LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 03:22:07

LegalToday

Por y para profesionales del Derecho

Blog Administración Pública

El derecho a la protección de datos puede verse vulnerado ante las pruebas del COVID-19

Abogado dedicado a la práctica del Derecho Administrativo y Contencioso - Administrativo, es actualmente Socio - Director de Administrativando Abogados

Al objeto de la detección y control del COVID-19, como es sobradamente conocido, se están llevando a cabo pruebas de diagnóstico. Actualmente, hay 3 tipos de pruebas: PCR (son los más fiables -en torno al 90%- y son los que se han estado haciendo desde el inicio de la enfermedad), test de Antígenos y test serológico. La Administración ha regulado su práctica de acuerdo con las directrices, instrucciones y criterios acordados por el Ministerio de Sanidad y las Administraciones autonómicas competentes, al ser consideradas como el instrumento más idóneo para mitigar el contagio y propagación del virus.

Dos portátiles enfrentados saliendo rayos de uno al otro.

Sin embargo, esto ha producido diversos cuestionamientos sobre si la aplicación de dichas pruebas -así como de otros mecanismos para su detección. vulnera o no los requerimientos relativos a la protección de datos de carácter personal, en virtud de que los datos relativos a la salud resultan ser especialmente protegidos.

Partiendo de la base que la normativa en protección de datos la encontramos principalmente en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y en la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales [en el ámbito internacional, contamos con el Reglamento Sanitario Internacional (2005)], la Agencia Española de Protección de Datos (AEPD), se ha pronunciado al respecto, estableciendo en su informe 0017/2020 -emitido por su Gabinete Jurídico- que el Reglamento europeo reconoce como base jurídica para el tratamiento lícito de datos personales, lo dispuesto en su artículo 6.1 d) y e), esto es, los intereses vitales del interesado u otras personas físicas o la misión realizada en interés público.

Empero, para el tratamiento de datos de salud no basta con que exista una base jurídica, sino que también ha de concurrir una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos -como los de la salud- de conformidad con lo dispuesto en el artículo 9.1 y 9.2 del mismo ordenamiento. Dichas circunstancias, señala la AEPD, se hallan en diversos apartados del artículo 9.2, tales como:

  • En las relaciones ente empleador y empleado, por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, ya que el empleador está sujeto a la normativa de prevención de riesgos laborales. Así, en el entorno de la situación derivada del COVID-19, ello supone que el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo, para que se puedan adoptar las medidas oportunas [apartado b)].
  • Los apartados g) e i), hacen referencia a un interés público, el primero de ellos calificado de esencial y el segundo de ellos a un interés público calificado en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud.
  • Cuando el tratamiento es necesario para realizar un diagnóstico médico, o evaluación de la capacidad laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social [apartado h)].
  • Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento [apartado c)].

Por tanto, en situación de emergencia sanitaria, es oportuno señalar que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de dicha normativa permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la protección de intereses esenciales en el ámbito de la salud pública.

Concatenado con lo anterior, el ordenamiento español cuenta con normativa para enfrentarse a situaciones de riesgo sanitario, entre las que destacan: la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública -modificada mediante Real Decreto-ley 6/2020, de 10 de marzo- (en lo referente a las medidas a adoptar por la autoridad sanitaria a efectos de control de enfermedades transmisibles como lo dispone su artículo 3), la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (artículo 9, que versa sobre los límites del consentimiento informado y consentimiento por representación) o la Ley 33/2011, de 4 de octubre, General de Salud Pública (artículos 5 y 84 que abordan la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades).

Todo ello -concluye la AEPD- da lugar a que, desde la perspectiva del tratamiento de datos personales, la custodia de intereses básicos en el ámbito de la salud pública, corresponda a las distintas autoridades sanitarias de las diferentes Administraciones Públicas, quienes podrán adoptar las medidas necesarias para proteger dichos intereses en situaciones de emergencia sanitaria, máxime si el considerando 54 del Reglamento europeo señala que el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública.

En consecuencia, los datos personales en estas situaciones de emergencia sanitaria, son tratados de conformidad con la normativa de referencia, debiéndose aplicar los principios contenidos en el artículo 5 del Reglamento europeo (tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad, principio de exactitud y de minimización de datos).

No obstante lo anterior, aunque si bien es cierto que la salud pública debe imperar, no es menos cierto el hecho de que los poderes públicos deben actuar dentro de los límites que la normativa indicada establece.

Los datos tratados, deberán de ser, exclusivamente, los estrictamente necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales, porque el derecho fundamental a la protección de datos sigue aplicándose al no haber sido suspendido (sólo viable en un estado de excepción), amén de que su tratamiento debe encontrarse siempre bajo el amparo de la legalidad y proporcionalidad, ya que, de lo contrario, podríamos situarnos ante una flagrante vulneración de los mismos.

Si quiere saber más sobre asuntos de derecho administrativo / contencioso – administrativo, o conocer la trayectoria de su autor, puede acudir al blog https://administrativando.es/

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Blog Administración Pública

Te recomiendo

El objetivo de este blog es crear un foro de debate sobre los temas de actualidad de la Administración Pública, dando valor y visibilidad a la labor del funcionariado. Queremos que la modernización y la transformación digital de la Administración tengan un espacio destacado en este blog, para así promover y participar en este gran cambio cultural.

Hablaremos de novedades normativas y jurisprudenciales, de los avances tecnológicos y de los beneficios de este cambio.

Promovemos el debate y la crítica constructiva, y os brindamos un espacio para que podáis compartir las dudas e inquietudes que os surjan en vuestro día a día.

¿Quiere aportar su experiencia? Contacte con nosotros a través de comunicacion@thomsonreuters.com