Covid-19 y tratamiento de datos personales. Informe de la AEPD

La normativa de protección de datos personales salvaguarda un derecho fundamental que, en estos días convulsos, no ha sido objeto de limitaciones por parte de las autoridades del Gobierno de España y que, por lo tanto, sigue aplicándose en su integridad. No obstante, y dicho esto, la propia norma contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones excepcionales como la presente, en la que existe una emergencia sanitaria de alcance general que no puede encontrar en las consideraciones relacionadas con la protección de datos, un obstáculo para limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia.

Así pues, el articulado del RGPD contempla dar la mayor libertad posible a los responsables del tratamiento de los datos en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, siempre dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable.

BASE JURÍDICA

El Considerando 46 del RGPD reconoce que, en situaciones excepcionales como una epidemia, la base jurídica de los tratamientos puede fundamentarse tanto en el interés público (art. 6.1.e) como en el interés vital del interesado u otra persona física (art. 6.1.d):

 “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

 De una manera más detallada:

1. El art. 6.1, letra d) hace referencia a que el interés vital puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales y en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables.
2. El art. 6.3 RGPD no establece la necesidad de que la base del tratamiento por razón de interés vital haya de ser establecida por el Derecho de la Unión o el Derecho de los Estados Miembros aplicables al responsable del tratamiento, pues dicho apartado se refiere exclusivamente a los tratamientos establecidos para el cumplimiento de una obligación legal o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, ambas referidas en las letras c) y e) de dicho artículo 6 RGPD, pero no para los tratamientos incluidos en la letra d).

CIRCUSTANCIAS ESPECIALES

Sin embargo, para el tratamiento de datos de salud no basta con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD, ha de existir una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos (entre ellos, datos de salud).

La Agencia Española de Protección de Datos (AEPD) entiende que dichas circunstancias cabe encontrarlas en los siguientes epígrafes del art. 9.2 RGPD:

1. En la letra b), según la cual:
   1. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (el empleador) o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
   2. el empleador está sujeto o a la normativa de PRL, de la cual se desprende un deber del empresario de protección de los trabajadores frente a los riesgos laborales y de garantizar su seguridad y salud en los aspectos relacionados con el trabajo.
   3. también corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario. Ello se concreta en que:
      • deberán de informar de inmediato a su superior jerárquico directo y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores;
      • contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo y cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores.

En el ámbito de la situación actual derivada del Covid-19 todo lo anterior supone que el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo y para que se puedan adoptar las medidas oportunas. El empleador deberá tratar dichos datos conforme al RGPD, debiendo adoptarse las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (art. 32 RGPD).

2. En las letras g) e i), que pueden ser examinadas conjuntamente ya que ambas hacen referencia a un interés público, el primero de ellos calificado de “esencial” y el segundo que hace referencia a un interés público calificado como “protección frente a amenazas transfronterizas graves para la salud”.

3. En la letra h), cuando el tratamiento es necesario para realizar un diagnóstico médico o la evaluación de la capacidad de laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social.

4. En la letra c), en el caso de que se den las circunstancias previstas en este apartado que aplicaría cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

DECISIONES DEL RESPONSABLE DEL TRATAMIENTO PARA SALVAGUARDAR INTERESES VITALES, OBLIGACIONES LEGALES O INTERESES DE SALUD PÚBLICA

En consecuencia, en una situación de emergencia sanitaria como a la que ahora nos enfrentamos es preciso tener en cuenta que la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable.

Serán los responsables de los tratamientos de datos quienes deban adoptar dichas decisiones conforme a la situación en la que se encuentren, siempre con dos condiciones obligadas:

1. Que estén dirigidas a salvaguardar los intereses esenciales ya tan reiterados.
2. Que los responsables del tratamiento actúen conforme a lo que las autoridades establecidas en la normativa correspondiente establezcan (en este caso, la Ley Orgánica 3/1986, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020) y la Ley 33/2011 General de Salud Pública).

Los distintos responsables de los tratamientos de datos personales deberán seguir las instrucciones de las autoridades competentes, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas.

En lo que concierne a los riesgos relacionados con la transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado “a las autoridades sanitarias de las distintas Administraciones Públicas” las competencias para adoptar las medidas necesarias previstas en dichas leyes cuando así lo exijan razones sanitarias de urgencia o necesidad. Y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Así, podrán tratar los datos personales de salud de determinadas personas físicas cuando, por indicación de las autoridades sanitarias competentes, sea necesario comunicar a otras personas con las que dicha persona física haya estado en contacto la circunstancia del contagio, para salvaguardarlas de un posible contagio (intereses vitales de las mismas) como para evitar que, por desconocimiento de su contacto con un contagiado, puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).

Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales, los empleadores podrán tratar los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo.

PRINCIPIOS APLICABLES

Para finalizar, volvemos a recordar lo que comentábamos al principio de este comentario, y es que los tratamientos de datos personales en situaciones de emergencia sanitaria siguen estando sometidos a la normativa de protección de datos personales (RGPD y LOPDGDD). Ello significa que se le aplican todos sus principios: licitud, lealtad, transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, principio de minimización de datos.

Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad. Es decir, no se podrá confundir conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad y sólo podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.

Respecto del principio de limitación de la finalidad en relación con supuestos de tratamientos de datos de salud por razones de interés público, el Considerando (54) RGPD es claro cuando establece que: “El tratamiento de categorías especiales de datos personales sin el consentimiento del interesado puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.