Tratamientos de datos en relación con el COVID-19
- Verónica Ruiz del Olmo
- 12 sept 2020
- 6 Min. de lectura
Como ya comente en el post anterior, hace un par de semanas participe como alumna en unas sesiones online organizadas por el Consejo General del Trabajo Social. Esta charla llevaba por titulo: "Claves desde el Trabajo Social para la intervención de rastreadores frente a la COVID-19".
Esta ponencia fue la que mas me llamo la atención y se me hizo corta. Así que he decidido buscar un poco mas de información y compartirla.
Como todos sabemos, las Comunidades Autónomas a través de los "rastreadores" se ponen en contacto con personas que han podido estar en contacto con un posible positivo.
El ponente comentaba que la principal herramienta del personal de rastreo son las preguntas, obviamente, después de comunicar desde donde llama, identificarse y la finalidad. Preguntas cerradas y abiertas.
Con esta información se pasa a catalogar las respuestas en bases de datos y tomar decisiones de prueba PCR, confinamiento y/o aislamiento.
La Agencia española de protección de datos ha publicado un Informe sobre los tratamientos de datos en relación con la COVID-19.
En el informe nos dice que el Reglamento General de Protección de Datos (en adelante RGPD) permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública.
El RGPD contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general.En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.
Dicho RGPD en su Considerando 46 establece: "El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano."
En otras palabras, se reconoce explícitamente como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e:"el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento") o los intereses vitales del interesado u otras personas físicas (art. 6.1.d:"el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física"), sin perjuicio de que puedan existir otras bases. Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.
Entre otros, el art. 9.1 RGPD, establece que los datos relativos a la salud esta catalogado como "Categoria especial de datos personales", sin embargo, el art. 9.2 RGPD establece las excepciones al articulo anterior.
En otras palabras, los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la propia normativa.
Estas excepciones están recogidas en el art. 9.2. RGPD:
El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).
Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala en su tercer articulo: “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.En materia de riesgo de transmisión de enfermedades, epidemia, pandemia, crisis sanitarias etc., la normativa aplicable ha otorgado a las autoridades sanitarias de las distintas Administraciones Públicas las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad.Desde un punto de vista de tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria.
Así, serán las autoridades sanitarias de las distintas Administraciones Publicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud.
Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.
Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos.
Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Ley 33/2011, de 4 de octubre, General de Salud Pública.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública.
Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.
https://www.boe.es/buscar/doc.php?id=BOE-A-2020-5895
Informe sobre los tratamientos de datos en relación con la COVID-19
Blog GOVERTIS: Covid-19 y protección de datos:cuestiones y soluciones practicas
https://www.govertis.com/covid-19-y-proteccion-de-datos-cuestiones-y-soluciones-practicas
Edutedis: ¿es mas importante la privacidad o la salud pública?
Blog Telos: la protección de datos en la lucha contra el coronavirus
https://telos.fundaciontelefonica.com/la-proteccion-de-datos-en-la-lucha-contra-el-coronavirus/
Comments