Menu

¿El virus que afecta a la privacidad? Por Alejandro Padín


"La normativa de protección de datos no puede ser un obstáculo para la gestión de una emergencia, pero deben respetarse los principios básicos en el tratamiento de datos sensibles". Es una falacia contraponer salud vs privacidad.




Estado de las cosas

En medio de la desinformación, la tensión y, en algunos casos, el caos relacionado con la forma de gestionar la crisis del Coronavirus Covid-19 en ámbitos privados y públicos, hemos empezado a ver respuestas y reacciones que van desde lo más razonable y prudente hasta lo más desproporcionado e injustificado.

Algunas organizaciones quieren tener conocimiento efectivo de qué empleados están afectados por el virus, yendo más allá de su labor (y obligación) de informar y gestionar adecuadamente una crisis de este tipo. En otros casos, actuando con una proactividad llena de buenas intenciones, se pretende profundizar en aspectos de la vida personal de los trabajadores e incluso de las visitas, como pedir información sobre movimientos y viajes profesionales y personales en los días pasados, hacer averiguaciones sobre lugar de residencia y domicilio e, incluso, analizar esa información para adoptar medidas específicas en relación con personas concretas.

Igualmente han aparecido aplicaciones y webs tanto públicas como privadas que tratan de ayudar a la solución de la crisis y, para ello, recaban datos personales de distintos tipos, muchos de ellos sensibles como datos de salud, o relacionados con la geolocalización.

En California, hay voces que ya están solicitando que el Attorney General suspenda la aplicación de la recientísima ley estatal (CCPA), argumentando que en una situación de gravedad como la presente no puede exigirse a las empresas que desvíen recursos de “lo importante” a otras veleidades como esa de la privacidad.

Tesis

Es cierto que la situación existente entra de lleno en el ámbito de la excepcionalidad o la emergencia, y que la salud pública y el interés general están por encima de los derechos individuales en este tipo de situaciones más extremas. Al igual que ocurre, por ejemplo, con el derecho fundamental a la libertad de movimientos, que se ha restringido en beneficio de un bien superior que es la necesidad de reducir la velocidad de los contagios, el derecho a la protección de datos también puede decaer en beneficio de ese mismo bien superior. Pero, en ambos casos, no a cualquier precio.

Sería un error tratar de justificar que la privacidad no existe en una situación como la actual, o que el derecho a la protección de datos no es importante cuando la salud está en juego. No de forma ilimitada y, sobre todo, cuando lo que se haga ahora puede tener efectos en el futuro.

Pero es que, además de ser un error, esa eliminación de la privacidad es innecesaria. Tal como han dicho varias agencias de protección de datos europeas, "la normativa de protección de datos no puede ser un obstáculo para la gestión de una emergencia, pero deben respetarse los principios básicos en el tratamiento de datos sensibles". Es una falacia contraponer salud vs privacidad.

Análisis

Como cuestión preliminar fundamental, es necesario recordar que la información personal referida al estado de salud de una persona física es un dato personal considerado como especialmente protegido en el Reglamento General de Protección de Datos de la Unión Europea (RGPD). La información sobre geolocalización o deambulación de una persona también es información que puede considerarse sensible, si encaja en el alcance de la información conductual. Este tipo de datos están sometidos a un régimen especial, tanto en lo que se refiere a las bases de legitimación, como en lo que respecta a las medidas de seguridad y organizativas para la protección de esos datos.

Sentado lo anterior, el (RGPD) dispone de mecanismos suficientemente sólidos, eficaces y hábiles para permitir la lucha contra una pandemia, sin rebajar el nivel de exigencia en la protección de los datos personales.

En casos de emergencia como el actual, hay que recurrir a bases legitimadoras especiales para el tratamiento de datos especialmente protegidos, sin que sea necesario el consentimiento en tales casos. Tal como han establecido distintas agencias europeas, el RGPD establece en su artículo 9 varias bases legitimadoras que pueden resultar de aplicación en estos casos, que pueden ir desde la necesidad de cumplir obligaciones de prevención y protección de la salud en el ámbito de las relaciones laborales (artículo 9.2.b RGPD), hasta la protección de intereses vitales del interesado o de otras personas (artículo 9.2.c RGPD) o la protección de intereses públicos esenciales (artículo 9.2.g e i RGPD).

Las agencias europeas han establecido que, sobre alguna de estas bases legitimadoras, más las generales del artículo 6 RGPD, será posible tratar datos, incluso sensibles, de los trabajadores, pacientes o ciudadanos, según el caso. Todas las medidas razonables y proporcionadas que se adopten por empresas, centros de salud y administraciones públicas, tendentes a frenar la velocidad de contagios, identificar zonas de riesgo o paliar efectos de la epidemia, podrán desarrollarse tratando datos personales cuando sea necesario.

Simplemente será necesario cumplir los principios básicos de exactitud, limitación de la finalidad y, sobre todo, minimización. Estos datos no podrán utilizarse para otros fines ni más allá del perímetro de efectividad de las medidas establecidas. Y deberán establecerse las medidas oportunas para evitar situaciones de indefensión o discriminación, consecuencias que pueden producirse incluso cuando la finalidad prevista es totalmente bienintencionada.

Conclusión

En definitiva, si no queremos que el coronavirus se convierta en una pandemia que afecte a la privacidad de los ciudadanos, debemos analizar muy en detalle qué datos personales necesitamos, para qué se van a tratar y qué beneficios va a reportar su tratamiento, implantando las medidas que resulten aplicables según el caso, e informando a los interesados de forma clara.

En estos términos, será totalmente falso e injusto decir aquello de que la privacidad nos impide resolver el problema. Como ocurre en casi cualquier otra situación.
 
Links a las publicaciones oficiales de diversas agencias de protección de datos europeas sobre coronavirus (pinchando en cada caso se redirige a la ubicación):

 
 
España Informe AEPD / FAQs AEPD Noruega Datatilsynet
Francia CNIL Alemania BfDI
UK ICO Bélgica APD
Italia Garante italiano Dinamarca Datatilsynet
Irlanda Data Protection Commission of Ireland UE Comité Europeo de Protección de Datos

​Alejandro Padín

¿El virus que afecta a la privacidad? Por Alejandro Padín
Socio del Departamento de Derecho Mercantil de GARRIGUES, responsable del área de Privacidad, Ciberseguridad y IT Licenciado en Derecho (Universidad de Santiago de Compostela); Postgrado de Especialista en Unión Europea (Universidad de A Coruña); Máster en Dirección de Empresas del sector TIC (MDTIC, Escuela de Negocios Caixanova). Director Académico del Programa online de Delegado de Protección de Datos del Centro de Estudios Garrigues, donde también imparte clases en los Cursos Executive sobre Blockchain e Inteligencia Artificial. Profesor de Derecho de las Nuevas Tecnologías y Protección de Datos en el Master de Acceso a la Abogacía de ICADE, entre otros. Participó como ponente invitado por la Comisión de Justicia del Congreso de los Diputados en el trámite de consultas durante la tramitación de la Ley Orgánica 3/2018, de Protección de Datos y garantía de derechos digitales.
Twitter: @drummeratty / Blog personal: www.padin.com




L M M J V S D
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      











Semblanzas Fide

Síguenos en redes sociales
Facebook
Twitter
LinkedIn
YouTube Channel
Rss