PUBLICIDAD
PUBLICIDAD

La crisis del coronavirus prioriza el derecho a la vida y a la integridad física y moral frente a la protección de datos personales

La AEPD aclara en un reciente informe cómo pueden tratarse los datos relacionados con la salud de los ciudadanos en este tipo de pandemiasEl Gobierno ha declarado el estado de alarma por la epidemia del coronavirus.
|

La excepción confirma la regla en materia de privacidad. En situaciones de emergencia de pandemia como la generada por el coronavirus se puede tratar datos personales sin autorización del interesado en función del interés general.

La Agencia Española de Protección de Datos (AEPD) publicó este jueves un informe en el que analiza el tratamiento de datos personales en relación con la situación provocada por la propagación del COVID-19.

A este respecto destaca que el Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general.

En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.

PUBLICIDAD
PUBLICIDAD

A este respecto el RGPD marca el considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d).

Junto con ellas podría existir otras bases como, por ejemplo, el cumplimiento de una obligación legal para el empleador en la prevención de riesgos laborales de su personal. Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

Los datos de salud están catalogados en el reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. El informe precisa las excepciones recogidas en el art. 9.2. RGPD.

PUBLICIDAD

El derecho a la vida como valor supremo

Marcos Judel, presidente de la Asociación Española de Privacidad (APEP), apunta que la protección de datos personales “sigue siendo un derecho fundamental, pero no podemos olvidar que en estas circunstancias de epidemia, también entran en juego otros derechos fundamentales como el de la vida y a la integridad física y moral”.

A su juicio, “si bien las limitaciones de derechos fundamentales deben ponderarse en base a unos criterios caso por caso, en mi opinión, el de la vida de las personas, prevalece siempre como valor supremo”.

“Aunque esta es una situación extraordinaria, no por ello hay un vacío legal o las normas están desfasadas. Más bien todo lo contrario. Nuestro ordenamiento jurídico es bastante sólido en lo que a protección de intereses sociales se refiere y este tipo de situaciones tienen respuesta”.

PUBLICIDAD

Judel cree que “acierta la AEPD en publicar su informe sobre tratamientos de datos en relación con el COVID-19 para establecer criterios sólidos y claros sobre si en el seno de las empresas y organizaciones se pueden efectuar ciertos tratamientos de datos de los trabajadores en relación a sus datos de salud respecto al coronavirus”.

PUBLICIDAD
Marcos Judel, presidente APEP.

Y advierte que “lo cierto es que se estaba oyendo mucho ruido en este sentido, que provoca confusión en un momento en el que es necesario calma y responsabilidad”.

Este jurista señala que el Reglamento General de Protección de Datos (RGPD) contempla que pueden darse ciertos tratamientos por razón de interés público, para atender a los intereses vitales del interesado u otras personas, o cuando es necesario para el control de epidemias y su propagación”.

Al mismo tiempo destaca que “nuestra normativa nacional también contempla muchas situaciones por las que las empresas pueden tratar esos datos correspondiente a categorías especiales de los trabajadores. Todo ello, lo resume la AEPD en este informe”.

A su juicio “por supuesto, que exista una habilitación para tratar esos datos sin consentimiento y el levantamiento de una prohibición específica, no supone una especie de barra libre de tratamiento de datos de salud”.

PUBLICIDAD

Judel recuerda que “el Informe de la AEPD recuerda que cualquier uso de estos datos debe ser realizado conforme a los fines del RGPD, especialmente transparencia y minimización, así como que se les ha de aplicar las medidas de seguridad y responsabilidad proactiva oportunas y sin que pueda ser usados con otros fines que los de la lucha contra la enfermedad y la protección de la salud pública”.

En este contexto, “creo que es importante llamar a la responsabilidad y solidaridad de todos los agentes implicado. Debemos alejarnos del egoísmo y velar para que el conjunto de la sociedad pueda protegerse y fortalecerse frente a la amenaza, y escudarse en la protección de datos por vergüenza o principios no ayuda a nadie”, añade.

Al final, considera, “los profesionales de la privacidad debemos ayudar a difundir las premisas de la AEPD para ayudar a sanear la desinformación y ruido existente y puede que ayude un poco a cortar la epidemia”.

Guion para actuar frente a crisis sanitaria

Para Miguel Recio, abogado del departamento de TMC de CMS Albiñana & Suárez de Lezo, “se trata de un informe muy relevante ya que ayuda a los responsables del tratamiento a saber cómo actuar en este momento de crisis sanitaria como consecuencia de la pandemia ante la que nos encontramos”.

Este informe “ayuda a identificar la base de legitimación del tratamiento aplicable en cada caso, a tener en cuenta que si bien el derecho fundamental a la protección de datos no es ilimitado establece garantías claras que deben aplicarse a los tratamientos”.

“Dichos tratamientos que pueden llevarse a cabo por las empresas ayudan a saber cómo actuar en casos concretos tales como el relativo a la obligación de comunicar un positivo a otras personas con las que dicha persona física ha estado en contacto, cuando sea por indicación de las autoridades sanitarias competentes”, apunta.

Miguel Recio, de CMS Albiñana.

Para este experto en privacidad “es un informe jurídico que hace una interpretación integradora de la interrelación entre las diferentes normas aplicables y completa por lo que se refiere a identificar los límites del derecho fundamental a la protección de datos”.

Y al mismo tiempo “ayuda a recordar que este derecho sigue siendo aplicable en situaciones como esta, de manera que el responsable del tratamiento tiene que adoptar y aplicar las medidas necesarias para evitar infracciones que podrían ser sancionadas con multas administrativas”.

Resolver dudas a empleadores

Por su parte, Francisco González, “lead advisor” (asesor principal) internacional de Govertis, indica que este informe “llega en un buen momento puesto que se han multiplicado en las últimas horas las preguntas realizadas a las empresas y especialistas en protección de datos en relación con este tipo de tratamientos”.

Este jurista recuerda que “los empleadores tenían dudas sobre si podían tratar datos de salud de contagiados por Covid-19 a los efectos de proveer las medidas de protección oportunas del resto del personal, clientes y proveedores que recientemente hubieran estado en contacto directo con el empleado que ha resultado positivo”.

González señala también que otras de las dudas surgidas están “relacionadas con la obligación del empleado de comunicar al empleador la circunstancia del positivo por coronavirus. No debemos olvidar que el tratamiento de datos personales de salud se encuentra especialmente protegido por el RGPD y para poder tratar esos datos deben cumplirse alguna de las excepciones a la prohibición del tratamiento reguladas en el art 9.2 del RGPD”.

Para este experto, “con buen criterio, la AEPD ha establecido que pueden tratarse esos datos personales por parte del empleador en base a la letra b) del art 9.2 que permite tratar datos de categorías especiales”.

De hecho en ese artículo se indica que “cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los estados miembros o un convenio colectivo con arreglo al Derecho de los estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.

Y ese reconocimiento legal “se encuentra en nuestra normativa vigente de prevención de riesgos laborales de la que se desprende “un deber del empresario de protección de los trabajadores frente a los riesgos laborales, para lo cual el empresario deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo”, aclara.

También González señala que la AEPD deja claro que “así corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario”.

Francisco González Calero, asesor principal internacional de Govertis.

“Todo ello lleva acertadamente a determinar a la AEPD que el trabajador está obligado a notificar a su empleador la circunstancia del positivo no solo para garantizar su seguridad y salud, sino también la de sus compañeros”.

A juicio de Francisco González “es de vital importancia que los empleadores emitan comunicados a sus trabajadores en los que se les recuerde que la comunicación de los positivos por coronavirus viene derivado del cumplimiento de una obligación legal”.

“Hablamos de una situación excepcional porque La declaración de estado de salud de los trabajadores sistemáticas e indiscriminadas ‘a priori’ no pueden ser realizadas porque se incumpliría el RGPD”.