La actual situación de pandemia por #Covid-19 también afecta a la protección de nuestros datos personales. Y esto nos hace plantearnos multitud de preguntas.

¿Se pueden tratar nuestros datos sin nuestro consentimiento? ¿El interés común en beneficio de la salud, está por encima del individual? ¿Si nuestra vida está en riesgo, nos tienen que solicitar el consentimiento? ¿Podrán utilizar mis datos para posteriores estudios epidemiológicos? ¿Se requiere de una especial protección para datos de salud? o ¿Se puede facilitar o dar el nombre de personas contagiadas?

Multitud de preguntas de este tipo relacionadas con la protección de datos personales, nos pueden asaltar en un momento como el actual. Y lo cierto es que no sabemos cómo responder. Porque la verdad, es que no todo vale.

earth-2254769_1920.jpg

No se puede permitir que se aprovechen de la actual situación para recabar datos que posteriormente pueden ser utilizados para desarrollar dispositivos inteligentes y lograr un beneficio empresarial. Cosa diferente sería que esos mismos datos se utilicen por universidades y centros de investigación para crear vacunas, patrones de comportamiento de las poblaciones y predecir nuevos brotes de la infección…, o en un caso extremo, que no se atienda a un paciente en estado grave, porque no da su consentimiento para el tratamiento de sus datos. Muy probablemente esta persona no esté en una situación de consciencia que le permita darlo y lo prioritario sea su vida.

Bueno por poco a poco. Disponemos de un sistema legal que ofrece garantías tanto a nivel individual como colectivo y ello implica una responsabilidad jurídica, para quien de forma consciente o por desconocimiento utilice o publique datos de carácter personal. Pero también un coste social para quien burle el cuadro normativo para lucrase o beneficiarse. El Reglamento General de Protección de Datos (RGPD) establece los principios que deben regir en este sentido dentro de la Unión Europea y para sus ciudadanos.

el RGPD abre la puerta al tratamiento de datos que considera de categorías especiales.

En la situación de emergencia actual, el RGPD abre la puerta al tratamiento de datos que considera de categorías especiales, entre otros supuestos, cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; cuando es necesario por razones de un interés público esencial; cuando es necesario para fines de medicina preventiva o laboral, el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud.  Pero no nos confundamos, que abra la puerta, no quiere decir barra libre. Las entidades de control, deben velar porque el tratamiento se realice dentro del apoyo e impulso de la investigación, el desarrollo, la innovación…, pero también garantizando que se respeten los derechos fundamentales y no se vea atacada la dignidad de las personas.

En España uno de los efectos colaterales del Covid-19, ha sido el incremento exponencial de la digitalización y el teletrabajo, abriendo de la noche a la mañana la puerta al ciberespacio y a nuestra intimidad digital, tanto de compañeros, clientes, empresas, administraciones, pero también a ciberdelincuentes, a proveedores de servicios de internet que no solo nos dan los servicios solicitados sino que también recogen nuestros datos de forma masiva. Datos de comportamiento en diferentes web’s, horas de conexión, desde donde, con quien, para qué, con qué medios… y así una infinidad de datos que entrarán a formar parte del Big Data, y que nos sorprendería con que exactitud pueden generar perfiles sobre nosotros.

El RGPD, establece que los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. Y vigilar que esto sea así.

La Agencia Española de Protección de Datos, se ha pronunciado al respecto. El pasado 26 de marzo de 2020, publicaba un comunicado sobre apps y webs de autoevaluación del Coronavirus, recordando los criterios que deben aplicarse para que el tratamiento de los datos personales de salud sea lícito.

La AEPD de forma literal indicaba que: “Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes facilitándoles criterios que permitan compatibilizarlos.” (Acceso al comunicado: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad)

De modo resumido marca los siguientes criterios:

  • Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia.
  • Los datos que pueden obtenerse y utilizarse han de ser los que las autoridades públicas competentes consideren proporcionados/necesarios para cumplir con dichas finalidades.
  • Estos datos sólo podrán ser facilitados por quienes sean mayores de 16 años. En el caso de tratar datos de menores de 16 años, se requeriría de la autorización de sus padres o representantes legales.
  • Únicamente podrán tratar dichos datos las autoridades públicas competentes para actuar conforme a la declaración del estado de alarma.
  • Las entidades privadas que colaboren con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados.

Ojo, si facilitamos los datos a aplicaciones, webs…, de las que no son titulares las autoridades públicas, sino que son ofrecidos por entidades o personas privadas, no existirá la legitimidad que se ha indicado anteriormente para el tratamiento de los datos.

En cuanto a la geolocalización de personas desde sus dispositivos móviles, la cosa se complica, en cuanto a que datos se deben facilitar en ambos sentidos.

iphone-410324_1920.jpg

 En el estado de alarma, donde las autoridades amplían sus competencias, se limitan derechos…, no es sencillo marcar la frontera. Ya que puede venir dada por una obligación impuesta por las autoridades sanitarias con el fin de evitar la propagación del virus y controlar la limitación de los desplazamientos. Y solicitar la autoridad a los operadores de telefonía que faciliten los datos de localización.  A lo cual no se podrían negar estas. ¿Pero si se solicitan datos de navegación, conexiones con terceros, redes sociales…? Pues personalmente creo que estos datos poco tienen que ver con la gestión de la pandemia, cruzando la frontera del interés público esencial, la salud pública, en definitiva, de lo indicado en RGPD en su artículo 9. Y pudiendo invadir el espacio de ideología política, creencias religiosas, etc.

¿Pero, qué datos deben trasladar a las operadoras las autoridades? La Agencia marca como criterio que el único dato que a los efectos de la geolocalización debería facilitarse  a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad.

Y marca que en todo caso, quienes pretendan obtener y tratar los datos de los ciudadanos deberán informarles de forma clara, accesible y fácilmente comprensible de todos los aspectos que se han descrito.

Otro punto de fricción es si se debe dar el nombre o no de infectados por el virus. Hay quien por ejemplo,  quiere saber si sus vecinos están infectados y que se diga públicamente. Estando esto prohibido por la LOPD. Otra cosa que de forma voluntaria y pública el afectado quiera hacerlo. Como están haciendo personajes públicos o políticos.

En el espacio laboral, la regla no sería esta. El afectado tiene la obligación de comunicarlo a su empresa para que esta implemente las medidas de prevención de riesgos laborales necesarias para la protección del resto del personal. Aquí prima la seguridad, el interés general y salud pública para evitar la propagación de la enfermedad. Eso sí, la empresa debe evitar publicar el nombre. Deberá establecer medidas de control y seguridad, evitando dentro de lo posible y en todo momento revelar la identidad del afectado.

En esta situación como en otras, siempre se debe esperar y apelar al buen hacer y conciencia de las personas. Pero también a la responsabilidad de Estados, gobiernos, administraciones, autoridades, empresas….

Autor: Juan Andrés Alemany

Relacionado con nuestros datos y la sanidad, la AEPD publicó una guía en la que recoge los derechos de protección de datos de los pacientes y usuarios de la sanidad.  Ver

Fuente de Imágenes https://pixabay.com: earth-2254769_1920; iphone-410324_1920

Leave a comment

Tu dirección de correo electrónico no será publicada.

A %d blogueros les gusta esto: