La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19. El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general. En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.
El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.
Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. El informe precisa las excepciones recogidas en el art. 9.2. RGPD:
- El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
- El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
- Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
- Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).
Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
En materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado a las autoridades sanitarias de las distintas AAPP las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad. Desde un punto de vista de tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria.
Así, serán las autoridades sanitarias de las distintas AAPP quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud.
Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.
Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.