Saltar al contenido

El Interés vital en tiempos de una excepcionalidad generalizada. A cargo de Alberto Casas.

AD 190/2020

Abstract

When the processing of personal data is necessary in order to protect the vital interests of the data subject or of another natural person, several characteristics must be taken into account by any controller. Firstly, the fact that this legitimate basis is inherently exceptional, since it should take place in principle only where the processing cannot be manifestly based on another legal basis. Secondly, any given situation has to be related to threats against the essential aspects of people’s life. Finally, a proper necessity test is compulsory beforehand. Overall, any controller has to undertake a thorough scrutiny while analysing a processing in which the vital interest of the data subject or of another natural person is at stake.

Palabras clave (Keywords)

RGPD, LOPDGDD, Interés vital, Categorías especiales de datos.

Introducción

El presente artículo tiene por finalidad esclarecer aquellos elementos que han de concurrir para que cualquier responsable del tratamiento pueda justificar el interés vital como base jurídica en atención a su actual regulación en nuestro ordenamiento jurídico. Asimismo, se analizarán los supuestos en los que, desde sus inicios, los organismos competentes en materia de protección de datos han admitido o no su empleo de forma concreta. Finalmente, y en atención a todos los puntos anteriores, se ofrecerá un flujograma para que cualquier responsable del tratamiento pueda considerar el interés vital como base jurídica.

 Antecedentes

El interés vital como base legitimadora del tratamiento no es una incorporación efectuada a nuestro ordenamiento jurídico por el Reglamento General de Protección de Datos[1] (en adelante, “RGPD”), sino que ya fue reconocido por la Directiva 95/46/CE[2] (en adelante, la “Directiva”), y en la parcialmente derogada Ley Orgánica de Protección de Datos de Carácter Personal.[3]

El Grupo de Trabajo del Artículo 29[4] (en adelante, “GT 29”) desgranó esta base jurídica en su Dictamen 06/2014[5] ahondando en su carácter excepcional y haciendo especial énfasis en que debía ser supletorio al resto de bases jurídicas.[6]

Con la entrada en aplicación del RGPD de forma directa en nuestro ordenamiento jurídico, acontecen tres importantes cambios en relación a la configuración del interés vital:

  • El primero, de índole general, se trata del reconocimiento legislativo de su carácter subsidiario, ya que el RGPD expresamente señala en su Considerando 46 RGPD que “los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente”.
  • El segundo, es el incremento de supuestos que quedan normativamente reconocidos en relación al interés vital, ya que, conforme al considerando 46 RGPD, quedaría justificado el tratamiento con “fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”. Asimismo, y en relación a las excepciones previstas para el tratamiento de datos en el marco de transferencias de datos internacionales, en su Considerando 112 añade los supuestos de protección de “un interés esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida, si el interesado no está en condiciones de dar su consentimiento” así como “toda transferencia a una organización internacional humanitaria de datos personales de un interesado que no tenga capacidad física o jurídica para dar su consentimiento, con el fin de desempeñar un cometido basado en las Convenciones de Ginebra o de conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados”.
  • El tercero, es la ampliación de su ámbito subjetivo, ya que permite su empleo respecto de tratamiento de datos no solo de los interesados, sino también de otras personas físicas.
Requisitos del interés vital como base legitimadora del tratamiento

Excepcionalidad

Si bien es cierto que con la entrada en aplicación del RGPD las bases legitimadoras ofrecidas en su texto no ostentaban un orden de prelación las unas respecto de las otras[7], como previamente se ha comprobado el RGPD exceptúa al interés vital de dicha norma general. Por lo tanto, el primer requisito que hay que considerar como responsable del tratamiento, es que no resulta de aplicación ninguna otra base jurídica del tratamiento distinta al interés vital.

Tal es la excepcionalidad de su aplicación que, de acuerdo con la AEPD, no requiere que el interés vital quede amparado en una norma con rango de ley establecida por la Unión Europea o a nivel nacional[8].

Finalmente, si el tratamiento deviene justificado conforme al interés vital, la connotación de excepcionalidad implica asimismo que ampara casos concretos, debiendo de volver a ponderarse su aplicabilidad a un nuevo tratamiento con la misma o distinta finalidad.

Necesidad

Que el legislador europeo requiera que el tratamiento sea “necesario” no es una cuestión baladí, ya que somete a que el tratamiento sea esencial para alcanzar un objetivo determinado. El concepto de necesidad fue unificado por el Tribunal de Justicia de la Unión Europea en su sentencia C‑524/06[9], acuñándolo como “un concepto autónomo del Derecho comunitario”.

De acuerdo con el Comité Europeo de Protección de Datos: “Valorar qué es “necesario” conlleva un análisis combinado basado en los hechos relativos al tratamiento en relación al objetivo perseguido, así como en si es o no menos intrusivo en comparación con otras opciones para alcanzar el mismo objetivo. Si hay una alternativa realista y menos intrusiva, el tratamiento no es necesario[10].

Por ello se han de dar dos condiciones: el tratamiento ha de ser necesario para salvaguardar un interés vital y, por otro, no puede haber una alternativa realista y menos intrusiva. En caso de optarse por una alternativa, se deberá analizar nuevamente si resulta de aplicación al tratamiento una base jurídica distinta al interés vital.

Si bien las alternativas podrán variar en cada caso, el concepto de interés vital ha de ser delimitado.

Noción de interés vital

Más allá de la casuística anteriormente expuesta por los Considerandos 46 y 112 RGPD, no hay una definición de interés vital concretada ni por el legislador europeo ni por el nacional. No obstante, y de acuerdo con los antecedentes antes resaltados, puede llegarse a la conclusión de que se tratan de intereses que son esenciales para la vida del interesado o de terceras personas físicas. Por esta conceptualización aboga el GT29[11], cuando señala que “el concepto de «interés vital» parece limitar la aplicación de este fundamento jurídico a cuestiones de vida o muerte, o como mínimo, a amenazas que supongan un riesgo de lesiones u otro daño para la salud del interesado” añadiendo más adelante que “las letras c) o e) del artículo 7 serían motivos de legitimación más apropiados para el tratamiento”. En cambio, expresamente declaró excluidos supuestos como la realización de investigaciones médicas generales que sólo darán resultados en el futuro, o las amenazas en donde el interesado pueda otorgar su consentimiento de forma válida.

Por consiguiente, se podría concluir que reúnen la condición de interés vital los siguientes escenarios:

  • Situaciones en las que el tratamiento pueda ser necesario para la vida del interesado o de terceros. Ello incluye los tratamientos de datos sanitarios en el contexto médico;
  • Tratamientos relacionados con situaciones que incidan sobre la integridad física o mental del interesado o de terceros;
  • Tratamientos necesarios en contextos epidemiológicos o humanitarios, cuando concurran intereses públicos o cuando el interesado no tenga capacidad física o jurídica para dar su consentimiento respectivamente.

Además de lo anterior, y conforme a los principios de lealtad y minimización de datos regulados en el artículo 5 RGPD, el riesgo vital ha de ser concreto, mensurable y directamente relacionado con el interesado o la persona física que se vea afectada para catalogarlo como amenaza en la ponderación a realizar[12]. De no reunir estos requisitos podría ser un tratamiento de datos excesivo, no adecuado ni pertinente, vulnerando flagrantemente los principios señalados.

Por último, en lo que respecta a si la amenaza que da lugar al interés vital deba ser inmediata o no, el GT29 señaló que es una cuestión que hay que determinar caso por caso en tanto que, de no ser una amenaza inminente, podría justificarse el tratamiento en otra base jurídica más apropiada[13].

Pronunciamientos relativos al interés vital por los organismos competentes

GT29

  • Supongamos que un interesado ha perdido la consciencia después de un accidente y no puede dar su consentimiento para la revelación necesaria de alergias conocidas. En el contexto de los sistemas de HME, esta disposición permitiría el acceso a la información almacenada en el HME a un profesional de la salud con el fin de extraer datos sobre alergias conocidas del interesado, que pueden resultar decisivos para el tratamiento elegido[14].
  • No obstante, la Directiva no especifica de manera precisa si la amenaza debe ser inmediata. Esto plantea cuestiones relativas al ámbito de la recopilación de los datos, por ejemplo, si se trata de (…) la recopilación de los datos de los pasajeros de una línea aérea cuando existe un riesgo de enfermedad epidemiológica o se ha detectado un incidente de seguridad[15].
  • Algunos ejemplos de esto serían la elaboración de perfiles necesaria para desarrollar modelos que predigan la propagación de enfermedades mortales o la elaboración de perfiles en situaciones de emergencia humanitaria[16].

El primero de los supuestos es aquel en el que el legislador europeo concibió el interés vital como base legitimadora del tratamiento.

No obstante, interesante puntualización se ha de realizar respecto de los dos últimos que, aun pudiendo haberse considerado residuales en el pasado, en atención a nuestra nueva realidad pueden ser relevantes: en ambos se matiza que han de ponderarse debidamente, sin perjuicio de que pueda resultar de aplicación una base de legitimación distinta, concretamente las señaladas en las letras c) y e) del artículo 6.1 RGPD.

Data Protection Commission (Autoridad de control Irlandesa)

  • Desde un centro sociosanitario se llama a un equipo médico para atender a un residente seriamente enfermo que se encuentra inconsciente cuando los médicos llegan. Su historia clínica, así como cualquier otro dato relevante de salud, han de ser compartidos con los médicos en tanto que es necesario para proteger sus intereses vitales, incluso cuando, por ejemplo, el residente no haya previamente consentido compartir dicha información con tales propósitos[17].

El supuesto planteado parte de la premisa de que el interesado es un sujeto vulnerable, enfermo de gravedad, en una situación en la que no puede prestar ni su consentimiento ni aportar ninguna información relativa su condición de salud. Llama la atención el último de los incisos, en el que el tratamiento resulta legítimo con independencia de que con anterioridad el interesado no haya consentido, en un momento en el que se encontraba en plenas facultades, la comunicación de sus datos a los médicos para proceder con la asistencia sanitaria.

Information Commissioner’s Office – ICO (Autoridad de Control Inglesa)

  • Un interesado es ingresado en urgencias en un hospital con heridas resultantes de un accidente de coche de tal gravedad que amenazan su vida. La comunicación de su historia clínica al hospital es necesaria para poder proteger sus intereses vitales[18].
  • Es menos habitual el tratamiento de los datos del interesado con la finalidad de proteger los intereses vitales de una persona física distinta. Podría ser de relevancia, por ejemplo, en la medida en que fuese necesario el tratamiento de los datos del padre de un menor al objeto de proteger los intereses vitales de su hijo/a[19].

El primero de los casos no arroja dudas sobre su aplicación. Sin embargo, el segundo llama la atención al introducir la protección de intereses vitales de un tercero. Aun siendo datos relativos a la salud, se permite el tratamiento de datos del interesado para proteger a un tercero sin obtención del consentimiento del primero, pudiendo haberlo prestado.

Autoridades Española de Protección de Datos

Tratamientos legitimados en base al interés vital

A continuación, se enumerarán supuestos en los que las Autoridades de Control españolas han aceptado como base legitimadora el interés vital:

  • Respecto del tratamiento de datos personales de salud de determinadas personas físicas por los responsables de tratamientos, cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio, como para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado, puedan expandir la enfermedad a otros terceros[20].
  • La cesión de datos efectuada a una persona que realiza una llamada telefónica al 112 y que se identifica como familiar o allegado de otra persona atendida por los servicios de urgencias y emergencias. Podría existir una situación de urgencia vital, considerando que los familiares o allegados pueden suministrar, en un primer momento de atención médica urgente, información que pudiera resultar esencial para la debida atención en el centro hospitalario de destino[21].
  • Cuando, por razones de urgencia, fuese necesario el tratamiento de datos de salud del interesado para la tramitación del internamiento de una persona en el contexto socio-sanitario siempre que el interesado esté incapacitado física o jurídicamente para prestar su consentimiento[22].
  • Cuando fuese necesario el acceso a la historia clínica de un paciente en supuestos excepcionales por usuarios registrados o no registrados en el sistema (garantizando en este último caso que los mismos cumplan con los requisitos establecidos para el acceso a los datos de usuarios registrados) al objeto de salvaguardar los intereses vitales del interesado o de una persona física en tanto que el interesado no pueda prestar su consentimiento[23].
  • La instalación de cámaras de videovigilancia en las habitaciones de los centros asistenciales, en tanto que sea necesario para proteger un interés vital de la persona afectada[24]
  • El acceso y consulta por parte de los servicios sociales a los datos de la historia clínica de determinadas personas, cuando se justifique en la necesidad de detectar e intervenir en situaciones de riesgo social, siempre que se trate de las personas a las que atiendan, y que se acceda, sólo, a los datos necesarios para cumplir con este objetivo[25].
  • La necesidad de proteger los intereses vitales del propio paciente o de un tercero podría habilitar el acceso de terceros a información de la historia clínica del paciente, sin el consentimiento de este, por ejemplo, en caso de incapacitación física (por ejemplo, si la persona se encuentra en estado de coma, como apunta la consulta), sin necesidad de que se haya procedido a una incapacitación judicial[26]. No obstante, este caso podría encontrarse amparado en los artículos 3 y 5 de la Ley 21/2000 de 14 de noviembre.

Tratamientos no justificables conforme al interés vital

  • Aquellos tratamientos de datos mediante los que las universidades puedan preguntar a las personas visitantes de la universidad datos sobre los países que han visitado anteriormente o si presentan sintomatología relacionada con el coronavirus. Este supuesto deberá sustentarse sobre otra base jurídica distinta y de acuerdo con los requisitos que hayan establecido las autoridades en materia de salud pública[27].
  • La cesión de datos médicos relativos a sustancias adictivas (alcohol, sustancias estupefacientes, fármacos…), por un centro sanitario, de pacientes que desempeñan funciones laborales en empresas que pueden conllevar un alto riesgo para terceros (conductores de transportes públicos, bomberos, miembros de las Fuerzas de Seguridad…), a los médicos de la empresa que los han contratado[28].
  • Tratamiento de datos relacionados a la instalación de un sistema de alarma que avise de la presencia en los centros sanitarios de personas que han tenido comportamientos agresivos especialmente graves que pongan en riesgo la integridad física de los profesionales y el resto de usuarios[29].
  • Comunicación de datos por los servicios sociales de un Ayuntamiento a los padres de un menor de edad de los relativos a un adulto afectado con el VIH con el que un menor ha mantenido relaciones sexuales. Se considera que es más pertinente la habilitación legal de la comunicación en base al principio del interés superior del menor[30].
Lista de requisitos para fundamentar un tratamiento en el interés vital

El flujograma que a continuación se presenta ha de entenderse circunscrito estrictamente al desarrollo expuesto:

Conclusión

El tratamiento de datos necesario para la protección de intereses vitales del interesado o de otra persona reviste de connotaciones excepcionales, de manera que queda subordinado a la prevalencia de otras bases legitimadoras. Asimismo, ha de ser objeto de un test de necesidad, así como objetivo, no pudiendo esgrimirse frente a cualquier tratamiento de datos, sino solo ante aquellos que versan sobre aspectos esenciales de la vida misma de las personas. Por ello, todo responsable del tratamiento ha de someter a estricto escrutinio su utilización, máxime cuando se pueda llegar a dar el caso de un empleo frecuente o habitual del mismo en el seno de la actividad que requiera amparar su actuación en la protección de intereses vitales de los interesados o de terceros.

Alberto Casas

7 de diciembre de 2020


[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

[2] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

[3] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

[4] Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

[5] Grupo de trabajo del artículo 29, Dictamen 06/2014sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (Adoptado el 9 de abril de 2014).

[6] Grupo de trabajo del artículo 29, Dictamen 06/2014sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (Adoptado el 9 de abril de 2014), 25.

[7] AEPD https://www.aepd.es/es/documento/2019-0074.pdf

[8] Véase en este sentido el Informe del Gabinete Jurídico de la AEPD nº0017/2020, 2.

[9] Tribunal de Justicia de la Unión Europea, Sentencia C‑524/06, Heinz Huber v Bundesrepublik Deutschland, 18 de diciembre de 2008, par. 52.

[10] Assessing what is ‘necessary’ involves a combined, fact-based assessment of the processing “for the objective pursued and of whether it is less intrusive compared to other options for achieving the same goal”.17 If there are realistic, less intrusive alternatives, the processing is not ‘necessary’.18

[11] Grupo de trabajo del artículo 29, Dictamen 06/2014sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (Adoptado el 9 de abril de 2014), 24.

[12] Agencia Catalana de Protección de Datos, Dictamen 16/2017, 4.

[13] Grupo de trabajo del artículo 29, Dictamen 06/2014sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (Adoptado el 9 de abril de 2014), 25.

[14] Grupo de Trabajo del Artículo 29, Documento de trabajo sobre el tratamiento de datos personales relativos a la salud en los historiales médicos electrónicos (HME), Adoptado el 15 de febrero de 2007, 10.

[15] Grupo de trabajo del artículo 29, Dictamen 06/2014sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (Adoptado el 9 de abril de 2014), 25.

[16] Grupo de Trabajo del Artículo 29, Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, 15.

[17] Data Protection Commission, Guidance Note: Legal Basis for Processing Personal Data, 16.

[18] Information Commissioner’s Office, Guide to the General Data Protection Regulation, 71.

[19]Information Commissioner’s Office, Guide to the General Data Protection Regulation, 71.

[20] Informe del Gabinete Jurídico de la AEPD nº0017/2020, 2.

[21] Informe del Gabinete Jurídico de la AEPD nº 0438/2015, 10.

[22] Agencia Española de Protección de Datos, Plan de Oficio de la atención sociosanitaria, 28.

[23] Informe del Gabinete Jurídico de la AEPD nº 0054/2010, 11.

[24] Agencia Catalana de Protección de Datos, Resoluciones sancionadoras nº PS 8/2014 y nº PS 47/2015.

[25] Agencia Catalana de Protección de Datos, Dictamen CNS 37/2015, 14.

[26] Agencia Catalana de Protección de Datos, Dictamen CNS 36/2018, 7.

[27] Agencia Catalana de Protección de Datos, Dictamen CNS 17/2020, 8.

[28] Agencia Catalana de Protección de Datos, Dictamen CNS 16/2017, 4.

[29] Agencia Catalana de Protección de Datos, Dictamen CNS 51/2016, 5.

[30] Agencia Catalana de Protección de Datos, Dictamen CNS 1/2015, 7.


Imagen del autor Alberto Casas

Alberto Casas es abogado colegiado en el ICAM y Delegado de Protección de Datos certificado conforme al esquema de certificación de la AEPD a través de las entidades AENOR y Asociación Española para la Calidad. Actualmente desempeña labores de consultoría integral en materia de protección de datos a entes públicos y privados al frente del departamento de consultoría jurídica de la empresa Firma, Proyectos y Formación, S.L.

Deja un comentario

A %d blogueros les gusta esto: