin el consentimiento del interesado, cabe mencionar, por ejemplo, la disposición adicional decimoséptima sobre tratamientos de datos de salud de la LOPDGDD legitima para a las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública para llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública. Ello implica, desde el sentido común a amplios tratamientos de datos de fuentes diversas.[3] Y muchas más que cabría nombrar.

Como dijimos antes, el RGPD recoge en su considerando 46 el tratamiento licito de datos personales en casos excepcionales, como el que vivimos en la actualidad.

La Agencia española de protección de datos publicó un informe[4], donde analizaba el tratamiento de los datos personales en relación a la pandemia.

Este informe se refería también a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública, la cual precisa que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

Por lo que se aprecia, el otorgamiento de una serie de competencias a las autoridades sanitarias, a través de las cuales podrán adoptar las medidas que estimen más convenientes en relación a la protección de los intereses vitales de las personas físicas.

En definitiva, las autoridades sanitarias serán las que adopten las decisiones relativas al tratamiento de datos personales de la salud y los responsables del tratamiento deberán acatar sus decisiones.

Aunque no se debe olvidar, como se dijo al principio, que todo este tratamiento de datos se deberá hacer respetando el Reglamento europeo de Protección de Datos y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, y por tanto los principios de licitud, transparencia, minimización de datos, exactitud, con el objetivo de que no se utilicen esos datos para otros tratamientos no necesarios para dicha finalidad.

En conclusión, se observa que la protección de datos puede y debe quedar supeditada al interés público y el interés vital de evitar una propagación aun mayor, respetando en la medida de lo posible, la privacidad de los interesados de acuerdo con las exigencias legales.

David Navarrete

15 de abril de 2020


David Navarrete Utrera, autor del artículo: ¿Igualdad?

David Navarrete

Graduado en Derecho por la Universidad Complutense de Madrid

Estudiante de Máster de acceso a la profesión de abogado y Máster en Derecho de las Nuevas Tecnologías.

Miembro del proyecto de investigación de innovación docencia: “El aprendizaje-
servicio como metodología de aprendizaje jurídico-pedagógico: la reinserción de
presos a través de la justicia restaurativa” de la Universidad Complutense.

Autor de la novela “La noche no entiende de luces” y de distintas publicaciones
jurídicas.

Participante seleccionado para Legal Challenge 2019 en Herbert Smith Freehills y para Bootcamp sectorial de seguros Madrid, adquiriendo en este último, premio individual en la resolución del caso.

Contacto: dnavarreteutrera@gmail.com
Twitter: @davidutrera1997
Linkedin: David Manuel Navarrete Utrera


Bibliografía:

  • Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y  a  la libre  circulación de  estos  datos  y  por  el  que  se deroga la  Directiva 95/46/CE (Reglamento general de protección de datos)

[1] Artículo 21 de la Ley 31/1995, de Prevención de riesgos laborales.

[2] https://cuadernosdeseguridad.com/2020/03/videocamaras-termicas-gdpr-covid/

[3] http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/

[4] https://www.aepd.es/es/documento/2020-0017.pdf

Deja un comentario

A %d blogueros les gusta esto: