I.
ANÁLISIS DE LAS BASES JURÍDICAS DE LEGITIMACIÓN Y DE LOS PRINCIPIOS QUE RIGEN LOS TRATAMIENTOS DE DATOS PERSONALES EN SITUACIÓN DE EMERGENCIA SANITARIA
La actual situación de crisis sanitaria derivada de la pandemia del Covid-19 ha llevado, en la lucha contra la propagación del virus responsable de la misma, a la necesidad de llevar a cabo diversos tratamientos de datos que han sido acogidos con cierta preocupación por la población, surgiendo numerosas cuestiones relacionadas con la legitimación de dichos tratamientos, así como el alcance de los mismos.
Ante tal situación, la Agencia Española de Protección de Datos (en adelante, AEPD) publicó un Informe (0017/2020) en el que realiza un análisis de los tratamientos de datos resultantes de la actual situación derivada de la expansión del Coronavirus SARS-CoV-2, causante de la enfermedad Covid-19, y cuyas principales conclusiones se exponen a continuación.
Como punto de partida cabe resaltar, tal y como recuerda la AEPD en su Informe, que la normativa sobre protección se aplica en su integridad a la situación actual y, de hecho, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (en adelante, RGPD) contiene las salvaguardas necesarias que permiten compatibilizar los dos intereses que se encuentran en juego en una situación de emergencia sanitaria como la que atravesamos: la salud pública y la protección de datos de carácter personal.
Los Considerandos del RGPD (en particular, en el 46) (LA LEY 6637/2016) abordan expresamente la cuestión, indicando que «ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.» Es decir, el RGPD prevé expresamente como bases jurídicas para el tratamiento lícito de datos personales en situaciones de emergencia sanitaria la misión realizada en interés público (art. 6.1.e (LA LEY 6637/2016)) y el interés vital del interesado u otras personas físicas (art. 6.1.d (LA LEY 6637/2016)), sin perjuicio de la existencia de otras, como se verá más adelante.
En relación con la base jurídica relativa a la protección del interés vital del interesado u otra persona física, resulta especialmente interesante la aclaración que la Agencia Española de Protección de Datos realiza a través del mencionado Informe 0017/2020, en el que resalta que dicha base jurídica del tratamiento (el interés vital) puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados, y ello es reconocido por la normativa de protección de datos personales.
Además de las dos anteriores bases jurídicas expresamente previstas por el RGPD para una situación de crisis sanitaria como la que atravesamos, dentro de listado que ofrece el artículo 6, y al margen del propio consentimiento del interesado, cabe referirse a la base jurídica relativa al cumplimiento de una obligación legal (art. 6.1.c) RGPD (LA LEY 6637/2016)), dentro de la cual, como refiere el Informe que se viene analizando, se enmarcaría por ejemplo el tratamiento de datos que sea necesario por parte del empleador para cumplir con la obligación de prevención de riesgos laborales respecto de sus empleados.
Con aquellos tratamientos que impliquen categorías especiales de datos personales la existencia de una base jurídica del artículo 6 RGPD no resulta suficiente
Sin embargo, en relación con aquellos tratamientos que impliquen categorías especiales de datos personales, como lo son los de salud, la existencia de una base jurídica del artículo 6 RGPD (LA LEY 6637/2016) no resulta suficiente, debiendo concurrir en estos casos una circunstancia de las que se enumeran en el artículo 9 RGPD (LA LEY 6637/2016) que excepcione la prohibición general de tratarlos.
La AEPD analiza el listado que ofrece el mencionado precepto y concluye que, ante una situación de crisis sanitaria como la actual, dichas circunstancias pueden encontrarse en diversos de sus epígrafes, en particular, los siguientes (distintas del propio consentimiento del interesado): i) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2 b (LA LEY 6637/2016)) —lo cual ocurriría en las relaciones entre el empleador y el empleado, por cuanto el tratamiento resultaría necesario a fin de cumplir el empresario con su deber de velar por la seguridad y salud de sus trabajadores, para lo cual deben tratarse datos de salud como lo sería la condición de contagiado por el virus—; ii) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros (art. 9.2 g (LA LEY 6637/2016)); iii) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud (art. 9.2 i) (LA LEY 6637/2016); iv) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social (art. 9.2 h (LA LEY 6637/2016)); v) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento (art. 9.2 c (LA LEY 6637/2016)).
No obstante, en tanto en cuanto la normativa sobre protección de datos sigue siendo de aplicación en su integridad, recuerda la Agencia que deberán respetarse en dichos tratamientos de datos todos los principios contenidos en el artículo 5 RGPD (LA LEY 6637/2016) que, a continuación, se describirán brevemente:
-
i) El principio de licitud, lealtad y transparencia. El principio de licitud implica que los datos personales solo podrán ser tratados cuando exista una base jurídica que legitime el tratamiento. Por su parte, el principio de lealtad determina que no podrán recabarse datos personales por medios fraudulentos (por medios o métodos engañosos), desleales (que den lugar a una discriminación injusta o arbitraria) e ilícitos (que sean ilegales). Finalmente, la transparencia exige que toda la información relativa al tratamiento de datos sea fácilmente accesible y que se utilice un lenguaje claro y sencillo.
-
ii) El principio de limitación de la finalidad, en virtud del cual los datos personales deben ser recabados con fines determinados, explícitos y legítimos, y no podrán serán tratados posteriormente para finalidades distintas o de manera incompatible con dichos fines.
-
iii) El principio de minimización de datos, que determina que los datos que se recojan deben ser adecuados, pertinentes y limitados o no excesivos, en relación con los fines que legitiman el tratamiento.
-
iv) El principio de exactitud, conforme al cual deben adoptarse todas las medidas razonables para corregir posibles errores, modificar los datos que resulten inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
-
v) El principio de limitación del plazo de conservación, que determina que los datos no podrán mantenerse de forma que se permita la identificación de los interesados durante más tiempo del necesario para los fines del tratamiento.
-
vi) El principio de integridad y confidencialidad, que implica que deberá garantizarse una seguridad adecuada para preservar la integridad de los datos e impedir el acceso o uso no autorizado mediante la aplicación de medidas técnicas y organizativas apropiadas.
Especial atención merecen el principio de minimización de datos, el de limitación de la finalidad y el de limitación del plazo de conservación, cuya aplicación, en el contexto de la actual pandemia del Covid-19, implicarían que los datos que se recojan al objeto de controlar y luchar contra la propagación del virus (en los distintos escenarios que se han venido analizando) únicamente podrán ser aquellos que resulten imprescindibles para alcanzar dicha finalidad, no podrán ser tratados posteriormente para finalidades distintas o que resulten incompatibles con ésta, ni podrán ser conservados por un plazo superior al necesario para dicha finalidad (a excepción del plazo legal para el cumplimiento de obligaciones legales y el plazo de prescripción de las eventuales responsabilidades derivadas del tratamiento).
A la vista de todo lo expuesto, resulta incuestionable que el RGPD, lejos de suponer un obstáculo en la lucha contra la pandemia del Covid-19, contiene las previsiones necesarias que permiten legítimamente aquellos tratamientos que puedan requerirse para afrontar la actual crisis sanitaria.
II.
IMPLICACIONES DE LA PROTECCIÓN DE DATOS PERSONALES EN EL COMBATE TECNOLÓGICO CONTRA EL CORONAVIRUS
1.
Orientaciones de la Comisión Europea en relación con el uso de aplicaciones móviles
Las tecnologías y los datos digitales pueden desempeñar una valiosa función en la lucha contra la propagación del Coronavirus SARS-CoV-2 y, en particular, las aplicaciones móviles pueden contribuir enormemente al seguimiento y contención de la pandemia, tanto a nivel nacional como en el ámbito de la UE, especialmente ante la perspectiva del levantamiento o relajación de las medidas de confinamiento.
Ante esta situación, y a la vista de la implicación que el uso de las tecnologías y los datos digitales tienen en el ámbito de la privacidad de las personas, la Comisión Europea ha venido advirtiendo sobre la necesidad de desarrollar un enfoque común en el combate tecnológico contra el nuevo Coronavirus y, en este contexto, adoptó el pasado 8 de abril la Recomendación (UE) 2020/518 de la Comisión, de 8 de abril de 2020, relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados
(1) . Dicha Recomendación establece los principios generales que deberían guiar el desarrollo de un enfoque común para la utilización de tecnologías y datos digitales en respuesta a la crisis actual, centrando la atención en dos aspectos en particular: i) un enfoque coordinado paneuropeo para la utilización de aplicaciones móviles que permitan a los ciudadanos adoptar medidas de distanciamiento social eficaces y más específicas, así como para la alerta, la prevención y la localización de contactos con el fin de limitar la propagación del Coronavirus SARS-CoV-2; y ii) un enfoque común para modelizar y predecir la evolución del virus a través del uso de datos de localización móvil anonimizados y agregados. Asimismo, mediante la Recomendación se anunciaba que la Comisión publicaría orientaciones adicionales, especialmente en lo relativo a las consecuencias del uso de las aplicaciones para la intimidad y la protección de los datos personales en este ámbito.
Al amparo de dicha previsión, el pasado día 17 de abril, se publicó la Comunicación de la Comisión Europea con orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de COVID-19 en lo referente a la protección de datos
(2) . A través dicho documento, la Comisión Europea analiza los principios que deberían regir en el uso de aplicaciones móviles con las distintas funcionalidades que se han venido planteando al hilo de la actual pandemia, en particular, i) la funcionalidad de información sobre el Covid-19, ii) la funcionalidad de comprobación de síntomas y de telemedicina y iii) la funcionalidad de rastreo de contactos y de alerta (3) .
A continuación, se destacarán las principales orientaciones de la Comisión, especialmente en relación con las aplicaciones con funcionalidades de rastreo de contactos y de alerta, debido al especial interés que presentan en este momento en que comienza el levantamiento paulatino de las actuales restricciones.
Como punto de partida, la Comisión recomienda que, atendiendo a la sensibilidad de los datos personales y la finalidad con que los mismos pretenden tratarse, las aplicaciones sean diseñadas de tal manera que las autoridades sanitarias nacionales (o entidades que realicen una misión que se lleve a cabo en favor del interés público en el ámbito de la salud) sean las responsables del tratamiento de dichos datos, circunstancia que contribuirá a reforzar la confianza de los ciudadanos y, en consecuencia, la aceptación de las aplicaciones.
Uno de los aspectos sobre los que la Comisión Europea hace especial énfasis es la importancia de transmitir a los usuarios que siguen teniendo el control de sus datos, al objeto de lograr la confianza de los usuarios en las aplicaciones, para lo cual deberían cumplirse los siguientes requisitos:
-
• La instalación de la aplicación debería ser voluntaria y no derivar consecuencia negativa alguna para aquellos usuarios que decidan no descargar o no usar la aplicación.
-
• No deberían agruparse las distintas funcionalidades (canal de información sobre el Covid-19, comprobación de síntomas/telemedicina y rastreo de contactos y alerta), de forma que el usuario pueda otorgar su consentimiento específico para cada una de ellas.
-
• En caso de utilizarse datos de proximidad, como ocurriría en la funcionalidad de rastreo de contactos y alerta, los datos deberían almacenarse en el dispositivo del usuario y, si se prevé compartir los datos con las autoridades sanitarias, debería hacerse únicamente una vez se hubiera confirmado que esa persona está infectada por el Coronavirus SARS-CoV-2, y la persona acceda a ello.
-
• Las autoridades sanitarias deberán facilitar a los usuarios toda la información en relación con el tratamiento de sus datos personales.
-
• Los usuarios deberían poder ejercer los derechos que confiere el RGPD.
-
• Las aplicaciones deberían desactivarse una vez se declare que la pandemia está controlada, no haciendo depender la desactivación de la misma de su desinstalación por parte del usuario.
En relación con la base jurídica para el tratamiento de los datos por parte de las autoridades sanitarias, la Comisión recuerda que apoyarse en la legislación como base jurídica contribuirá a la seguridad jurídica, dado que, a través de la misma, se determinarían claramente los detalles y el alcance del tratamiento.
Otro de las cuestiones que se resaltan en el documento de orientaciones es el principio de minimización de los datos, en virtud del cual únicamente podrían recogerse los datos personales que sean adecuados, pertinentes y estrictamente necesarios en relación con la finalidad perseguida. Y en particular, por lo que se refiere a la funcionalidad de rastreo de contactos y de alerta, recomienda la utilización de sistemas de comunicación entre dispositivos por Bluetooth de baja energía (BLE) o tecnología equivalente, en vez de los de geolocalización, en tanto en cuanto estos últimos permiten la localización del usuario, lo cual, tal y como recuerda la Comisión, no resulta necesario para la funcionalidad de rastreo de contactos, ya que su objetivo no es seguir los movimientos de las personas ni controlar el cumplimiento de las restricciones acordadas. Asimismo, únicamente deberían generarse y tratarse datos de proximidad si existiera un riesgo real de infección en función de la cercanía y la duración del contacto.
Por lo que se refiere a la limitación en el acceso a los datos y a la divulgación, en el caso de la funcionalidad de rastreo de contactos y de alerta, la Comisión entiende que los identificadores de la persona infectada deberían almacenarse en el propio dispositivo de la persona infectada, sistema que resultaría más acorde con el principio de minimización de datos que la opción de almacenar los datos en un servidor al que tengan acceso las autoridades sanitarias. Por su parte, no debería revelarse la identidad de la persona infectada a aquellas con las que hubiera estado en contacto, así como tampoco deberían almacenarse los datos sobre el momento y el lugar de dichos contactos.
De cara a garantizar que el usuario conozca qué datos y con qué finalidad se tratarán, el documento recomienda que no se agrupen las diferentes funcionalidades, ya que la finalidad de tratamiento será distinta para cada una de ellas.
Además, la Comisión Europea recuerda, en virtud del principio de limitación del plazo de conservación, que los datos no deberán ser conservados más allá del tiempo necesario, lo cual, en el caso de los datos de proximidad, se traduciría en la supresión de los mismos transcurrido el plazo máximo de un mes (período de incubación más el margen) o después de que la persona hubiera sido sometida a una prueba con resultado negativo.
Se recomienda el almacenamiento de los datos en el dispositivo terminal de la persona de forma cifrada
En lo referente a la seguridad de los datos, se recomienda el almacenamiento de los datos en el dispositivo terminal de la persona de forma cifrada, mediante las técnicas criptográficas más avanzadas y, en caso de almacenarse en un servidor central, el acceso al mismo debería estar sujeto a registro previo.
Por otra parte, al hilo del análisis del principio de exactitud de los datos, y atendiendo a la importancia de garantizar la exactitud de la información sobre si realmente se ha producido un contacto cercano con una persona contagiada (distancia y duración) para minimizar el riesgo de falsos positivos, se insiste en la conveniencia de que las aplicaciones se basen en tecnologías que permitan una evaluación más precisa del contacto, como por ejemplo el Bluetooth, frente a otras tecnologías como el uso de datos de localización basados en telefonía móvil, que no resultan tan precisas.
Finalmente, el documento exhorta a la participación e involucración de las autoridades en materia de protección de datos en el desarrollo de las aplicaciones.
2.
Las aplicaciones de rastreo de contactos ante el levantamiento de las medidas de confinamiento: a la espera de la evolución de los distintos proyectos
A día de hoy, en el contexto de dicha necesidad de establecer un enfoque común para luchar contra el Coronavirus SARS-CoV-2 dentro de los límites de la privacidad y protección de datos europeos, han ido surgiendo diversas iniciativas, impulsadas por diferentes agentes privados, con el objeto de desarrollar tecnología para la creación de aplicaciones móviles que ayuden a cortar las cadenas de contagios (aplicaciones de rastreo de contactos), algunas de las cuales han sido objeto de polémica en los últimos días.
Asimismo, y ante la consciencia de la importancia que presenta el seguimiento de las cadenas de contagio ante el levantamiento de las medidas de confinamiento, en ausencia de una medida en este ámbito a nivel central, alguna Comunidad Autónoma ha comenzado a adoptar alguna medida que permita hacer tal seguimiento. Así, en el caso del País Vasco por ejemplo, el pasado día 01 de mayo, el Departamento de Salud anunció que utilizará el programa de la Organización Mundial de la Salud para el estudio y seguimiento de los nuevos casos y sus contactos con el fin de facilitar el seguimiento de las cadenas de contactos (4) . Según describe el propio comunicado, se procederá a la instalación del mencionado programa en los ordenadores del personal de Salud Pública, así como en los de Atención Primaria para el estudio rápido de casos y contactos que permita el aislamiento adecuado. Por tanto, en principio el ámbito de utilización del mencionado programa estaría limitado a los ordenadores de los profesionales sanitarios.
A la vista del actual panorama, y ante el desafío de frenar la propagación del Coronavirus de una manera que resulte compatible con la normativa europea sobre protección de datos personales, únicamente cabe esperar a ver la evolución que sigan los distintos proyectos tecnológicos a la luz de las recomendaciones emitidas por la Comisión Europea, así como las decisiones que a este respecto adopte el Gobierno.