La pandemia por coronavirus ha puesto en relieve que “el derecho a la protección de los datos personales no es un derecho absoluto” cuando tiene interés público relacionado con la salud
La (i)legalidad de tratar datos personales sobre o relativos al COVID-19. Positivo/negativo en coronavirus: datos de salud
Tener coronavirus o haber tenido coronavirus es un dato de salud, y por tanto una de las categorías especiales de datos incluidas en el artículo 9.1 del Reglamento General de Protección de Datos (RGPD)[i]. En concreto, el RGPD define los datos de salud como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (art. 4.15).
Y tener coronavirus es una enfermedad de declaración obligatoria urgente a las autoridades sanitarias. En este sentido, tener o haber tenido coronavirus es igual que cualquiera de las siguientes enfermedades: cólera, fiebre amarilla, rabia, peste o difteria. Son las enfermedades para las que se establece la obligación de declaración urgente conforme al Anexo II del Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.
La consideración de la infección por coronavirus como enfermedad de declaración obligatoria urgente viene dada por el artículo 22, relativo a la declaración obligatoria de COVID-19, del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.[ii] Ahora bien, dependiendo del contexto del tratamiento de datos personales, cabría plantearse también que no tener o no haber tenido coronavirus es un dato de salud.
Desde la declaración del estado de alarma en nuestro país han sido múltiples las cuestiones que se han planteado en relación con el tratamiento de datos de positivos por COVID-19, quedando todavía pendientes algunas cuestiones que deberían ser resueltas para evitar futuras situaciones de incertidumbre.
Obligación de proporcionar información esencial para la trazabilidad de contactos
El Real Decreto-ley 21/2020 prevé que los “establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada” están obligados a proporcionar la “información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas”. Es importante tener en cuenta que se trata de una obligación exigible cuando “las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos”, lo que implica que los datos mínimos necesarios sean comunicados a las autoridades sanitarias para la finalidad indicada.
Sobre el tratamiento de datos personales por establecimientos, la Agencia Española de Protección de Datos (AEPD) emitió un comunicado[iii], con fecha 31 de julio, en el que analiza las diferentes situaciones que pueden darse para determinar cuál es la base de legitimación del tratamiento. Una de estas situaciones podría ser la necesidad de cumplir con una obligación legal aplicable al responsable del tratamiento, tal como sería el caso del cumplimiento de las obligaciones de la empresa de garantizar la seguridad y salud de todos los trabajadores en virtud de lo previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, o de una ley que establezca esta obligación de obtención y/o comunicación de datos a las autoridades sanitarias. Otra posible situación podría ser “hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias”, siendo la base legitimadora el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Además, por lo que se refiere a justificar la legitimidad de la medida consistente en la identificación de clientes para la finalidad ya indicada, la AEPD señala que “deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse”.
Algunas iniciativas autonómicas y protección de datos personales
Ante el temor de la denominada “segunda oleada” y a partir de lo previsto en el Real Decreto-ley 21/2020, especialmente durante el mes de julio de 2020, fueron surgiendo iniciativas de diverso alcance en virtud de las que se tratan datos personales con fines de identificación de positivos por COVID-19 en unos casos y de alerta o notificación de contacto con casos positivos en otros.
Algunos ejemplos son el registro de viajeros de la Consellería de Sanidade de la Xunta de Galicia, con la finalidad de poder tener identificados a quienes, sean residentes o no en Galicia, hayan estado durante los últimos catorce (14) días en territorios, dentro o fuera de España, con alta incidencia epidemiológica por COVID-19.[iv] O la Orden 920/2020, de 28 de julio, de la Consejería de Sanidad de la Comunidad de Madrid[v], que establece la obligación de llevar un registro de clientes para locales de ocio, tales como salones de banquetes, discotecas y establecimientos de ocio nocturno.
Ahora bien, a pesar de que el alcance las iniciativas varía, coinciden en el hecho de que la finalidad del tratamiento es la vigilancia de la salud pública. De nuevo, debe atenderse al Real Decreto-ley 21/2020, que en su artículo 27.2, señala que la finalidad del tratamiento es “el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública” a lo que añade también “la protección de intereses vitales de los afectados y de otras personas físicas”.
https://elderecho.com/la-ilegalidad-tratar-datos-personales-relativos-al-covid-19