Categorías
Privacidad Reglamento Europeo 2016/679

¿La protección de datos impide o ayuda a luchar contra el coronavirus?

– Información al lector – tiempo aproximado de lectura: 10 minutos

El derecho a la protección de datos es un derecho fundamental, denominados de la tercera generación. Los de primera generación son: derecho a la vida, libertad, a la propiedad, al voto, a la huelga, etc … Los de segunda generación: derecho a la salud, a la educación, al trabajo, a la vivienda, etc …Los de tercera generación: a la paz, al medio ambiente, al desarrollo, etc …

Cuando surge una emergencia como la actual pandemia por el virus COVIT-19 (coronavirus) he oído, de personas, responsables y – lo más preocupante – de algunos compañeros que se dedican a la protección de datos: “¿La protección de datos personales? eso ahora mismo no es lo importante.”

¿Los derechos de primera generación como el derecho a la vida y los de segunda generación como el derecho a la salud, están por delante del derecho de tercera generación el derecho a la protección de datos?

¿La protección de datos personales es algo que estorba e impide el ejercicio de los demás derechos sobre todo al importante derecho a la salud de todos?

La correcta función del derecho fundamental a la protección de datos de carácter personal

La normativa de protección de datos personales protege todos los derechos de las personas (no solamente el derecho a la intimidad) y en este caso, sobre todo en este caso, coadyuva y está al servicio de la protección del derecho a la salud y por ende a la protección del derecho a la vida.

El Considerando 4 del RGPD nos dice que:

“El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados […]”

La Agencia Española de Protección de Datos ha emitido su informe N/REF 017/2020 en relación a una consulta planteada:

La normativa de protección de datos personales se aplica con normalidad al tener previsto este supuesto de tratamiento ante esta circunstancia de emergencia sanitaria de alcance general. La normativa de protección de datos no impide ni obstaculiza las medidas adoptadas por las autoridades, especialmente las sanitarias, en lucha contra la epidemia, sino que compatibiliza y pondera los intereses y derechos de todos para el bien común.

En este supuesto se tratarán datos personales identificativos y relativos a la salud (categoría especial de datos) sin consentimiento del interesado siempre y cuando se cumplan determinados requisitos legales y de medidas de seguridad.

He destacado “el consentimiento del interesado” pues la mayoría de personas y muchos profesionales todavía sufren de las consecuencias de la pesada carga que nos impuso la anterior LOPD (la Ley Orgánica 15/1999) que lo centraba todo o el consentimiento del interesado o en el cumplimiento estricto de una obligación legal que lo permitiera …

El considerando 46 del Reglamento-UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos – RGPD) nos explica que la base de tratamiento en una situación excepcional (mencionando expresamente el control de una epidemia y su propagación) será el interés público y el interés vital del interesado u otra persona.

El considerando 54 del RGPD también nos indica que puede realizarse tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, por ser necesario por razones de interés público en el ámbito de la salud pública, con sujeción sujeto a medidas adecuadas y específicas para proteger los derechos y libertades de las personas.

Más específicamente el RGPD regula las bases jurídicas de tratamiento y en el supuesto que contemplamos se aplicarían las siguientes:

Artículo 6.1.e): misión realizada en interés público

Artículo 6.1.d): interés vital del interesado o de otra persona

Artículo 6.1.c): cumplimiento de una obligación legal

En relación al cumplimiento de obligaciones legales hay que distinguir por un lado las obligaciones establecidas en la Ley de Prevención de Riesgos Laborales y por otro lado Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, Ley 33/2011, de 4 de octubre, General de Salud Pública, el Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la Red Nacional de Vigilancia Epidemiológica y el reciente Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19.

Específicamente para los datos de salud de los trabajadores se aplicaría el artículo 9.2 b): tratamiento necesario para el cumplimiento de obligaciones laborales

Artículo 9.1 y 9.2: circunstancias que permita el tratamiento de datos de salud

Artículo 9.2 g) y 9.2 i): interés público esencial e interés público en el ámbito de la salud pública (se menciona expresamente la protección frente a amenazas transfronterizas graves para la salud)

Articulo 9.2 h): realización de un diagnóstico médico, evaluación de la capacidad laboral o cualquier tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social.

¿Os habéis dado cuenta que conforme al RGPD todavía no he mencionado que hiciera falta el consentimiento de los interesados para tratar o comunicar sus datos? Para un “leopedero” (mención “cariñosa” que suelo realizar a los que en su mente y razonamientos todavía continúan con las duras y rígidas directrices de la LOPD anterior) la protección de datos impediría tratar la situación actual de emergencia sanitaria y por ello habría que obviarla o no tenerla en cuenta.

El ámbito laboral: protección de los trabajadores.

En el ámbito laboral existe un responsable del tratamiento de los datos que es el empleador, que trata los datos de sus empleados, que son los interesados (los titulares de los datos personales).

El motivo y la razón principales por la que puede tratar datos relativos a la salud en consideración al control de esta pandemia es su obligación legal de garantizar la seguridad y salud de los trabajadores. Así, la base principal para el tratamiento de los datos personales (insisto, sin consentimiento del interesado) es el artículo 9.2 b): tratamiento necesario para el cumplimiento de obligaciones laborales, en este caso las establecidas en la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (LPRL)

La LPRL establece en el artículo 14 y concordantes el deber del empresario de protección de los trabajadores frente a riesgos laborales, deber de garantizar la seguridad y salud de todos los trabajadores y en su artículo 29 determina las obligaciones de los trabajadores en materia de prevención de riesgos, según sus posibilidades, mediante el cumplimiento de medidas de prevención que se adopten, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar, de conformidad con su formación y las instrucciones del empresario.

Estas instrucciones del empresario consistirán en informar de inmediato a su superior jerárquico directo, o en su caso al servicio de prevención interno o externo, de cualquier situación que a su juicio entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores, y asimismo contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente y cooperar con el empresario para que pueda garantizar unas condiciones de trabajo seguras y que no entrañen riesgos para la seguridad y la salud de los trabajadores.

Los responsables de los tratamientos deberán seguir las instrucciones de las autoridades sanitarias competentes incluso cuando ello suponga un tratamiento de datos personales (identificativos y de salud) de personas físicas. Se pueden tratar los datos cuando es necesario comunicar a otras personas con las que dicha persona ha estado en contacto las circunstancias del contagio de ésta, se  salvaguarda así a estas personas de la posibilidad de contagio (intereses vitales de las mismas) y para evitar que dichas personas por su desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).

Así pues, se pueden tratar los datos personales y de salud del interesado y también de las personas con las que haya tenido contacto con el virus o permanecido en áreas de consideradas de riesgo.

El ámbito social: protección de los ciudadanos.

Los empresarios, además, deben seguir las obligaciones impuestas para los ciudadanos en general conforme a la normativa sobre salud pública.

Por un lado tenemos la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, que en su artículo 3 determina que para el control de enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

También la Ley 33/2011, de 4 de octubre, General de Salud Pública establece en sus artículos 5 y 84 la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades por parte de las autoridades sanitarias de las distintas administraciones públicas para salvaguardar intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública.

Y por último, el Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la Red Nacional de Vigilancia Epidemiológica establece en su artículo 9 las enfermedades de declaración obligatoria bajo sospecha médica (en este caso en concreto, el Anexo I, punto 23. Gripe/Gripe humana por un nuevo subtipo de virus).

Las medidas con el fin de controlar las enfermedades transmisibles consistirán además de realizar las acciones preventivas generales, adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible. Por ello, se pueden tratar datos de los interesados y de las personas que indiquen los interesados (por sospecha de contacto con el virus).

¿Qué debe realizarse conforme a la normativa de protección de datos?

Una vez aclarado que se pueden tratar datos de las personas sin su consentimiento, el RGPD establece las medidas oportunas de seguridad y responsabilidad proactiva (artículos 24 y 32)

La medida principal ha de ser la informativa resaltando el principio de transparencia (artículo 5.1.a del RGPD) y el de exactitud (artículo 5.1.d del RGPD)

En relación a la seguridad deben establecerse medidas técnicas y organizativas que garanticen la restricción del acceso a la información y durante el tiempo estrictamente necesario (periodo que dure la emergencia sanitaria). Aquí estamos empleando la limitación de la finalidad y minimización (artículo 5.1 letras b y c del RGPD) ya que toda esta información solamente se podrá tratar para esta circunstancia y posteriormente se destruirá. También ha de impedirse la posibilidad de que sea cedida a terceros para otras finalidades.

De igual forma y en relación directa con el estado de alarma, el considerando 60 del RGPD determina que si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran y el artículo 13.2 e) especifica que si la comunicación de datos personales es un requisito legal y el interesado está obligado a facilitar los datos personales ha de estar informado de las posibles consecuencias de que no facilitar tales datos.

En este supuesto la normativa de protección de datos coadyuva a la normativa excepcional de protección de la salud ya que las consecuencias de no proporcionar la información pueden acarrear sanciones a los ciudadanos.

¿Qué medidas técnicas y organizativas debe realizar el responsable del tratamiento?

En primer lugar, informar a los interesados y si es posible a los terceros afectados. Aporto un modelo de clausula informativa:

Le informamos que los datos que nos ha proporcionado relativos a situación de riesgo de contagio del virus Covit-19 (coronavirus) ya sean sus propios datos o de las personas con las que ha estado en contacto, serán tratados de forma confidencial y reservada.

La información se comunicará a los servicios médicos y de prevención para actuar de conformidad con los protocolos establecidos por las autoridades sanitarias, siendo esta la única finalidad del tratamiento de estos datos.

Estos datos se conservarán únicamente durante el periodo de emergencia sanitaria.

Está obligado a prestar dicha información por la diligencia y colaboración debidas en la prestación del trabajo que marcan las disposiciones legales y las instrucciones adoptadas por el empleador según determina el Estatuto de los Trabajadores, pudiendo incurrir en un incumplimiento de carácter laboral.

Las bases legales para solicitarle estos datos y realizar su tratamiento y su comunicación son: la protección del interés vital de las personas, el cumplimiento legal de lo establecido en la Ley de Prevención de Riesgos Laborales y el interés público esencial en el ámbito de la salud publica frente a amenazas graves para la salud.

Puede ejercitar sus derechos de acceso, rectificación, supresión o limitación ante (Delegado de Protección de Datos o departamento asignado)

Así mismo, se deben garantizar las medidas que aseguren que el tratamiento sea solamente para esa finalidad, que acceda solamente el personal adecuado, reforzando su deber de confidencialidad y secreto, y también para asegurarse la destrucción de la información una vez finalizada la situación de emergencia.

Conclusiones

Como he intentado exponer la normativa de protección de datos no sólo no obstaculiza sino todo lo contrario, ayuda de muchas formas a una situación de emergencia para salud, y además con la más importante: informando …

[Tweet «¿La protección de datos impide o ayuda a luchar contra el coronavirus?»]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *