Protección de datos y COVID-19

En la situación de crisis sanitaria que actualmente estamos viviendo nos planteamos qué sucede en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus Covid-19. Al respecto, la Agencia Española de Protección de Datos ha emitido un informe jurídico (núm. 017/2020) en el que resuelto la cuestión.

Lo primero que destaca es que, con carácter general, la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, ya que no existe ninguna razón que determine la suspensión de derechos fundamentales, ni esta medida ha sido adoptada.

Ahora bien, hay que comentar que la propia normativa de protección de datos personales (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos (en adelante, RGPD), contiene las reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general.

por lo tanto , en aplicar los preceptos previstos para los casos de emergencia sanitaria en el RGPD, en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos, dentro de los límites previstos por las leyes, no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adoptan las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, ya que la normativa de protección ó de datos contiene una regulación para estos casos que compatibiliza y pondera los intereses y derecho de acuerdo con el bien común.

El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basado tanto en el interés público, como en el interés vital del interesado u otra persona física . Por lo tanto, como base jurídica para que un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, el RGPD reconoce explícitamente dos: la misión realizada en interés público (art.6.1.e) o intereses vitales de interesado u otras personas físicas (art. 6.1.d), lo que supone por extensión que estas personas físicas pueden ser incluso no identificadas o identificables. Es decir, la base jurídica del interés vital puede ser suficiente para los tratamientos de datos personales dirigidas a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde un punto de vista de tratamiento de datos personales, en la forma más amplia posible, las medidas adoptadas a este fin, incluso aunque se dirijan a proteger en principio a personas físicas no identificadas o identificables, ya que los intereses vitales de estas personas físicas deberán ser salvaguardadas y esto es reconocido por la normativa de protección de datos personales.

Ahora bien, en cuanto al tratamiento de los datos de salud no es suficiente en que exista una base jurídica del arte. 6 RGPD, si no que de acuerdo con el art. 9.1 y 9.2 RGPD debe existir una circunstancia que levante la prohibición del tratamiento de esta categoría especial de datos (entre ellas, datos de salud). Y estas circunstancias se encuentran en varios epígrafes del artículo 9.2 RGPD, por ejemplo, interés público esencial, interés público calificado “en el ámbito de la salud pública”, cuando el tratamiento sea necesario para realizar un diagnóstico médico o cualquier otro tipo de asistencia sanitaria, entre otros, que permitirían el tratamiento de datos de salud.

En consecuencia, en una situación de emergencia sanitaria, es preciso tener en cuenta que la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de las obligaciones legales o la salvaguarda de los intereses esenciales en el ámbito de la salud pública. Pero hay que tener en cuenta que los responsables del tratamiento, al estar actuando para salvaguardar estos intereses, deberán actuar conforme a lo que las autoridades establecidas en la normativa del Estado miembro correspondiente, en este caso, España, establezcan.

Así, el legislador español ha dotado de las medidas legales necesarias oportunas para afrontar a situaciones de riesgo sanitario en la ley orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública (Modificada por el Real Decreto-ley 6/2020) o la ley 33/2011, de 4 de octubre, General de Salud Pública. De estas leyes se extrae que serán las autoridades sanitarias competentes de las diferentes administraciones públicas que deberán adoptar las decisiones necesarias para salvaguardar los intereses esenciales en el ámbito de la salud pública en situaciones de emergencia de salud pública. Y los responsables del tratamiento deberán seguir las instrucciones de estas, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas.

Por tanto, del informe se concluye que los tratamientos de datos personales en estas situaciones de emergencia sanitaria deben ser tratadas de conformidad con la normativa de protección de datos personales (RGPD y ley orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y Garantía de los derechos digitales (LOPDGDD), por el que se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personal con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales / esenciales de las personas físicas), principio de exactitud y, por supuesto, el principio de minimización de datos. Por lo tanto, los datos tratados deberán ser exclusivamente los necesarios para la finalidad pretendida. Y hay que tener cuenta que la propia normativa de protección de datos establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y / o vitales de las personas físicas, se podrán tratar los datos de salud necesarias para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.