En primer lugar habrá que indicar que exclusivamente las administraciones públicas, y en este caso las que tienen competencias para la gestión de la epidemia, podrán tratar nuestros datos, incluidos los de salud, para realizar las iniciativas y actividades pertinentes con el fin de gestionar la crisis sanitaria sin la necesidad de consentimiento del afectado.
Para todas las demás aplicaciones de iniciativa privada, se estará a lo dispuesto en la normativa de protección de datos, incluyendo lo relativo a los datos especialmente protegidos y a la legitimación del tratamiento.
En este caso, la AEPD ha emitido un informe reforzando la idea del párrafo anterior (2020/17) basándose, entre otros artículos y considerandos, en el Considerando 46:
“…
(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
…”
Analizando dicho informe en toda su extensión se llega a la conclusión de que las autoridades sanitarias podrán tratar los datos de salud de los ciudadanos sin su consentimiento e informando según especificaciones del RGPD. Pero, dicho lo anterior, me interesa recalcar el último párrafo en el que hay un “aviso a navegantes” que creo necesario señalar y que hace referencia al considerando 54:
“…
El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.
…”
Es especialmente inquietante pensar que cuando todo esto acabe, se va a generar una gran base de datos de ciudadanos con datos sensibles asociados a otros identificativos y geográficos por los que grandes corporaciones podrían pagar unas cantidades de dinero realmente cuantiosas. Imaginad una empresa de seguros conociendo los datos de salud, familiares y de ubicación para realizar acciones comerciales en una determinada área geográfica.
Es por ello por lo que los profesionales que nos dedicamos a la protección de datos, así como las Administraciones Públicas y las instituciones que se encargan de velar por el cumplimiento de la normativa, debemos estar atentos a los movimientos que se produzcan durante y después de estos momentos difíciles con el objeto de que se legitimen todos y cada uno de los tratamientos surgidos de esta crisis.
Respecto al tratamiento de datos referentes al COVID-19 de los trabajadores, también la AEPD ha emitido un documento de Preguntas Frecuentes en el que se pueden consultar las dudas al respecto por parte de las empresas. Me he permitido hacer un resumen de las mismas a modo de respuestas concisas:
¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?
Sí, pero respetando el principio de minimización del dato (no realizar test extensos de salud).
¿Pueden transmitir esa información al personal de la empresa?
No (sin personalizar), excepto cuando la autoridad sanitaria competente así lo indique.
¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?
Sí, pero respetando el principio de minimización del dato (ceñirse a últimos movimientos, contacto con contagiados, etc..)
¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?
Sí, teniendo en cuenta los principios de minimización, limitación de la finalidad y minimización de la conservación.
En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?
Sí, tanto al empleador como al servicio de prevención.
¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?
Sí, teniendo en cuenta los principios de minimización, limitación de la finalidad y minimización de la conservación.
En otro orden de cosas es preocupante la cantidad de bulos que circulan por Internet respecto a la epidemia. En lo que se refiere a protección de datos, el más llamativo es un whatsapp en el que aparece que el Gobierno va a controlar todos nuestros movimiento digitales y físicos, y que por supuesto, no tiene nada de cierto: recordad que como decimos más arriba, únicamente las autoridades sanitarias podrán tratar nuestro datos únicamente para la gestión del virus. En los demás casos, sigue totalmente aplicable la normativa de protección de datos.
Por último y no menos importante, habrá que concienciar a la ciudadanía para evitar ciberataques basados en la vulnerabilidad que supone la situación que estamos pasando. Para ello, siempre recomendamos consultar a expertos en la materia y seguir las indicaciones e instrucciones tanto de las Fuerzas y Cuerpos de Seguridad del Estado como del INCIBE.