A lo largo de los últimos dos años se ha debatido con frecuencia acerca de la implicación de la normativa sobre Protección de Datos en la legislación sobre el Covid19, y específicamente en lo relativo a las medidas dictadas por las autoridades para la prevención de los contagios.
La AEPD ha dictado a lo largo de este tiempo, diversas normas e instrucciones sobre dichas medidas, singularmente este Informe que es especialmente relevante.
En la sociedad se ha generalizado el criterio de que todo lo relativo a derechos fundamentales (entre los cuales, recordemos, se encuentra la privacidad en el artículo 18.4 CE) debía interpretarse de forma flexible en función de la situación excepcional en que nos encontrábamos. Así se ha visto, por ejemplo, en gran medida en el debate social sobre la inconstitucionalidad de los Estados de Alarma.
La AEPD, no obstante, siempre ha mantenido el excelente criterio de que la normativa sobre Protección de Datos estaba plenamente vigente y no podía reducirse o suavizarse por el hecho de que “estuviéramos en pandemia”.
Por su parte, el Tribunal Supremo en esta Sentencia estableció una serie de criterios para garantizar la plena constitucionalidad de la normativa. Estos criterios (que guardaban relación en principio con el denominado pasaporte COVID, pero que hoy serían aplicables a cualquiera de las medidas) son, en nuestra opinión, excesivamente flexibles.
En todo caso, y con independencia de lo anterior, la AEPD ha mantenido su posición y ha dictado en las últimas semanas dos resoluciones contra entidades públicas y privadas que merece la pena comentar, aparte de por su contenido, por la claridad con la que expresan los principios fundamentales con los que debe entenderse el derecho fundamental a la privacidad en el marco del Covid19.
Vamos a analizar a continuación de forma detallada estas dos resoluciones de manera conjunta, explicando cuáles son los principios fundamentales que establece la AEPD y cómo deben, en nuestra opinión entenderse de cara a su aplicación a otros casos.
Los enlaces a las resoluciones son los siguientes:
En el primer caso se revisa la normativa puesta en marcha en 2020 por una Comunidad Autónoma para la identificación y rastreo de posibles contactos que hayan estado en tiendas o establecimientos públicos, no dejando acceder al comercio a quienes no hayan facilitado sus datos. En el otro, se trata de un Ayuntamiento que ofrece en abril 2020 a sus trabajadores la posibilidad de realizar analíticas de anticuerpos. En este segundo caso está asimismo denunciado el laboratorio responsable de las analíticas.
Vamos a ver los distintos puntos agrupados por temas.
EVALUACION DE IMPACTO
La primera actuación que realiza la Agencia en ambos casos es solicitar al reclamado (tanto laboratorio como administraciones públicas) la documentación relativa al caso, y especialmente si se ha efectuado algún tipo de análisis de riesgos o evaluación de impacto.
Nos encontramos con respuestas de diversos tipos:
- Se ha hecho y se aporta.
- No se ha hecho porque no se consideraba necesario.
- En pandemia se puede hacer lo que se quiera.
- No se podía hacer por la situación de pandemia.
- Directamente no se contesta.
Por ejemplo:
«En el contexto del estado de alarma, las pruebas (…) son un instrumento idóneo para evitar el contagio y propagación de la pandemia, siendo esta la finalidad de su practica y su base legitimadora»
«Por razones sanitarias de urgencia o necesidad se ha previsto que las Administraciones publicas y autoridades sanitarias competentes serán quienes deberán adoptar las decisiones necesarias.»
Obviamente la AEPD comienza recalcando que la Pandemia no supone ningún tipo de flexibilización en la normativa.
«Los tratamientos de datos personales en situaciones de emergencia sanitaria, siguen siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y LOPDGDD), por lo que se aplican todos sus principios, contenidos en el artículo 5 del RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, facilitar el rastreo y seguimiento de contactos de casos positivos o sospechosos de COVID-19), principio de limitación del plazo de conservación, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos«
INFORMACION A LOS TITULARES
Aquí es llamativo como la entidad privada, en este caso el laboratorio, intenta en todo momento desligarse de su responsabilidad, indicando que las decisiones correspondían al Ayuntamiento, ya que existía un contrato firmado con él. Ese contrato – por cierto – no existía, era solamente una oferta.
La Agencia deja claro que cualquier entidad privada que intervenga en el proceso de recogida o toma de datos es automáticamente responsable de tratamiento, con independencia de que también lo sea la administración pública, con lo cual dicha entidad privada, en este caso el laboratorio, tiene la obligación de cumplir todos los aspectos normativos dedicados a los responsables del tratamiento.
De esta forma, tanto las administraciones como los privados tienen la obligación de informar a los titulares de los datos de qué datos se están recogiendo. Por qué motivo, con qué plazo, con qué limitaciones, etc. algo que no se hizo en ninguno de los casos.
«En cuanto a la transparencia, este principio establece la obligación de que el responsable del tratamiento adopte las medidas que sean apropiadas para mantener a los interesados —que pueden ser usuarios o clientes— informados acerca de cómo se utilizan sus datos.»
BASE JURIDICA
El siguiente aspecto por el que pregunta la Agencia es la base jurídica para los tratamientos. Aquí de nuevo existen diversas respuestas, pero lo habitual es que las administraciones se agarren bien a que estando en pandemia no es necesario acreditar una base jurídica bien a que directamente esa base jurídica es el interés público.
La AEPD deja claro que esta interpretación es difícilmente compatible con la realidad. Desde el momento en que queda claro que la aportación de datos en ambos casos a las administraciones es voluntaria, no puede entenderse que la causa de legitimación, o base legitimadora, sea el interés público o el cumplimiento de un mandato legal, ya que en ese caso no existiría la voluntariedad. Y desde el momento en que es voluntaria, la única base de legitimación que se puede considerar ese consentimiento.
Ahora bien, tanto la ley como la Agencia han dejado claro en infinidad de ocasiones que el consentimiento debe ser enteramente libre, es decir, que no puede suceder al titular de los datos ningún hecho negativo por el derecho de negarse a facilitarlos. Por lo tanto, y según señala la AEPD, desde el momento en que la Comunidad Autónoma prohíbe la entrada a un local para el caso de que no se presten los datos (la recogida de tales datos requerirá el consentimiento del interesado, sin perjuicio de condicionar el derecho de admisión por razones de salud pública en caso de no poder contar con el mismo) no se puede hablar de consentimiento libre y en consecuencia, esa norma no cumple el RGPD.
«El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. (Considerando 42 RGPD)»
CONFIDENCIALIDAD
El aspecto de la confidencialidad se trata especialmente en lo relativo al Ayuntamiento, ya que el laboratorio enviaba sistemáticamente copia de los resultados completos al Concejal responsable de cada trabajador. Además lo hacía con una alegación manifiestamente desafortunada:
”la persona contratante del servicio debe tener constancia del resultado, por si hay algún caso positivo tomar las medidas pertinentes, por si se diera el caso que el trabajador es un inconsciente y estando el periodo de contagiar a la gente sigue acudiendo al puesto de trabajo“.
La Agencia vuelve a recordar – no debería ser necesario – que el Responsable de Tratamiento no está para hacer juicios morales de lo que es adecuado o no, si que su única obligación es el cumplimiento estricto de la ley.
Asimismo, y en cuanto a la confidencialidad, la Agencia recuerda que el acceso a los datos médicos de los empleados o funcionarios está restringido, en cualquier caso, a los responsables médicos o de prevención de riesgos laborales y que no puede facilitarse a ninguna otra autoridad.
MINIMIZACIÓN
Un comentario final en lo relativo al principio de minimización que la Agencia ya indicaba al principio de este texto como de especial importancia.
Uno de los principales puntos de fricción que han sucedido en estos años ha sido la tendencia de varias de las administraciones públicas a solicitar una ingente cantidad de datos que no siempre estaban justificados con su objetivo o finalidad.
En el caso que nos ocupa estamos ante la situación en que la administración autonómica, con el fin de poder localizar a personas para poder trazar a los positivos, les solicita nombre, DNI, teléfono y una serie de datos adicionales.
La Agencia vuelve a recordar que el principio de minimización de datos obliga a todos las administraciones públicas y que, en consecuencia, solo se pueden solicitar aquellos mínimos que sean imprescindibles por el cumplimiento de su finalidad y que, en el caso que nos ocupa, para poder contactar con una persona que ha estado determinado lugar, basta un número de teléfono sin que tenga sentido solicitar nombre completo o DNI.
Otro aspecto en cuanto al principio de minimización es que en el caso de que sea imprescindible y legal comunicar un dato médico a una administración pública, basta comunicar, por ejemplo, un positivo o negativo, sin que sea preciso indicar todos los datos o parámetros de una analítica.
EN RESUMEN
La Agencia nos recuerda cuál ha sido su criterio desde julio de 2020, cuando publicó su primera instrucción. La pandemia permite tomar las medidas excepcionales necesarias y no impide, en cualquier caso, que las administraciones soliciten o traten datos personales de categoría especial de los ciudadanos, pero ese tratamiento debe ser siempre conforme estrictamente a lo previsto en la ley.