Hace unos días que venimos hablando de la geolocalización y del uso de los datos de salud como algunas de las medidas que se han articulado por parte del ejecutivo para hacer frente a la dura crisis sanitaria que estamos viviendo.
Más recientes son las informaciones que nos llegan sobre la posibilidad de que se pueda llegar a utilizar la geolocalización de los españoles con fines policiales. «Tendremos que estar al tanto de la base legitimadora utilizada para este tratamiento, al límite de la violación de los derechos fundamentales de los ciudadanos», afirma Joaquín Hernández, responsable del Departamento de Protección de Datos, Privacidad y Tecnologías de la Información de Unive Abogados.
La pandemia COVID-19 plantea amenazas y desafíos sin precedentes para las personas y países en todo el mundo, en la que la necesidad de detener su propagación y curar a los afectados es un objetivo compartido por las naciones a nivel mundial. Los esfuerzos realizados por la Organización Mundial de la Salud, otras organizaciones internacionales, gobiernos, autoridades sanitarias y su personal, así como las empresas, para prevenir una propagación del virus a una escala aún mayor, para salvar a las personas y proteger a la sociedad, están siendo ilimitados y deberán ser fuertemente respaldados mientras sea necesario.
Los Estados deben abordar dicha amenaza teniendo en cuenta los derechos humanos, incluidos los derechos a la privacidad y a la protección de datos personales. En este sentido, la Agencia Española de Protección de Datos hizo público un informe en el que analizaba el tratamiento de los datos personales relacionados con la salud de los posibles afectados por el virus, estableciendo que la normativa de protección de datos personales en ningún caso debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.
Independientemente de ello, entendemos crucial que, incluso en situaciones particularmente difíciles, se respeten los principios de protección de datos y, por lo tanto, se garantice que los interesados sean informados de cualquier tratamiento de sus datos personales.
En este sentido, en el caso de la vigilancia de una epidemia potencialmente mortal como es el COVID-19, no se puede afirmar que el derecho a la protección de datos personales sea incompatible con el monitoreo epidemiológico, ya que; (i) la propia normativa legitima el tratamiento de datos personales de salud en base al interés público general o la protección de los intereses vitales de las personas, como bien establece explícitamente el reglamento general de protección de datos, en su artículo 6 y concretamente haciendo referencia a la situación de pandemia en su considerando 46 y (ii) además podría llevarse a cabo utilizando datos personales anonimizados, y por lo tanto, no sujetos a la aplicación de la normativa aplicable en materia de protección de datos personales. En cualquier caso, este tratamiento de datos personales seguirá sujeto al resto de obligaciones normativas, y cualquier restricción a los principios y derechos de protección de datos debe responder a requisitos muy claros, incluso durante el estado de emergencia, para garantizar el respeto persistente del estado de derecho y los derechos fundamentales.
La excepcionalidad de estos tratamientos debe por lo tanto responder a la finalidad concreta para la cual se lleven a cabo, teniendo el carácter de provisional y durante el período limitado correspondiente al estado de emergencia. También será crucial que se garantice la adopción de las medidas de seguridad adecuadas tanto durante el tratamiento, como una vez finalizado el mismo, plazo este que podría en su caso alargarse incluso una vez levantado el estado de alarma. En concreto, se deberá prestar especial atención a las bases de datos personales de salud de los ciudadanos creadas durante el estado de alarma para la protección de la salud, mediante el control sanitario de ciudadanos y trabajadores, a través de controles de temperatura, informes clínicos, rastreo, seguimiento o elaboración de perfiles de los ciudadanos, que deberán ser suprimidas una vez dejen de ser necesarias para la finalidad para la que se crearon.
Entre las diversas situaciones nacidas de esta crisis sanitaria, no podemos dejar pasar por alto, entre otros, a los empleadores, ya que tienen la obligación legal, en virtud de la normativa de prevención de riesgos laborales, de proteger la salud de sus trabajadores y mantener el lugar de trabajo libre de riesgos sanitarios. Por ello, estaría justificada la solicitud de información a los empleados y visitantes externos sobre su estado de salud y/o sintomatología relacionada con la enfermedad, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias. Esta información deberá ser tratada por el empleador manteniendo la privacidad del afectado, y únicamente ser comunicada a las autoridades competentes.
Así pues, dadas las circunstancias excepcionales, los empleadores se verán en la obligación de realizar un tratamiento de datos personales no previsto inicialmente, y deberán realizar el pertinente análisis de riesgos y en su caso, evaluación de impacto en la protección de los datos personales con el objetivo de implantar las medidas jurídico-organizativas y de seguridad necesarias que les permitan garantizar la seguridad y privacidad de los datos personales, respetando los principios de necesidad, proporcionalidad y responsabilidad proactiva.
Especial relevancia tiene también el tratamiento de los datos personales de geolocalización de los ciudadanos, como se desprende de la Orden SND/297/2020 por la que se encomienda a la Secretaria de Estado de Digitalización e Inteligencia Artificial el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19 que pasamos a detallar a continuación:
-
- La creación de una aplicación móvil de autoevaluación con el objetivo de que el usuario pueda autoevaluarse en base a los síntomas médicos que comunique, así como ofrecer y proporcionar información sobre el COVID-19. Esta aplicación permitirá la geolocalización del usuario a los efectos de verificar que se encuentra en la Comunidad Autónoma en que declara estar. Cabe añadir, que dicho tratamiento no será anónimo y la persona será fácilmente identificable.
- El análisis de movilidad de las personas durante los días previos y durante el confinamiento a partir del modelo emprendido por el Instituto Nacional de Estadística (INE) en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera anonimizada, por lo que los usuarios no serán identificables. Esta información será facilitada al INE por las compañías de telecomunicaciones, participando así activamente en la lucha contra la propagación de COVID-19.
Desde el Gobierno, se ha anunciado que no dudarán en utilizar también esta información de geolocalización con fines policiales, siempre que tengan el amparo legal.
En este sentido, y a modo de conclusión, es evidente que el tratamiento de los datos personales de salud, así como la geolocalización nos proporcionan una información fundamental sobre la propagación del virus, y por tanto, resultan claves para combatirlo.
Sin embargo, nos preguntamos hasta qué punto puede un Estado llevar a cabo el tratamiento de los datos personales de salud o la geolocalización de sus ciudadanos sin su consentimiento en situaciones excepcionales de emergencia. ¿Serían tratamientos efectivamente necesarios y proporcionales para combatir la pandemia?. Si bien el tratamiento de los datos de salud parece que no plantea dudas entre los profesionales de la privacidad, el tratamiento de los datos de geolocalización a tiempo real del usuario estaría suscitando más controversia.
A tenor de las últimas declaraciones del Gobierno, en las que se plantea utilizar la geolocalización como dato personal para sancionar a los ciudadanos que no cumplan con las restricciones del estado de alarma, existen serias dudas sobre la legitimidad de este tratamiento, al no encontrar una base legitimadora que pudiera ampararlo, y siendo un tratamiento excesivamente intrusivo en la privacidad de los ciudadanos.
En cualquier caso, Manuel Hernández, abogado de la firma nacional Unive Abogados entiende que es de vital importancia que se lleven a cabo todas las medidas oportunas para hacer frente al COVID-19, pero insistiendo siempre en las soluciones menos intrusivas para la privacidad del ciudadano. www.unive.es
