Tener coronavirus, o haber tenido coronavirus, es un dato de salud, y por tanto, una de las categorías especiales de datos. 

Además, tener coronavirus es una enfermedad de “declaración obligatoria urgente” a las autoridades sanitarias.

Desde la declaración del estado de alarma en nuestro país, han sido múltiples las cuestiones que se han planteado en relación con el tratamiento de datos de positivos por COVID-19, quedando todavía pendientes algunas cuestiones que deberían ser resueltas, para evitar futuras situaciones de incertidumbre.

Trazabilidad de contactos por coronavirus

El Real Decreto-ley 21/2020 prevé que:

“establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada” están obligados a proporcionar la “información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas”.

Es importante tener en cuenta que se trata de una obligación exigible cuando “las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos”, lo que implica que los datos mínimos necesarios sean comunicados a las autoridades sanitarias, para la finalidad indicada.

Sobre el tratamiento de datos personales por establecimientos, podrían darse las siguientes situaciones:

  • Cumplimiento de las obligaciones de la empresa para garantizar la seguridad y salud de los trabajadores, o en virtud de una ley que establezca esta obligación de obtención y/o comunicación de datos a las autoridades sanitarias.
  • Hacer un seguimiento adecuado de la evolución de los contagios, y de la obligación de tomar datos y cederlos a las autoridades sanitarias.

Por lo que se refiere a justificar la legitimidad de la medida, consistente en la identificación de clientes “deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse”.

Para mayor información sobre la base del tratamiento, te aconsejo que leas este artículo:

Recogida de datos personales por establecimiento

En la recogida de datos personales de clientes que acuden a establecimientos, y con la finalidad de poder notificar posibles contactos con positivos en coronavirus, la AEPD ha dicho que:

  • Respecto a la naturaleza de los datos personales tratados para crear el registro de clientes: debe exponerse claramente la base de legitimación del tratamiento, y la licitud del tratamiento, atendiendo a los principios esenciales que legitiman el tratamiento de los datos personales.
  • Los datos personales que se obtienen de los clientes para crear el registro no son datos relativos a la salud, ya que de lo que se trata es de tener datos de contacto para, si fuera necesario, poder notificarles que han podido estar expuestos a un caso positivo.
  • Los datos que se recogen “no son catalogados en el RGPD como «categorías especiales de datos»”. Es decir, no son datos relativos a si se está o no contagiado, sino que se recogen para poder comunicar posibles contactos, con personas que sí han dado positivo en coronavirus
  • La licitud del tratamiento parte de la necesidad de crear el registro de clientes, ciñéndose en este caso a los locales de ocio, dado que son en los que se centraban las iniciativas públicas.
  • Es necesario cumplir con la legitimidad del tratamiento.

Las apps de “rastreo

Las denominadas apps de “rastreo de contactos”, que consisten en notificar sobre la posible exposición a positivos por COVID-19, son un claro ejemplo de cómo la tecnología puede ayudar en situaciones como esta.

Cabe prestar atención al dictamen de la Information Commissioner´s Office (ICO) sobre la iniciativa conjunta de Apple y Google que consiste en crear apps de rastreo de contactos, y que intercambian información entre dispositivos, a través de Bluetooth de baja energía.

Actualmente se trata de dar soporte al desarrollo de apps que protegen la identidad de los usuarios.

En cualquier caso, tanto el presente como el futuro, debe ser el de una innovación y cooperación responsables en materia de protección de datos, guiadas por la protección de datos desde el diseño y por defecto, y que se desarrollen en un marco flexible, es decir, capaz de dar respuesta a los retos y necesidades que se plantean.

Curriculum vitae y coronavirus

AVISO a EMPRESAS:

“Cuidado con los C.V. donde el candidato informe de que ha pasado el coronavirus o tiene test de anticuerpos, porque habría que cambiar el protocolo de seguridad de la protección”.

AVISO A SOLICITANTES DE EMPLEO:

“No incluyáis ese dato porque os podéis descalificar de entrada”.

Conclusiones

La pandemia por coronavirus ha demostrado que:

  • “el derecho a la protección de los datos personales no es un derecho absoluto” (considerando 4 del RGPD).
  • que el tratamiento de los datos personales puede ser necesario por motivos importantes de interés público “para fines humanitarios, incluido el control de epidemias y su propagación” (considerando 46 del RGPD)
  • y que la clave está en “mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad” (considerando 4).

Es decir, ni el derecho fundamental a la protección es un derecho absoluto o ilimitado, ni toda medida que pueda adoptarse para contener la pandemia está justificada, si infringe derechos fundamentales, y en particular, el derecho a la protección de datos personales.