LegalToday

Por y para profesionales del Derecho

Portal jurídico de Thomson Reuters, por y para abogados

30/09/2022. 17:48:02

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Tratamiento de datos personales en la lucha contra el Covid-19

socia de IT & Privacy de ECIJA

En estos días de estado de alarma y crisis sanitaria que nos está tocando vivir, son muchas las iniciativas, públicas y privadas, que pretenden abordar un objetivo, aportar herramientas y soluciones para atajar la epidemia, poner freno al contagio y luchar por la salud pública. Todas estas iniciativas tienen un origen común, el uso de la tecnología y los dispositivos que los ciudadanos y organizaciones tenemos a nuestro alcance y disposición.

Datos internet

Estas soluciones tienen, como denominador común, el tratamiento masivo de datos personales, muchos de gran sensibilidad por su especial naturaleza (datos de salud), así como otros que, aunque por sí mismos, o tratados de forma agregada, podrían no ser sensibles, pero que sirven de base para la trazabilidad de los movimientos de los ciudadanos (datos de geolocalización); convirtiéndose, por tanto, en informaciones de gran sensibilidad y que pudieran poner en riesgo los derechos fundamentales de los ciudadanos.

Para la seguridad ante el uso de este tipo de datos e informaciones, la normativa sobre protección de datos personales establece obligaciones y requisitos que, si bien han de ser tenidos en especial consideración, no pueden entenderse como un obstáculo o “limitación de la efectividad de las medidas que se adopten por las autoridades competentes” ante situaciones tan excepcionales como las que vivimos, si bien “tampoco pueden suponer la suspensión del derecho fundamental a la protección de datos”

A lo largo de este mes de marzo, son numerosas las publicaciones y medios, entre otros la Agencia Española de Protección de Datos, la última del pasado día 26, en donde indica que la protección de datos, el interés general, la protección de la salud pública y la lucha contra la epidemia, son compatibles, pues la propia normativa prevé soluciones que permiten el uso lícito de datos personales con las medidas necesarias para garantizar el bien común.

Así deben recordarse los criterios que deben aplicarse para que el tratamiento de los datos sea lícito y conforme a la normativa. Por un lado, la habilitación y legitimación de estos tratamientos se encuentra, como indicábamos, en la necesidad de proteger el interés público y garantizar los intereses vitales de los afectados; por ello, las finalidades de tratamiento deben limitarse, expresa y específicamente, al control de la epidemia y la protección de los citados intereses.

Sigue siendo un principio básico la proporcionalidad del tratamiento y la minimización de datos, debiendo ser las autoridades competentes las encargadas de determinar qué concretos datos son necesarios para el cumplimiento de las finalidades definidas. Por tanto, solo podrán ser estas autoridades las que puedan tratar dichos datos, y si en las soluciones desarrolladas participan entidades privadas, éstas últimas solo podrán tratar los datos siguiendo las instrucciones de las autoridades, no pudiendo utilizar, en ningún caso, estos datos para finalidades propias.

Por otro lado, mucho se ha hablado sobre la potencial capacidad de geolocalización tanto a través del dispositivo móvil como a través de distintas apps, y su posible utilización por parte de las autoridades:

Geolocalización del dispositivo e información anonimizada. Basándonos en razones de interés público, podrán facilitarse a las autoridades públicas competentes, datos anonimizados y agregados que permitan determinar el movimiento de las personas durante el estado de excepcionalidad, permitiendo generar informes sobre la concentración de dispositivos móviles en una determinada ubicación y la determinación de zonas con mayor o menor riesgo ("mapas de calor").

Geolocalización del dispositivo e información individualizada. Las autoridades competentes podrían solicitar información especifica de un ciudadano; para ello, en la solicitud a los operadores solo deberían facilitar el número de móvil, salvo que se determinara imprescindible facilitar datos adicionales. En estos casos, serán las autoridades quienes deberán realizar el juicio de proporcionalidad, teniendo un extraordinario peso la excepcionalidad de la situación epidémica y sanitaria, y el interés público derivado; lo que se ve refrendado, además, por el art.15 de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, que permite a los Estados miembros introducir medidas legislativas en pro la seguridad nacional y la seguridad pública (y por ende, la salud pública).

En todos los casos, los titulares de sistemas, aplicaciones, soluciones, que recaben y traten datos personales y/o de geolocalización, deben fomentar la transparencia e información al usuario, haciéndolo de forma clara, accesible y fácilmente comprensible sobre todos los aspectos que conlleven el tratamiento de sus datos personales, entre otros de las finalidades, las posibles comunicaciones de datos entre entidades o autoridades, el plazo del mantenimiento de sus datos, derechos, etc.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.