El incremento de rebrotes de coronavirus ha llevado a algunas comunidades autónomas a imponer el registro de clientes en locales de ocio, restaurantes, hoteles y peluquerías con la finalidad de facilitar el contacto en caso de posibles contagios.
La Agencia Española de Protección de Datos (AEPD) asegura que «en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada«.
De hecho, añade, incluso, que «no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos».
Así lo explica en un comunicado en el que recuerda que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el Reglamento General de Protección de Datos (RGPD) como “categorías especiales”.
Señala también que teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos «tiene que establecerse por una norma con rango de ley«.
La base jurídica sería, subraya, con carácter preferente, el artículo 6.1.e) del RGPD que establece que “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.
Número, fecha y hora son suficientes
Protección de Datos resalta que, de acuerdo con el principio de minimización, «podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar».
Este criterio, agrega, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia.
Asimismo, «debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos solo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación».
Los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley.
