Los teléfonos móviles nos acompañan desde hace mucho tiempo, su uso está presente en prácticamente todas las actividades sociales y laborales, y su evolución ha ido creciendo a pasos agigantados. Recientemente, la AEPD ha publicado una nota técnica relativa a las tecnologías 5G de comunicaciones móviles y de los riesgos para la privacidad que pueden conllevar implícito tanto esta tecnología, como otras que hagan uso de ella. A continuación, analizaremos dicho documento.
¿Qué es la tecnología 5G?
Los avances en telefonía móvil se describen en forma de generaciones. 5G significa quinta generación y es una evolución de los protocolos 4G. La tecnología 5G implica muchas mejoras en estos dispositivos (mayor velocidad, mejor conexión, virtualización, etc.), es el paso definitivo hacia el internet móvil. Actualmente las empresas de telecomunicación están desarrollando sus prototipos, ya que para poder desplegar la tecnología 5G será necesaria una renovación tecnológica que implicará grandes cambios.
¿Qué riesgos supone para la privacidad?
Con la llegada de la tecnología 5G aparecen nuevas funcionalidades, pero a su vez nuevas amenazas, además de las que ya estaban presentes en otras generaciones. Desde que internet llegó a los teléfonos, todas las amenazas de la red se trasladaron a dichos dispositivos.
Respecto a la quinta generación, muchos riesgos ya presentes se verán aumentados, como es el caso de la geolocalización, que podrá ser más precisa gracias al aumento de estaciones y la menor distancia entre ellas. También crecerán los ciberataques, ya que asciende la exposición a estos por el incremento de conexiones y de puntos de entrada, cuantos más dispositivos se conecten a una red, más puntos potenciales de vulnerabilidad se crearán.
Otro riesgo asociado a esta nueva generación es el perfilado y las decisiones automatizadas que, debido al incremento en cantidad y categoría de datos circulando por la red, así como a un mayor número de dispositivos conectados por 5G (IoT), se podrá conseguir una individualización más precisa y se podrán desplegar servicios que permitan la toma de decisiones automáticas sobre las personas.
Además, crecerá el número de sujetos que participen en el tratamiento (fabricantes, operadores de red, proveedores de servicios, etc.), y podrá suponer un problema en cuanto a la asignación de responsabilidades en el tratamiento de datos y en carecer de un modelo homogéneo de medidas de seguridad a implantar.
Tal como cita la AEPD, se trata de una lista de riesgos no exhaustiva y que deben tomarse en consideración desde las primeras fases del diseño de los tratamientos, para la implementación de medidas técnicas y organizativas adecuadas, y dar cumplimiento al art. 25 del RGPD por parte de los desarrolladores y fabricantes.
¿Qué medidas se pueden adoptar?
La tecnología ya incorpora importantes mejoras en las medidas de seguridad respecto a generaciones anteriores, pero se dejan algunos mecanismos a criterios del operador de telefonía.
Los desarrolladores y fabricantes deberán suministrar productos con un adecuado nivel de cumplimiento del RGPD, pero también el resto de los agentes que presten servicio dentro de esas redes de comunicaciones tendrán la responsabilidad de adoptar medidas y garantías.
Se deben llevar a cabo procesos de gestión de riesgos y Evaluaciones de Impacto en los proveedores de servicio, operadores y fabricantes, con el fin de identificar y mitigar nuevos riesgos en la red 5G como un todo y no solo en la operación singular de cada agente.
Debe proporcionarse información a los interesados según lo establecido en la normativa; implementar mecanismos de transparencia y trazabilidad; definir los roles y responsabilidades desde el punto de vista de protección de datos y delimitar las obligaciones de cada uno de los intervinientes. Se deben implantar medidas de minimización de datos, garantizar comunicaciones cifradas y desarrollar modelos de cifrado, adecuar el uso de decisiones automatizadas a lo dispuesto en el RGPD y establecer garantías en el caso de transferencias internacionales.
Estas son algunas entre otras muchas medidas que serán necesarias para garantizar la privacidad de los individuos que utilicen estos dispositivos, ya que, como dice la AEPD en su informe, “el establecimiento de un marco de confianza en la seguridad de los tratamientos de datos en 5G es un factor imprescindible para garantizar su éxito”.
Bibliografía: https://www.aepd.es/sites/default/files/2020-06/nota-tecnica-privacidad-5g.pdf
Equipo Govertis
El teletrabajo es una modalidad laboral recogida en el Estatuto de los Trabajadores en el artículo 38.4 en el que se señala la importancia de poder solicitar a la empresa la adaptación de la duración y distribución de jornada, en la ordenación del tiempo de trabajo y en la forma de prestación, incluida la prestación de su trabajo a distancia, para hacer efectivo su derecho a la conciliación de la vida familiar y laboral.
Además, se recoge en el Artículo 13 del Estatuto de los Trabajadores la figura del teletrabajo como trabajo a distancia, en los siguientes términos:
<<1. Tendrá la consideración de trabajo a distancia aquel en que la prestación de la actividad laboral se realice de manera preponderante en el domicilio del trabajador o en el lugar libremente elegido por este, de modo alternativo a su desarrollo presencial en el centro de trabajo de la empresa”.
No obstante, de ser un derecho, se convierte en una obligación al producirse situaciones excepcionales como la pandemia que ha golpeado nuestro entorno.
Así se ha puesto de manifiesto por las empresas que se han visto obligadas a adoptar las medidas pertinentes y prestar los servicios de manera telemática, si bien deben de cumplir con una serie de requisitos.
En nuestra normativa en protección de datos podemos encontrar una referencia a la desconexión digital en el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) al precisar que las empresas deberán garantizar el tiempo de descanso, permisos y vacaciones, así como su intimidad personal y familiar, debiendo potenciarse en las modalidades del ejercicio laboral el derecho a la conciliación de la actividad laboral, vida personal y familiar (artículo 88.2 LOPDGDD).
Las condiciones de ejercicio de este nuevo derecho deberán establecerse en el marco de una negociación colectiva o entre lo acordado entre la empresa y los representantes de los trabajadores, eso sí adoptando previamente, una normativa o política interna o protocolo en el que se desarrollen las modalidades de ejercicio a la desconexión y especial atención medidas de sensibilización del personal laboral para impedir la fatiga informática laboral, especialmente cuando el trabajo se realiza a distancia, en el domicilio o a través del teletrabajo (artículo 88.3 de la LOPDGDD).
Es difícil reconocer el derecho a la desconexión digital, se complica aun más si cabe cuando el trabajador/a se encuentra teletrabajando en su propio domicilio con cargas familiares, no obstante, estos protocolos de actuación deberán incluir garantías adicionales que consistan en preservar el derecho a la intimidad y desconexión digital así como preservar la seguridad de la información adoptando las medidas técnico organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32 Reglamento Europeo de Protección de Datos, RGPD)
Entre las medidas de seguridad adoptadas por la empresa podemos considerar las siguientes:
En definitiva, el artículo 88 de la LOPDGDD instaura un nuevo derecho para los trabajadores y empleados públicos que nos permite disponer de herramientas para compatibilizar el escenario laboral con el familiar, entre las que destacamos a modo de resumen, según la normativa de protección de datos:
Y entre las medias de seguridad adoptadas deberán implementarse las siguientes:
-Continuidad de las empresas en la notificación de brechas de seguridad a la autoridad de control, en nuestro caso la Agencia Española de Protección de datos. (https://www.aepd.es/es/prensa-y-comunicacion/blog/notificacion-de-brechas-de-seguridad-de-los-datos-personales-durante-el)
-Adopción de medidas técnico-organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo entre las que podemos resaltar la utilización de herramientas corporativas que nos permitan realizar el teletrabajo, el uso de dispositivos personales Bring your own device (BYOD) con plataformas MDM, conexión VPN, actualización de antivirus y firewalls, revisión de permisos de usuarios, contraseña doble factor de autenticación. Entre algunas herramientas, guías y recomendaciones de buenas prácticas a destacar consideramos las realizadas por la AEPD en el siguiente enlace: https://www.aepd.es/es/areas-de-actuacion/recomendaciones/medidas
Con todos estos mecanismos podremos teletrabajar de forma segura garantizando la seguridad o cualquier evento venidero con una mayor seguridad y protección de nuestra intimidad en este “nuevo” entorno denominado teletrabajo, ya que no se trata sólo del cumplimiento formal de la LOPDGDD sino de equilibrar el uso de las nuevas tecnologías con la gestión más eficiente de los tiempos de descanso aumentando la productividad, reduciendo el estrés y mejorando la imagen corporativa interna y externa de nuestras organizaciones.
Equipo Govertis
A partir del Informe Jurídico 36/2020 de la Agencia Española de Protección de Datos (AEPD), en el que, entre otros, se trata el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación on-line, podemos obtener una respuesta a esta cuestión.
Por una parte, el artículo 4.14 RGPD define como «datos biométricos» aquellos “datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Y, por otra parte, el artículo 9.1 RGPD, incluye entre los datos de categoría especial “datos biométricos dirigidos a identificar de manera univoca a una persona física”.
Según la AEPD, “en una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a identificar de manera univoca a una persona física” y, en este sentido, igualmente se pronuncia el Considerando 51.
Al objeto de aclarar las dudas interpretativas, la AEPD atiende al Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, en el que se distingue:
Identificación biométrica uno-a-varios de huella dactilar en escenario crimen por Fuerzas y Cuerpos de Seguridad
Verificación/Autenticación uno-a-uno en control de acceso por huella dactilar al puesto de trabajo
Atendiendo a la citada distinción, la AEPD entiende que el concepto de dato biométrico incluye ambos supuestos. Sin embargo, y con carácter general, únicamente tendrán la consideración de categoría especial en los supuestos de identificación biométrica (uno-a varios).
No obstante, la AEPD considera que “se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto”. Y nos termina diciendo que, “en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados”.
Equipo de Govertis
Con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) se perfilaron algunas de las funciones del Delegado de Protección de Datos (DPD).
En concreto, el artículo 37 de la LOPDGDD regula la intervención del DPD en caso de reclamación ante las autoridades de protección de datos, estableciendo dos opciones diferentes. La primera de estas vías indica que, en los supuestos en que se haya designado un DPD, el afectado puede, antes de presentar su reclamación ante la autoridad de control, dirigirse al Delegado.
La segunda opción de intervención del DPD surge cuando el afectado presenta una reclamación ante la autoridad de control. En este caso, se prevé que la AEPD o la autoridad autonómica competente remitan esta reclamación al DPD de la entidad dándole un plazo de respuesta de un mes.
La AEPD destacó en la presentación de su Memoria de 2018 que: «En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019», aunque igualmente esta entidad aclaró que: «el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación». En la Memoria de 2019 se señaló que «los traslados al responsable para que analice la reclamación y dé respuesta al ciudadano crecieron un 147%, pasando de 2.300 en 2018 a 5.691 en 2019». Parece que esta vía ha llegado para quedarse.
Como señala la LOPDGDD en su Preámbulo, el DPD «permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento», cabe plantearnos por tanto que, además de las características que el Esquema de Certificación exige a los DPD, las soft skills que debe tener este rol, centrándonos en este caso en sus habilidades como negociador.
La negociación es un medio de resolución de conflictos autocompositivo, pero a diferencia de otros medios autocompositivos como la mediación, en que dos o más partes intentan voluntariamente alcanzar ellas mismas un acuerdo con la intervención de un mediador, en este caso las partes tienen autonomía para resolver por sí mismas el conflicto. Por otra parte, cabe diferenciar estos medios de los heterocompositivos, en los que la resolución resulta impuesta por un tercero, por ejemplo un árbitro o un juez.
En el ámbito de la protección de datos es el DPD quien se relaciona en nombre de la organización a la que representa con el afectado y quien, de forma amistosa, debe intentar llegar a una solución con este. «El proceso de negociación puede estructurarse de forma muy diferente, dependiendo principalmente de los negociadores y su cultura negocial» (Soleto, 2011). De este modo, el DPD deberá, en primer lugar, conocer su estilo negociador; desarrollar y trabajar sus habilidades negociadoras y, finalmente, elegir el tipo de negociación que quiere afrontar en su relación con los interesados.
El estilo negociador del DPD va a influir, sin duda alguna, en la negociación. Por este motivo, el DPD deberá conocer su estilo negociador en el ámbito de sus funciones y, en este caso, a la hora de negociar con un afectado. Es importante que tengamos en cuenta que cada persona se comporta en la negociación influido por el contexto; es decir, no negociaremos igual a la hora de adquirir un vehículo, al tratar un asunto laboral con nuestro jefe, o ante una decisión personal con nuestra pareja o progenitores. El Test Thomas-Killman es uno de los más famosos a la hora de analizar cuál es nuestro estilo de confrontación de conflictos, arrojando como resultado el predominio de, al menos, uno de estos cinco estilos: competidor, colaborador, comprometido, evitativo y acomodaticio.
Por otro lado, también será de enorme utilidad conocer el estilo negociador del afectado que nos contacta, así como identificar correctamente sus intereses. Será muy útil analizar la reclamación que haga llegar al DPD, los términos en que lo hace, así como la petición que nos hace llegar.
Además, el DPD, a la hora de representar a su organización en la negociación, deberá tener claras las líneas rojas que no podrá cruzar a la hora de ofrecer soluciones al afectado cuando entabla esta posible negociación (su Zona de Posible Acuerdo). Este aspecto es especialmente importante cuando se reclama una indemnización de carácter económico a cambio, por ejemplo, de no acudir a la autoridad de control o de no reclamar una indemnización de daños y perjuicios conforme al artículo 82 RGPD. En este último aspecto, incluso nos podríamos estar acercando a ser víctimas de un delito de extorsión, como ya analizamos en esta entrada del blog.
En cualquier caso, debemos identificar nuestros objetivos en la negociación, que pueden ser, por ejemplo, que el afectado quede satisfecho con la respuesta o, incluso, poder demostrar a la autoridad de control la voluntad de la organización al atender al interesado, independientemente de que este quede o no conforme con la respuesta que le es dada.
En cuanto al estilo de negociación que el DPD quiere afrontar en su relación con los interesados, en términos generales, existen dos tipos de negociación: la distributiva y la colaborativa. La negociación distributiva es el método tradicional de negociación; se relaciona con el estilo competidor de negociación y se basa en ganar intentando conseguir más que los demás; por su parte, el estilo colaborativo, basado en el Método Harvard, se vincula a un estilo negociador colaborador, en el que se tratará de ganar y que los demás también ganen. Este último modelo adquiere especial interés cuando se trata de negociar con una persona con quien queremos mantener una relación a largo plazo, como un empleado o un cliente, buscando de este modo ‘agrandar la tarta’ y/o buscar beneficios comunes.
Independientemente de uno u otro estilo de negociación, para afrontar con éxito cualquier negociación será necesario que entre las soft skills del DPD se encuentren la empatía para identificar los intereses del afectado y de la propia organización a la que representa, las habilidades comunicativas para expresarse con claridad durante la negociación, independientemente de si esta es oral o escrita, deberá saber controlar sus reacciones en la negociación y mantenerse proactivo a lo largo de esta.
Finalmente, nos queda únicamente plantearnos si estas habilidades negociadoras podrían ser también interesantes en las relaciones del DPD con sus grupos de interés internos o, incluso, con corresponsables y encargados del tratamiento.
BIBLIOGRAFÍA
Soleto, H. (2009) Conocer Y Dominar Los Estilos De Negociación. Revista Iuris, (nº 137), p.28-31. Recuperado de http://hdl.handle.net/10016/10298
Soleto, H. (2010). Negociar Lo Que Vas a Negociar: El Proceso De Negociación. Revista Iuris: actualidad y práctica del derecho, (nº154), p. 33-35. Recuperado de http://hdl.handle.net/10016/10692
Equipo Govertis
¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DEL PERSONAL AL CENTRO DE TRABAJO?
EN CASO AFIRMATIVO, ¿DE QUÉ FORMA PUEDO HACERLO Y QUÉ GARANTÍAS DEBO CUMPLIR?
¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE CLIENTES Y VISITANTES EN GENERAL?
La Agencia Española de Protección de Datos ha publicado un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos para determinar quién puede acceder a los mismos.
El objetivo de estos sistemas es controlar el acceso a instalaciones para evitar posibles contagios de COVID-19, en tanto que la temperatura es indiciaria de haber contraído la enfermedad, y, por tanto, del riesgo de contagio.
La temperatura asociada a un sujeto identificable constituye un dato de salud, de acuerdo a la interpretación amplia que hace la normativa, por lo que es objeto de especial protección. La legitimación para realizar este tratamiento parte, entre otros, del Considerando (46) del RGPD, que reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado u otra persona física: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.
SÍ, con ciertos requisitos
En el caso de centros de trabajo, la legitimidad de este tratamiento la corrobora la propia AEPD en sus FAQ,s sobre el COVID-19, donde indica que el empleador “podrá tomar la temperatura a los trabajadores, como medida relacionada con la vigilancia de su salud en materia de Prevención de Riesgos Laborales”. Esto puede entenderse en tanto que, según corrobora la OMS, el signo más frecuente en los pacientes COVID-19 es la fiebre.
Continúa la Agencia en la nota informativa estableciendo que “la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento”.
Añade la Agencia en su comunicado, en relación con esta toma de temperatura para determinar el acceso, que “requeriría la determinación previa que haga la autoridad sanitaria competente (…) de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados”, por lo que “estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas”.
En este sentido, el “Procedimiento de actuación para los servicios de prevencion de riesgos laborales frente a la exposición al SARSCOV-2”, elaborado por el Ministerio de Sanidad, recomienda a los servicios de PRL lo siguiente:
“Dado que el contacto con el virus puede afectar a entornos sanitarios y no sanitarios, corresponde a las empresas evaluar el riesgo de exposición en que se pueden encontrar las personas trabajadoras en cada una de la tareas diferenciadas que realizan y seguir las recomendaciones que sobre el particular emita el servicio de prevención, siguiendo las pautas y recomendaciones formuladas por las autoridades sanitarias”.
Por tanto, en cuanto no hay mención expresa por parte del Ministerio sobre el control de temperatura, la decisión de adoptar tal medida recae en la empresa, a través de su servicio de PRL.
Sigue la Agencia en la citada nota recordando que este tratamiento lícito debe cumplir las “garantías adecuadas”. Sobre estas garantías, la autoridad de control indica que “los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Pero esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica”
También habla del principio de exactitud, advirtiendo que “los equipos de medición deben ser homologados y adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes”. En este sentido, añade que “el personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso”.
Por último, la Agencia señala que “debieran considerarse, entre otras, medidas (…) para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso”.
En cumplimiento de todo lo antedicho, se recomiendan las siguientes actuaciones:
Cabe recordar la necesidad de actualizar el Registro de actividades de tratamiento con las operaciones indicadas, así como la realización de una evaluación de impacto de protección de datos, en su caso, una vez acordado el sistema de control a implantar.
Tabla 1 Infografía
NO es recomendable. De momento, optar por medios menos invasivos
En este supuesto, si bien la habilitación legal para el tratamiento de datos puede partir de la necesidad de “proteger un interés esencial para la vida del interesado o la de otra persona física (…) como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”, y por “por razones de interés público en el ámbito de la salud pública”, y el uso del control de temperatura (sin registro de datos) podría considerarse una medida proporcionada y lícita para cumplir con esta necesidad, la AEPD en su comunicado deja la decisión de la necesidad y adecuación de la medida a las autoridades sanitarias, así como la determinación, en su caso, de la temperatura a partir de la cual se considere posible contagio:
“Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.
Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas”.
¿Y por qué la AEPD considera que las autoridades sanitarias son las que han de establecer los criterios de aplicación de la medida, así como pronunciarse sobre su utilidad y proporcionalidad?
Porque las concretas medidas, destinadas a prevenir y combatir el contagio del virus, deben ser determinadas por las autoridades sanitarias, en base a sus propias competencias. Así, la necesidad, proporcionalidad y adecuación de la medida dependerá de la estrategia que las autoridades sanitarias hayan planificado y valorado. Debe entenderse, por tanto, que corresponde, en primer lugar, a la autoridad sanitaria, valorar la idoneidad, necesidad y proporcionalidad de las medidas (por ejemplo, uso de mascarilla obligatorio en transporte público, la realización de test masivos y utilización de aplicaciones móviles de rastreo para alertar a posibles contactos sobre una potencial exposición al virus). No se puede afirmar a priori si la medida es adecuada o proporcional, a los efectos de ser adoptada en nuestra organización, si no la ponemos en relación con la estrategia sanitaria concreta.
Por tanto, nuestra recomendación es esperar a un previsible pronunciamiento específico de las autoridades sanitarias sobre esta cuestión, optando entretanto por medidas de prevención menos invasivas. Si esto no fuera posible, habría que realizar una evaluación de impacto para valorar la viabilidad del tratamiento, así como las garantías a emplear.
Equipo Govertis
La situación actual derivada de la crisis del Covid-19 afecta especialmente a determinados grupos de personas vulnerables, entre los que se encuentran las personas de avanzada edad. Así se desprende de las diferentes manifestaciones realizadas por el Ministerio de Sanidad y del propio Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma, que en su artículo 7.e) permite la libre circulación de las personas para la realización de las actividades asistenciales y de cuidado a mayores.
Por este motivo, numerosos Ayuntamientos buscan la manera de ayudar a este colectivo, lo que implica obtener los datos de las personas más vulnerables, por ejemplo, mediante la cesión de estos por parte de otras Administraciones Públicas que pudieran disponer de esta información con motivo de la prestación de un servicio a estos colectivos, y la puesta en contacto con las mismas con el fin de brindarles la prestación de servicios de primera necesidad.
Ahora bien, los Ayuntamientos se cuestionan si disponen de legitimación para tratar estos datos con la finalidad indicada.
Pues bien, hemos de partir de que la principal base de legitimación sobre la que actúa la Administración es la de interés público [art. 6.1.e) RGPD] y el cumplimiento de una obligación legal [art. 6.1.c) RGPD], quedando la del consentimiento expreso [art. 6.1.a) RGPD] para ciertas actuaciones concretas y minoritarias.
Tal como se establece en la Ley 7/1985, de 2 de abril, reguladora de Bases del Régimen de Local (LBRL), modificada por la Ley 57/2003, de 16 de diciembre, de Medidas para la Modernización del Gobierno Local, corresponde a los municipios el “… derecho a intervenir en cuantos asuntos afecten directamente al círculo de sus intereses, atribuyéndoles las competencias que proceda en atención a las características de la actividad pública que se trate y a la capacidad de gestión de la Entidad Local…”.
Asimismo, en su artículo 25.2 letra e) establece que “el municipio ejercerá, en todo caso, competencias, en los términos de la legislación del estado y de las Comunidades Autónomas, en materia de evaluación e información de situaciones de necesidad social y la atención inmediata a personas en situación o riesgo de exclusión social.”.
A su vez, el artículo 26.1 letra c) de la misma norma determina que los municipios con población superior a 20.000 habitantes deberán prestar, en todo caso, el servicio de “evaluación e información de situaciones de necesidad social y la atención inmediata a personas en situación o riesgo de exclusión social”.
Esta función de asistencia social del Ayuntamiento no parece asumida por el Estado con motivo de la declaración del Estado de Alarma, pues en el artículo 6 del mencionado RD de Estado de Alarma se establece que cada Administración conservará las competencias que le otorga la legislación vigente en la gestión ordinaria de sus servicios.
Siendo pues competencia del Ayuntamiento la prestación de evaluación e información de situaciones de necesidad social y la atención inmediata a personas en situación o riesgo de exclusión social, y estando actualmente en situación de emergencia sanitaria, se entiende procedente el tratamiento de los datos por parte de los Ayuntamientos para esta finalidad.
Ahora bien, los datos a tratar deberían ser los adecuados, pertinentes y limitados a lo necesario para lograr el fin buscado [art. 5.1.c) RGPD], que no es más que la localización las personas mayores en riesgo sanitario y asistencial, por lo que el tratamiento de su nombre, dirección y teléfono se entendería suficiente, sin perjuicio de que los Servicios Sociales pudieran recabar otros datos de contenido sensible en el ejercicio de sus funciones siempre que estos fueran necesarios para el fin perseguido y tratados según se establece en la normativa vigente.
*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.
Equipo de Govertis
En estos días, más que nunca, es de vital importancia que la ciudadanía esté debidamente informada del desarrollo y evolución de la pandemia de Covid-19, lo que ayudará a luchar contra los bulos que con tanta frecuencia se están difundiendo en redes sociales, además de generar confianza en las acciones de los responsables públicos.
No obstante, tal y como adelantábamos en el artículo ¿Se deben seguir notificando las brechas de seguridad de datos personales y respondiendo a los derechos de los interesados durante el estado de alarma?, la Disposición Adicional Tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, declaraba la suspensión de los términos y la interrupción de los plazos para la tramitación de los procedimientos de las entidades del sector público, definido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
De acuerdo con la citada Disposición, el Consejo de Transparencia y Buen Gobierno (CTBG) publicaba el pasado 17 de marzo un Aviso sobre la actividad del Consejo, en el que manifestaba que, debido a la suspensión de términos e interrupción de plazos para la tramitación de los procedimientos de las entidades del sector público, la tramitación de los expedientes en materia de transparencia se podrían ver más retrasadas de lo habitual.
Del mismo modo, en la Sede Electrónico de la web del CTBG, figura el siguiente aviso:
“Le informamos que, de acuerdo con la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 Se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público. El cómputo de los plazos se reanudará en el momento en que pierda vigencia el presente real decreto o, en su caso, las prórrogas del mismo”.
Todo ello hace pensar que el CTBG ha paralizado toda tramitación de sus procedimientos. Ahora bien, el apartado 4 de la citada Disposición, atribuye a las entidades del sector público la facultad de continuar “aquellos procedimientos administrativos que vengan referidos a situaciones estrechamente vinculadas a los hechos justificativos del estado de alarma, o que sean indispensables para la protección del interés general o para el funcionamiento básico de los servicios”, previo acuerdo motivado.
En relación con esta cuestión, Esperanza Zambrano Gómez, Subdirectora General de Reclamaciones de este organismo, manifestaba en un artículo para la Asociación de Periodistas de Investigación (API) titulado “Crisis sanitaria, no crisis en transparencia”, lo siguiente:
“Aunque el confinamiento que se deriva del estado de alarma hace incompatible el normal desarrollo del trabajo vinculado a dar respuesta a una solicitud de información, sí entiendo que sería deseable una identificación de las solicitudes vinculadas a esta crisis y darles prioridad en la respuesta”.
Por lo que, si bien los plazos para la tramitación de los procedimientos en materia de transparencia quedan suspendidos en tanto no pierda vigencia el Real Decreto que declara el estado de alarma, o las sucesivas prórrogas del mismo, cabe entender que el CTBG, en aplicación del citado apartado 4 de la Disposición, dará curso a las solicitudes de acceso a la información pública relacionadas con el Covid-19 presentadas tanto antes como durante el estado de alarma.
*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.
Equipo Govertis
Desde que se decretara el estado de alarma en nuestro país el pasado 14 de marzo, se están difundiendo en diferentes redes sociales y servicios de mensajería instantánea multitud de imágenes y vídeos captados por particulares, en los que se aprecia a personas que, aparentemente, rompen el confinamiento, por ejemplo, haciendo ejercicio al aire libre, juntándose en grupo o, incluso, mientras son preguntadas o detenidas por las Fuerzas y Cuerpos de Seguridad.
Como viene manifestando la Agencia Española de Protección de Datos (AEPD), esta situación de emergencia generada por la pandemia del Covid-19 no puede suponer una suspensión del derecho fundamental a la protección de datos personales, por lo que la captación de estas imágenes y su difusión a terceros implicaría un tratamiento de datos personales que habría de atender a las garantías de la normativa en materia de protección de datos.
Recordemos que el Reglamento General de Protección de Datos (RGPD) es de aplicación al tratamiento de toda la información relativa a una persona física identificada o identificable, entendiendo que alguien es identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona [art. 4.1) RGPD].
Por lo que, en la medida en que las imágenes y, en su caso, la voz captadas en estas circunstancias permitan identificar a las personas afectadas y no se apliquen sobre las mismas parámetros digitales que impidan su identificación (por ejemplo: pixelados o máscaras), estas quedarán dentro del ámbito de la normativa de proteccion de datos, lo que supondrá que el particular que capta y difunde las imágenes sea considerado responsable del tratamiento y precise de una de las bases de licitud o legitimación de las previstas en el artículo 6 RGPD, entre las que cabría aplicar, en estos supuestos, la del consentimiento. Por consiguiente, ante la ausencia del consentimiento del interesado, la captación y difusión de estas imágenes sería ilícita y constituiría infracción muy grave prevista en el artículo 72.1.b) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Si bien, en virtud del Considerando 18 y artículo 2.2.c) RGPD, el Reglamento no sería de aplicación al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, no parece que quepa aplicar en estos casos la excepción doméstica, en base a la interpretación que distintos Tribunales y autoridades en materia de protección de datos, tanto a nivel europeo como nacional, han realizado sobre esta excepción:
El TJUE, señala, de una parte, que la expresión «personales o domésticas» se refiere a la actividad de la persona que trata los datos personales, no a la persona cuyos datos son tratados.
De otro lado, entiende que la excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares. A este respecto, no considera que una actividad es exclusivamente personal o doméstica cuando tenga por objeto permitir a un número indeterminado de personas el acceso a datos personales o cuando la actividad se extienda, aunque sea en parte, al espacio público y esté por tanto dirigida hacia el exterior de la esfera privada de la persona que procede al tratamiento de los datos.
El CEPD determina que la llamada excepción doméstica, en el contexto de la captación de imágenes, debe interpretarse de manera restrictiva, incluyéndose la misma únicamente las actividades que se llevan a cabo en el curso de la vida privada o familiar de los particulares, lo que claramente no es el caso del tratamiento de datos personales que conlleva la publicación en Internet de manera que los datos sean accesibles a un número indefinido de personas.
La Agencia viene señalando que para que nos hallemos ante la exclusión doméstica, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.
En definitiva, cabría pensar en base a lo interpretado por las mismas que, en supuestos como los analizados en el presente artículo, en los que las imágenes captadas por particulares acaban en manos de un número indeterminado de personas, no sería de aplicación la excepción doméstica, por lo que, ante la ausencia de consentimiento de las personas afectadas para su captación y difusión, se estaría vulnerando la normativa en materia de protección de datos.
A lo largo de los últimos años hemos tenido diversos ejemplos que han sido objeto de sanción por parte de las autoridades de control, y que no han estado exentos de polémica. Para muestra, varios botones:
Por último, no hay que olvidar que una conducta que suponga una violación en el derecho a la intimidad o privacidad puede ser objeto de reproche en el orden civil, por intromisión en el derecho a la intimidad o propia imagen, o penal, por ser tipificada como delito de descubrimiento o revelación de secretos.
Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.
Equipo Govertis
En el artículo Soluciones operativas para el tratamiento de datos de salud de los empleados por Covid-19, publicado el pasado 8 de abril, extraíamos algunas conclusiones en lo que respecta al tratamiento de datos de salud en el ámbito de la Prevención de Riesgos Laborales, para la prevención del contagio del Covid-19 y evitar su propagación, conforme a la interpretación derivada de los informes, guías, píldoras, etc., de los organismos y autoridades de control con competencia en la materia, y en base a la normativa aplicable.
Continuando con esta cuestión, en el presente artículo trataremos la cuestión relativa al tratamiento de datos del personal trabajador especialmente sensible al Covid-19, considerados como tales aquellos que son más vulnerables al mismo por sus circunstancias de salud.
Respecto a los trabajadores que formen parte de estos colectivos, se habrán de adoptar por el empleador una serie de medidas específicas de prevención, adaptación y protección, de acuerdo con las indicaciones del Ministerio de Sanidad, que conllevarían el tratamiento de sus datos de salud, por ejemplo, para la remisión a estos de advertencias o recomendaciones o para la cesión de sus datos a los Responsables del Personal, Jefes de Servicio o Servicios de Prevención.
A continuación, intentaremos aportar algo de luz al respecto:
A los efectos de determinar si el empleador puede remitir recomendaciones y advertencias, de manera individualizada, a aquellos empleados considerados como personal sensible, entendidos como tales aquellos que son más vulnerables al Covid-19 por sus circunstancias de salud, debemos analizar si se cuenta con una base jurídica de licitud o legitimación para el tratamiento de estos datos con la finalidad indicada.
El Considerando (46) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público [art. 6.1.e) RGPD], como en el interés vital del interesado u otra persona física [art. 6.1.d) RGPD]. Ello sin perjuicio de que, en el presente supuesto, puedan existir otras bases, como el cumplimiento de una obligación legal, del art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados).
En estos supuestos, además, se da la circunstancia de que los datos a transmitir son datos de categoría especial (datos de salud de las personas trabajadoras), según lo dispuesto en el art. 9.1 RGPD, lo que requeriría aplicar una de las salvedades del art. 9.2 RGPD. La letra b) de este artículo permite el tratamiento de estos datos, precisamente, para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
Así, en las relaciones ente empleador y empleado, el empleador está sujeto o a la normativa de prevención de riesgos laborales (Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, en adelante PRL) de la cual se desprende, en el art. 14 y concordantes de dicha ley, un deber del empleador de protección de los trabajadores frente a los riesgos laborales, para lo cual aquel deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo, tal y como señala la Agencia Española de Protección de Datos en el Informe 0017/2020, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19.
En definitiva, podríamos concluir que el envío recomendaciones a personal sensible desde el servicio de prevención o vigilancia de la salud sería lícito, en cuanto es deber del empleador ofrecer una protección eficaz en materia de seguridad y salud a sus empleados, proporcionando información y procurando la vigilancia de su salud, adoptando para ello cuantas medidas sean necesarias para la protección de la seguridad y la salud de los trabajadores, entre las que se encontraría la remisión de recomendaciones y advertencia de la causa que puede ser objeto de sensibilidad, en cada caso.
Ahora bien, debido a la especial incidencia de los datos de salud en la intimidad de las personas, se habrían de reforzar las medidas de protección en su comunicación, en particular utilizando mecanismos de cifrado.
Dadas las circunstancias, muchos empleadores se preguntan si cabría la posibilidad elaborar un listado de personal sensible, y su remisión a los Responsables del Personal y Jefes de Servicio, con fines organizativos, además de a los Servicios de Prevención.
En primer lugar, es importante aclarar que la catalogación de un trabajador como “personal sensible” a los efectos señalados, es considerado un dato de salud, y por tanto de categoría especial y sometido a una protección cualificada. Así se desprende el concepto amplio que, de esta categoría de datos, consagra el RGPD en su artículo 4: “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”, añadiendo en su Considerando (35) que se refiere a “todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro”. Por su parte, el Comité de Ministros del Consejo de Europa, en una de sus Recomendaciones, indicó que este concepto incluye “cualquier información que ofrezca una visión real sobre la situación médica del individuo”.
En relación con el acceso a datos sanitarios del personal derivados de la vigilancia de la salud, el artículo 22.3 de la PRL, en consonancia con el principio de minimización de datos del art. 5 del RGPD, señala que el mismo queda restringido al propio trabajador, al personal médico y a las autoridades sanitarias, que son aquellas que tienen competencia en materia de prevención de riesgos laborales y, en determinados supuestos, las competentes en materia de salud pública.
No obstante lo anterior, añade el artículo que “el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva”.
Por tanto, no habría inconveniente para realizar el envío del listado de personal sensible al personal médico del organismo y, en su caso, al personal médico del Servicio de Prevención Ajeno.
Por el contrario, el envío del listado de personal sensible a los Responsables del servicio de Personal u otros Jefes de Servicio para sus fines organizativos, no entraría dentro los supuestos autorizados por la norma, estando restringido su acceso a esta información a la situación de aptitud o no para el desempeño de su trabajo o a la necesidad de introducir mejoras en las medidas de protección y prevención.
Sin embargo, la propia normativa de protección de datos personales establece que, en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria, o prevenir el contagio. Es en este punto donde opera el principio de minimización de datos, en virtud del cual, los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad.
Por tanto, solo si para evitar la propagación y el contagio de los trabajadores, y por ende proteger su salud, resulta imprescindible el envío del listado de personal sensible a los Responsables del Personal y Jefes de Servicio, se debería proceder a dicho envío.
Como medida alternativa, si fuera posible, se recomienda limitar el envío de esta información a las personas autorizadas por la Ley de PRL (personal médico responsable de la vigilancia de la salud interno y del Servicio de Prevención Ajeno), siendo éstas las que le facilitaran al resto (Responsables personal y Jefes de Servicio) la condición de aptitud o no aptitud de los trabajadores para el desempeño, así como las necesidades a cubrir en materia de prevención y protección, a consecuencia de la situación de vulnerabilidad de los mismos.
Otra posibilidad a contemplar sería la del envío de este listado con datos anonimizados y agregados, por categorías, puestos de trabajo, o cualquier otra clasificación que impida la identificación del empleado.
Respecto al modo de envío, recalcar la necesidad de utilizar mecanismos de cifrado para proteger la confidencialidad de las comunicaciones.
*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.
Equipo Govertis
El Ministerio de Sanidad publicaba el pasado 28 de marzo la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, y que contiene, entre otras, las siguientes medidas en relación con la geolocalización de los usuarios:
Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente y operación de una aplicación informática para la autoevaluación de los usuarios en base a los síntomas médicos que comunique, que permitiría la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar, para poder personalizar las respuestas en función del protocolo de cada una de ellas.
En este caso, el Ministerio de Sanidad será el responsable del tratamiento de estos datos, mientras que la Secretaría será encargada de tratamiento.
Asimismo, se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial el análisis de la movilidad de las personas en los días previos y durante el confinamiento, a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.
En este caso, los operadores de comunicaciones electrónicas móviles comunicarán los datos de movilidad al Instituto Nacional de Estadística, para la realización del estudio.
Por tanto, el Gobierno únicamente realizará un tratamiento de datos personales de geolocalización de los usuarios que, previo consentimiento expreso, descarguen y utilicen la app de salud, y a los solos efectos de verificar la comunidad autónoma en la que están. El estudio de movilidad utiliza datos anonimizados.
Estas medidas han hecho que muchos se lleven las manos a la cabeza por la creencia de que estarían habilitando al Gobierno a realizar un seguimiento en masa de los ciudadanos, vulnerando así su derecho a la protección de datos personales.
Respecto al tratamiento de datos de salud mediante la aplicación, la Agencia Española de Protección de Datos (AEPD) viene recordando que existe habilitación para el tratamiento de datos personales en base a la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.
Así, la base jurídica de licitud o legitimación para realizar este tratamiento de datos se concretaría en los artículos 6.1.d) y e) del RGPD: “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, o “para el cumplimiento de una misión realizada en interés público”.
Además, al estar tratando datos de categoría especial, el tratamiento debe ampararse en las excepciones que recoge el artículo 9.2 RPGD. En este supuesto tenemos las del 9.2.c), g) e i): “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, “por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros“, o “de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”, así como la del 9.2.a) “cuando el interesado dio su consentimiento explícito” al introducir los datos en la App.
En cuanto a la base legal que sustenta el “interés público esencial”, podría atenderse a las siguientes disposiciones del ordenamiento jurídico español:
Artículo tercero:
“con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, […], podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
Artículo 26:
Artículo 54. Medidas especiales y cautelares.
Las medidas que se adopten deberán, en todo caso, respetar el principio de proporcionalidad.
De modo que podríamos entender que las medidas encomendadas por el Gobierno hallarían base jurídica de licitud para realizar el tratamiento de los datos. Ahora bien, aunque la legislación española habilita legalmente al referido tratamiento de datos, ninguna de las citadas normas incluye las medidas adecuadas y específicas para proteger los derechos y libertades del interesado exigidas por las letras g) e i) del RGPD, por lo que es esta la cuestión que debe ser analizada actualmente. Entre éstas, cabría destacar la necesidad de garantizar que los datos se utilicen solo para la finalidad indicada y sean eliminados al finalizar la pandemia, salvo su reutilización con fines de investigación, mediante su anonimización o pseudonimización.
Por el momento, la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 está disponible en seis comunidades autónomas: Asturias, Canarias, Cantabria, Castilla-La Mancha, Extremadura y Comunidad de Madrid, según Nota de prensa del Gobierno de fecha 6 de abril.
La mencionada Nota de Prensa precisa que el sistema de geolocalización vía GPS del teléfono móvil únicamente se activará con permiso del usuario y para la validación de la comunidad autónoma en la que se encuentra el usuario, para personalizar las respuestas en función de los protocolos de cada una de ellas.
Lo mismo señala la Política de Privacidad de la aplicación:
“Geolocalización (esto es, la localización vía GPS de tu teléfono móvil), opcional para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento. La geolocalización sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas”.
También en la sección de Preguntas Frecuentes de la aplicación se da respuesta a la cuestión de “¿La aplicación recoge datos de localización?”, de la siguiente manera: “La aplicación web solicita acceso a la localización vía GPS únicamente a la hora de registrarse y enviar autoevaluaciones para poder conocer en qué Comunidad Autónoma se encuentran los usuarios y poder conectarles con el sistema de atención sanitaria que les corresponda. Esta información es recogida con el propósito de garantizar la calidad de los datos y su análisis epidemiológico y así poder entender la distribución de los síntomas con datos lo más fiables posibles. El usuario puede denegar el acceso a la localización GPS, pero debe proporcionar una dirección donde se encuentra por si la administración necesitara ponerse en contacto con él y con fines epidemiológicos. La aplicación no recoge información continua de localización de los usuarios, ni rastrea su localización, ni tampoco realiza geofencing para determinar si el ciudadano se encuentra en su domicilio”.
Otras comunidades autónomas han desarrollado sus propias aplicaciones, así como otras herramientas de ayuda:
Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.
Equipo Govertis