La Agencia Española de Protección de Datos (AEPD) viene manifestando en los diferentes recursos publicados, que esta situación de emergencia generada por la pandemia del Covid-19 no puede suponer una suspensión del derecho fundamental a la protección de datos personales.

Es por ello que, si bien el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, suspende, en su disposición adicional tercera, los plazos para la tramitación de los procedimientos de las entidades del sector público, la AEPD aclara en su Blog que las obligaciones impuestas en el Reglamento UE 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) relativas a la notificación de brechas de seguridad de los datos personales, así como la obligación de comunicar a los interesados en caso de que estas entrañen un alto riesgo para los derechos y libertades de las personas física, no quedan suspendidas.

Esto es, en caso de que, durante el estado de alarma, los responsables y encargados de tratamiento sufran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas, deben seguir cumpliendo con sus obligaciones de notificación a la Autoridad de Control en el plazo de 72 horas mediante la presentación de la notificación de forma telemática a través de la sede electrónica de la AEPD. Además, cuando sea probable que la brecha entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo comunicará también al interesado lo antes posible, siendo especialmente relevante esta comunicación a los interesados en periodos de especial vulnerabilidad como el actual.

Por otra parte, aunque la AEPD no se pronuncia en su Blog sobre la suspensión de los plazos para dar respuesta al ejercicio de derechos de los artículos 15 a 22 del RGPD, estos plazos no quedarían suspendidos. No obstante, los responsables del tratamiento podrían acogerse a la prórroga de dos meses en virtud del artículo 12.3 del RGPD, siempre que informen al interesado en el plazo de un mes a partir de la recepción de la solicitud e indiquen los motivos de la dilación, por ejemplo, describiendo cómo afecta a la actividad del responsable la crisis del coronavirus. Ahora bien, la sola mención a la actual situación de emergencia sanitaria de salud pública podría no ser suficiente a estos efectos en todos los casos, dado que las tecnologías de la información y comunicación permiten, en muchos de ellos, dar continuidad a la actividad profesional.

*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo de Govertis