CÓMO SE TRATAN LOS DATOS DE SALUD Y GEOLOCALIZACIÓN EN TIEMPOS DE COVID-19

1. Situación actual y licitud el tratamiento de datos personales

El Reglamento General (UE) de protección de datos (RGPD) también prevé el tratamiento de datos personales sin el consentimiento expreso del interesado. Estas excepciones pueden aplicarse en varios escenarios en la crisis producida por el coronavirus, se basan sobre todo en el interés público y/o en las obligaciones legales de la persona responsable del tratamiento de los datos.

En el contexto del tratamiento de datos personales en empresas, la Agencia Española de Protección de Datos (AEPD) ha publicado un informe de fecha 11 de marzo de 2020. En este se analizan los fundamentos jurídicos del tratamiento de los datos personales relativos a la aparición de la enfermedad en las empresas, y la AEPD considera que los siguientes puntos son de fundamental importancia:

  • Licitud del tratamiento justificado por un interés legítimo del responsable del tratamiento - sin el consentimiento explícito del interesado - por razones de interés público (Art. 6.1.e RGPD) y para proteger los intereses vitales del interesado o de otra persona física (6.1.d). En la situación actual, este último punto adquiere una especial relevancia, ya que no sólo está en juego el interés del interesado, sino también los intereses de terceros.

Además, el procesamiento de datos también puede requerirse por obligaciones legales establecidas en leyes sectoriales, lo que elimina la necesidad de obtener un consentimiento explícito en algunos casos.

  • Otra área importante en relación con la situación actual es el procesamiento de datos de salud, que se legitima por las excepciones establecidas en el artículo 9:
    • Cumplimiento de las obligaciones en materia de derecho laboral y protección de riesgos laborales (9.2.b)
    • Protección de los intereses vitales del interesado o de otras personas físicas cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento (9.2.c)
    • Interés público relacionado con la salud pública (9.2.i)
    • Interés público significativo (9.2.g)
    • Atención médica preventiva o laboral, incluida la evaluación de la aptitud para el trabajo, el diagnóstico médico, etc. (9.2.h)

No obstante las excepciones anteriores, el informe de la AEPD concluye que, incluso en tiempos de crisis, deben darse los derechos y garantías de cada individuo con respecto al tratamiento de datos personales, en particular los principios básicos del RGPD en virtud de lo dispuesto en su artículo 5.

2. Recogida y tratamiento de datos de geolocalización

Otro aspecto que aún no se ha considerado en el presente informe son las últimas novedades relativas a la recogida y tratamiento de datos de geolocalización de los ciudadanos para poder rastrear las cadenas de infección y, de ser necesario, advertir a los contactos recientes a fin de contener aún más la propagación del virus, pero posiblemente también para supervisar el cumplimiento de las cuarentenas domesticas y las prohibiciones de salida.

Esta posibilidad no sólo está siendo considerado por el gobierno español, sino también por países de todo el mundo. Sin embargo, los estados se encuentran con varios problemas en cuanto a la protección de datos, especialmente aquellos estados que están obligados por el RGPD. Hasta ahora, las diversas soluciones ejemplares siempre han supuesto el consentimiento expreso de las personas interesadas, que se debe obtener con la activación de la aplicación, para legitimar la recogida y el tratamiento de los datos de geolocalización de conformidad con el art. 6 de la DSGVO. Sin embargo, la legislación vigente ya prevé situaciones como la actual, lo que hace que los requisitos sean más flexibles, siempre que se cumplan una serie de garantías. En este contexto, la Agencia Española de Protección de Datos ha publicado un comunicado el día 26/03/2020 en el se describen las bases legales para el procesamiento de datos sanitarios y de geolocalización.

Otra propuesta prevé la anonimización de los datos, lo que, sin embargo, haría imposible advertir a las personas de contacto en una fecha posterior, por lo que los datos recogidos sólo tendrían un valor estadístico.

Recientemente se ha publicado la Orden SND/297/2020, de 27 de marzo, cuyo objetivo es digitalizar y acelerar algunos de los mecanismos administrativo durante la crisis sanitaria actual. La elaboración de una aplicación de autoevaluación que sólo acceda a datos de geolocalización para verificar si la persona en cuestión se encuentra en su provincia que declara en el momento de autoevaluación.

Además, en referida Orden también se dispone que los operadores de la red remitirán los datos anonimizados de geolocalización de los usuarios de teléfonos móviles al Instituto Nacional de Estadística para que se pueda analizar dónde se encontraban las personas antes y durante el estado de alarma.

Todavía no se ha tomado una decisión definitiva y no se ha publicado ninguna aplicación o sitio web del Ministerio de Sanidad.

Un último consejo para nuestros clientes: en tiempos de crisis, lamentablemente siempre hay personas que quieren aprovecharse de las circunstancias especiales y por eso en los últimos días hay cada vez más ataques de phishing y correos electrónicos con archivos adjuntos maliciosos. Tan pronto como sospeche que un mensaje de correo electrónico recibido puede no haber sido enviado por el remitente real, bórrelo o intente comprobar su autenticidad de otra manera antes de abrir un archivo adjunto.

Persona de contacto
Unai Mieza
PDF file
Download PDF