“… «Son podencos, vaya,
que no entiendes de eso.»
«Son galgos, te digo.»
«Digo que podencos…»”
“Por entre unas matas,/ seguido de perros,/ no diré corría,/ volaba un conejo…”
Carlos B Fernández. Hasta donde se tienen noticias, nunca antes la humanidad se había enfrentado a una pandemia que, en apenas tres meses, tuviese un alcance auténticamente global. Para encontrar un caso parecido habría que remontarse justo un siglo atrás, a la epidemia de gripe de 1918 a 1920, por mal nombre conocida como “gripe española”.
Pero hay dos diferencias sustanciales con aquella situación. En primer, la gran movilidad actual de la población ha hecho que la velocidad de propagación del coronavirus haya sido vertiginosa, mucho más rápida que en el caso anterior. Y, en segundo lugar, que hoy los medios para intentar limitar sus efectos y para encontrar un remedio son mucho mayores que entonces.
No solo el conocimiento científico es hoy mucho mayor que hace un siglo. También los medios técnicos a los que pueden acudir los especialistas en su investigación, son mucho más potentes. Y probablemente el más potente de todos ellos sea una capacidad de conocer muchos factores relacionados con la enfermedad que en 1918, sencillamente, no existían.
Hoy disponemos de un enorme volumen de datos de tipo técnico que, debidamente analizados por medio de los muy potentes sistemas de procesamiento disponibles, facilitan el conocimiento de las características del virus, su genoma, su comportamiento y que por ello acercan la fabricación del tratamiento necesario para combatirlo.
Pero también es posible contar con un gigantesco volumen de datos relativos a la población, cuyo aprovechamiento puede tanto colaborar a la limitación del alcance de la epidemia, como a su control y la eventual evaluación de las medidas adoptadas.
La fuente de esos datos se encuentra en la combinación de grandes redes globales de comunicaciones, como internet, más el hecho de que los aproximadamente 7.400 millones de personas que habitan el planeta, cuenten con unos 7.700 millones de teléfonos móviles (es decir, con más aparatos de este tipo que habitantes). Una suma que permite unas capacidades de obtención de información sin precedentes en la historia.
Estos dispositivos móviles permiten no solo la localización y el seguimiento de los movimientos o la actividad de una persona, sino también el control de datos biométricos de sus usuarios, como su pulso cardíaco, tensión arterial o temperatura corporal. Es decir, unos datos de indudable interés médico y científico imposibles de obtener en momentos anteriores de la historia y que sin duda pueden colaborar a identificar focos de contagio de la epidemia, prevenir su propagación de la epidemia y evaluar su evolución.
Por ejemplo, en el momento de escribir estas líneas, se ha sabido que en los Estados Unidos la instalación en miles de teléfonos móviles de una app que permite medir la temperatura corporal de su usuario, está facilitando la localización en determinada zona turística del país un alto número de casos de fiebre superior a la normal, lo que permite situar allí un potencial foco de la enfermedad.
A la vez, organismos y organizaciones públicos y privados han lanzado herramientas informáticas, accesibles a través de internet o instalables en los equipos de los ciudadanos, que permiten un diagnóstico precoz y la puesta en marcha de las medidas necesarias.
Por ejemplo, hace solo una semana, la Comunidad de Madrid anunció el lanzamiento de una app para permitir un diagnóstico temprano de la enfermedad, liberando un tanto de carga de trabajo a los centros de salud.
Es decir, contamos con más y mejores medios que nunca para enfrentar esta situación y ponerla remedio en un plazo razonable.
Y sin embargo …
“De su madriguera / salió un compañero / y le dijo: «Tente,/ amigo, ¿qué es esto? …”
Sin embargo, un concepto jurídico, es decir, no un hecho objetivo o un impedimento técnico o científico, sino una creación teórico-legal, más propia del mundo de las ideas que de la ciencia (entendida esta como conjunto de herramientas prácticas al servicio de un fin objetivo y tangible), se ha convertido en objeto de un debate en el que se atisba una grave potencialidad de obstaculizar, o al menos retrasar o condicionar, la investigación científica tan necesaria en estos momentos.
Se trata de la protección de datos personales.
Muchos de los datos a que nos hemos referido anteriormente, y que son imprescindibles para el tratamiento de la enfermedad, en el sentido más genérico de la expresión, son
de carácter personal.
Es decir, son unos datos que, de acuerdo con la norma europea de referencia en la materia, el Reglamento general de protección de datos (LA LEY 6637/2016) de 2016 (RGPD), constituyen “información sobre una persona física identificada o identificable”, técnicamente denominada «el interesado» (art. 4.1). Entre esas informaciones se incluye todo identificador que permita, directa o indirectamente, determinar la identidad de una persona, “como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Pero el Reglamento es claro en cuanto a qué se puede hacer con esos datos. En primer lugar, su tratamiento (que incluye desde la recogida, a su supresión o destrucción, pasando por su consulta, estructuración, utilización o transmisión), habrá de realizarse, en todos los casos y sin excepciones, de acuerdo con unos principios contenidos en su art. 5: licitud; lealtad; transparencia; limitación de la finalidad; minimización del dato; exactitud; limitación del plazo de conservación; integridad y confidencialidad y responsabilidad proactiva.
En segundo lugar, que un tratamiento de datos solo será lícito en determinadas condiciones (como que el interesado hubiese dado su consentimiento para ello; que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado; que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; que sea necesario para proteger intereses vitales del interesado o de otra persona física; que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, o que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, que no se opongan a otros derechos o intereses legítimos) (art. 6).
Y en tercer lugar, por lo que a nuestro caso interesa, que si bien el Reglamento prohíbe expresamente el tratamiento de datos genéticos, biométricos o relativos a la salud “dirigidos a identificar de manera unívoca a una persona física”, exceptúa expresamente de esa limitación los casos en que dicho tratamiento sea, ya por razones de “interés público esencial” o, más concretamente “por razones de interés público en el ámbito de la salud pública” (art. 9, núms. 1 y 2, letras a), g) e i)).
Numerosos Considerandos del RGPD explican y aclaran los fundamentos y alcance de estas prescripciones (1).
Es decir, todo parece indicar que estamos ante un marco normativo bastante claro: el RGPD permite el tratamiento de datos personales, sin consentimiento expreso del interesado, por razones de protección de la salud pública y especialmente en caso de epidemia. Y, como el resto de tratamientos, este se encuentra en todo caso sometido a unos principios rectores y a unos deberes de custodia y protección por parte de quien los trate, que en ningún caso pueden ignorarse.
No parece una conclusión compleja de obtener, extravagante, ilógica o contraria a la lógica.
“Dos pícaros galgos / me vienen siguiendo»./ «Sí», replica el otro,/ «por allí los veo,/ pero no son galgos»./ «¿Pues qué son?» «Podencos…»
Sin embargo, desde que la crisis generada por la epidemia se desató en Europa, la sucesión de comunicados, informes y opiniones, ha seguido un crescendo desconcertante para muchos.
Ya el 2 de marzo, el Garante per la protezione dei dati personali italiano hizo pública una nota de prensa (Coronavirus: Garante Privacy, no a iniziative "fai da te" nella raccolta dei dati”), en la que concluye pidiendo a todos los responsables de tratamiento que cumplan estrictamente las instrucciones dadas por el Ministerio de Salud y las instituciones competentes para evitar la propagación del Coronavirus “sin emprender iniciativas autónomas destinadas a la recopilación de datos también sobre la salud de los usuarios y los trabajadores, cuando dichas iniciativas no estén reguladas por la ley ni ordenadas por los organismos competentes”.
El día 6, la CNIL francesa emitió el documento “Coronavirus (Covid-19): les rappels de la CNIL sur la collecte de données personnelles”, en el que entre otras cosas, indicaba que “los empleadores no pueden adoptar medidas que puedan atentar contra la intimidad de las personas afectadas, en particular reuniendo datos sanitarios que vayan más allá de la gestión de la presunta exposición al virus”. Según la autoridad francesa, “estos datos están sujetos a una protección especial, tanto por la RGPD como por las disposiciones del Código de Salud Pública”, por lo tanto, “los empleadores deben abstenerse de recopilar, de manera sistemática y generalizada, o mediante consultas y solicitudes individuales, información relativa a la búsqueda de posibles síntomas presentados por un empleado/agente y sus familiares”. Estas medidas impiden realizar “lecturas obligatorias de la temperatura corporal de cada empleado/agente/visitante” o la “recolección de registros médicos o cuestionarios de los empleados/agentes”. En estas condiciones, la única acción permitida a los empresarios es “registrar la fecha y la identidad de la persona sospechosa de haber sido expuesta (a contagio)”
Poco después, en fecha que no hemos podido precisar, la autoridad de control alemana BFDI, hacía público un comunicado en el que señalaba que “Aunque el procesamiento de datos de salud es fundamentalmente posible solo de manera restrictiva, esos datos se pueden recopilar y utilizar para diversas medidas orientadas a contener la pandemia de coronavirus o a proteger a los empleados”, sobre la base del principio de proporcionalidad. En este sentido señala que “pueden considerarse legítimas” la recopilación y el tratamiento de datos personales (incluidos los datos de salud) de los empleados, por parte de los empleadores, “para prevenir o limitar la propagación del virus entre los empleados de la mejor manera posible”. Esto incluye en particular información sobre los casos en los que: se ha identificado una infección o el contacto con una persona infectada comprobada; se realizó una estancia en un área clasificada como área de riesgo durante un período determinado. Del mismo modo se considera legítima la recopilación y el tratamiento de datos personales (incluidos datos de salud) de invitados y visitantes de la empresa, en las mismas circunstancias.
Siguiendo esta estela, el 12 de marzo, la Agencia Española de Protección de Datos hizo público el importante Informe 0017/2020 de su Gabinete Jurídico, sobre tratamientos de datos resultantes de la actual situación derivada de la extensión del virus Covid-19. Este informe fue seguido y documento relativo a “Preguntas Frecuentes” sobre el Coronavirus, que se centró particularmente en el tratamiento de datos en el ámbito laboral.
En su informe, la Agencia Española declaraba que:
- El RGPD ha pretendido dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable.
- En una situación de emergencia sanitaria como la generada por la epidemia de coronavirus, es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable.
- Desde el punto de vista de la normativa de protección de datos personales esas decisiones serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales citados. En particular, en la salvaguarda de dichos intereses, los responsables del tratamiento deberán actuar conforme a lo que las autoridades nacionales (sanitarias, en este caso) establezcan.
- En todo caso, esos datos deberán ser tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), LOPDGDD (LA LEY 19303/2018)), por lo que deben aplicarse a los mismos todos los principios contenidos en el artículo 5 RGPD (LA LEY 6637/2016), y entre ellos el de tratamiento de los datos personales “con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos”.
Y en el documento “Preguntas frecuentes sobre el coronavirus” precisaba:
“… la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia.
La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado.
En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación".
Dos días después, el 14 de marzo, el Gobierno de la Nación aprobó el Real Decreto 463/2020, de 14 de marzo (LA LEY 3343/2020), por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el Covid-19. Como ha recordado José Luis Piñar, de acuerdo con el art. 55.1 de la Constitución (LA LEY 2500/1978), el derecho a la protección de datos, que deriva del artículo 18.4 de la CE (LA LEY 2500/1978), no puede ser suspendido ni siquiera en los estados de excepción y sitio, por lo que mucho menos, puede serlo, y por tanto no lo ha sido, en el estado de alarma.
“«Son galgos, te digo.» / «Digo que podencos»…”
El 16 marzo, la directora del Comité Europeo de protección de datos, Andrea Jelinek, hizo público un comunicado, ampliado el día 19, en el que advertía que si bien el RGPD establece los fundamentos jurídicos para permitir a los empleadores y a las autoridades de salud pública competentes procesar datos personales en el contexto de epidemias, sin necesidad de obtener el consentimiento del interesado, el tratamiento de datos de comunicaciones electrónicas, como los datos de localización de móviles, requieren la aplicación de reglas adicionales. Unas reglas que exigen o bien la anonimización de los datos o bien el consentimiento de los interesados, aunque, por razones de seguridad nacional y la seguridad pública, las legislaciones nacionales pueden exceptuar la exigencia de dicho consentimiento.
Desde su blog, el profesor Ricard Martínez se mostró muy crítico con estas posturas, denunciando, en su artículo “A la muerte por protección de datos“, que un enfoque individualista del derecho a la protección de datos que le conceda “prevalencia absoluta” frente a otros, suele conllevar perder de vista, por un lado la necesidad de una interpretación sistemática del ordenamiento y, por otro, que el fin último, tanto del RGPD, como de la LOPDGDD (LA LEY 19303/2018), es la preservación de la dignidad humana, un principio “que no posee solo una dimensión individual, sino que se construye dialécticamente como un principio comunitario”.
Y “puesto a enfrentar estas necesidades desde un punto de vista constitucional pareciera evidente que en el caso de COVID19, el valor determinante debería ser la preservación de la salud y la vida. Es decir, sin minorar el derecho fundamental a la protección de datos, nuestro enfoque debería ser funcional al objetivo de luchar contra la epidemia”.
En este sentido, en su opinión, el “juego combinado de [las normas que integran el marco regulador en salud pública y vigilancia epidemiológica] y de algunos pequeñas, previsiones constitucionales, como el principio de dignidad del artículo 10, el valor supremo de la vida y a la integridad física y moral (artículo 15), el derecho a la seguridad en términos de seguridad pública (artículo 17), o del derecho a la protección de la salud (artículo 43), podamos extraer algún fundamento legal para el tratamiento de datos personales en el caso COVID19”.
Una opinión apoyada por la abogada experta en protección de datos Ana Marzo Portela, quien en su artículo "La inoportuna doctrina de las autoridades europeas de proteccion de datos frente al COVID 19", publicado en Hay Derecho, apuntaba que “parece que las autoridades de control europeas y, en particular, la Agencia Española de Protección de Datos, no están teniendo en cuenta el conjunto del Ordenamiento Jurídico al analizar la situación epidemiológica en que nos encontramos al llevar a cabo sus conclusiones desde el punto de vista de la normativa de protección de datos”. En opinión de esta experta, “las reflexiones jurídicas de la Agencia Española de Protección de Datos han sido elaboradas partiendo de la base de un “marco de normalidad en protección de datos” en el cual obviamente los datos de salud, solo y exclusivamente deben ser tratados por las autoridades y medios sanitarios”, lo cual “nos lleva a un recorte jurídico inaceptable en la situación en que nos encontramos”.
Ese mismo día 16 la AEPD emitió un Comunicado “en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus” en el que, ante la constatación de que “están proliferando páginas web y aplicaciones móviles que ofrecen ayuda y servicios para autoevaluar y aconsejar en relación con el Coronavirus”, informa que ”ha podido constatar que algunas páginas web y apps no aportan la detallada información exigible para identificar a los responsables, ni incluyen las finalidades para las que podrían tratarse los datos. A ello se suma que se han detectado casos en los que se suplanta al Ministerio de Sanidad”.
Por ello advierte “al conjunto de la ciudadanía de los riesgos que implica el facilitar categorías de datos sensibles, como son los relativos a la salud, a estas webs y apps, incluso en aquellos casos en los que aparentemente esos datos no se asocian a la identidad del usuario que utiliza la aplicación”. Y concluye anunciando que “va a iniciar actuaciones de investigación para constatar estos tratamientos ilícitos de datos personales, identificar a sus responsables e imponerles en tal caso importantes sanciones económicas”.
Precisamente en relación con este mismo tema, el día 20 de marzo, la Comunidad de Madrid anuncia el lanzamiento de una app y una web (coronamadrid.com) para permitir la autoevaluación por los ciudadanos que teman haber sido contagiados del virus. La herramienta permite saber si sus síntomas coinciden con los habituales del coronavirus y, en ese caso, recibir asistencia sanitaria, todo ello con la finalidad de evitar el colapso del servicio de atención telefónica puesto en marcha por la Comunidad. Este sistema recoge datos como el DNI el número de teléfono y la dirección del usuario, además de permitir la localización de los usuarios que así lo autorizaran.
Pese a la obviedad de que la Comunidad de Madrid, a través de su Consejería de Sanidad, ya dispone de esa y de mucha más información relativa a los usuarios, al día siguiente del lanzamiento de esta aplicación, una noticia en El Confidencial (posteriormente modificada), recogía las advertencias de dos profesionales de la protección de datos, alertando de posibles insuficiencias de la política de protección de datos recogida en esa aplicación y de los riesgos que se podían derivar de las mismas. En la rectificación posterior de la noticia esas advertencias fueron suprimidas.
También ese mismo día 20, el catedrático José Luis Piñar, otro de los más reputados expertos en privacidad de nuestro país, publica en el blog de Abogacia.es un artículo titulado “La protección de datos durante la crisis del coronavirus” en el que, tras explicar los efectos de la declaración del Estado de alarma sobre el derecho fundamental a la protección de datos a que nos hemos referido más arriba, y el contenido del Informe de la AEPD, recalca que “Ni en situaciones de pandemia global como la que estamos sufriendo, aún conscientes de que como parece ser lo peor está por llegar, podemos poner en entredicho un derecho fundamental como es el de la protección de datos”, al que no obsta a que “la protección de datos en ningún caso va a ser un obstáculo para luchar con todas las armas que en nuestras manos estén contra el coronavirus”.
En su análisis Piñar considera que “una lectura sosegada de la opinión de la AEPD y de la declaración de la Presidencia del Comité Europeo de Protección de Datos nos lleva a la conclusión de que la protección de datos en absoluto puede ser un obstáculo en la lucha contra el coronavirus. Como por lo demás se desprende de las preguntas frecuentes que ha publicado la propia Agencia, en las que por cierto no se exige que en todo caso y en exclusiva sea sólo y nada más que personal sanitario quien puede tomar la temperatura a los trabajadores con el fin de detectar casos de coronavirus. Lo que sí se exige en todo caso es que se respeten los principios de protección de datos, y especialmente el de finalidad (sólo contener la propagación del coronavirus y no otras distintas) y conservar los datos no más del tiempo necesario para tal finalidad”.
Por tanto, concluye, “es un exceso alarmista pretender que estamos ante posiciones inoportunas o, menos aún, que vamos a llegar a la muerte por protección de datos”.
Y el día siguiente, 21 de marzo, un colectivo de más de 60 profesionales dirige una Carta al Gobierno de la nación en la que “apoyan” su decisión de usar “medios tecnológicos que ayuden a prevenir contagios, salvar vidas, optimizar el sistema sanitario y acabar con la pandemia”, pero solicitan que ello se haga por medio de “una gestión legal, ética y transparente de los datos personales, en particular de los más sensibles”. En este sentido, repasan las líneas generales del RGPD al respecto y concluyen solicitando al Gobierno “aplicar todas las garantías establecidas en la normativa para reutilización de datos para finalidades de investigación científica” y la organización y coordinación “de un equipo multidisciplinar que trabaje para la gestión de posibles situaciones futuras similares”. Este documento, impulsado por algunos de los expertos que en su día impulsaron la presentación del recurso de inconstitucionalidad contra el art. 58 bis de la LOREG (LA LEY 1596/1985) que introdujo la LOPDGDD (LA LEY 19303/2018), no fue suscrito por las organizaciones profesionales del sector.
Hasta la fecha, la última aportación ha sido nuevamente la del profesor Ricard Martínez, quien en su artículo “La protección de datos personales en la crisis del COVID-19. Un enfoque desde la salud pública”, concluye que “En mi opinión ha llegado el tiempo del “cómo”, y autoridades y expertos podemos y debemos contribuir en el esfuerzo. Este trabajo trata de acreditar que existen bases jurídicas razonables para todos los posibles tratamientos. Y también de desterrar temores infundados. Las autoridades sanitarias actúan con pleno sometimiento al Derecho y bajo el control de una autoridad independiente, cuando no de la justicia. Y necesitan a unos expertos en protección de datos que salgan de su confortable zona de campeones del no, y desplieguen una enorme vocación de servicio, de dedicación a la comunidad como aliados en la guerra contra la enfermedad.”
Un panorama un tanto desconcertante en estos momentos de emergencia en el que muchos se preguntan ¿Si todos estamos de acuedo en que el peligro acecha invisible, es oportuno tanto debate y ruido en un momento en el que la única urgencia debe ser aplicar todos los medios posibles para controlar la difusión de la enfermedad y encontrar un tratamiento eficaz para la misma, naturalmente dentro del marco legal bajo el que nos regimos? Ya son muchos los esfuerzos que se están impulsando para ello y que podrían correr el riesgo de paralizarse o ralentizarse por temor a posibles obstáculos legales.
Posiblemente la opinión más calmada y realista sea la del estudioso italiano Paolo Benanti, quien escribía el pasado día 20 ("I nostri dati per il nostro futuro come sconfiggere il coronavirus"):
“¿Qué debemos dar hoy para garantizar nuestro mañana?
Para continuar viviendo debemos donar algo inmaterial pero estratégico y fundamental: nuestros datos. Solo dando la oportunidad de monitorizar los datos de ubicación y así alertar automáticamente a todos aquellos que han entrado en contacto con una persona infectada y que a su vez deben permanecer en cuarentena por su propio bien, sus seres queridos y la comunidad, podremos regresar, pronto, a un futuro. El futuro que nos pertenece (…)
Hoy este es un paso necesario para contener la propagación de la epidemia.
¿Dañará nuestra privacidad? Ciertamente. Pero la privacidad de los muertos no es necesaria.”
Y añade Benanti, “¿Pero quién puede estar a cargo de esta tarea extrema?”
“Ciertamente, no sujetos privados, gigantes del mundo de la información y con grandes intereses en el mundo de los datos, ni sujetos extranjeros”.
Y ante la conclusión de Benanti de que “lo ideal sería una gran empresa pública, alguien que ya gestiona, garantizando el propósito exclusivo de utilizar nuestros datos más sensibles, los aspectos más delicados e íntimos de nuestra vida, como los impuestos y la salud”, uno piensa irremediablemente en nuestro Instituto Nacional de Estadística, y mejor si fuese un organismo verdaderamente autónomo e independiente, como el que podría realizar y centralizar esos datos, para ahora y para el mañana.
Discutámoslo rápidamente, como propone Benanti, y encontremos una solución inmediata y funcional.
De lo contrario corremos el grave e imperdonable riesgo de concluir como los conejos de la fábula de Iriarte:
“En esta disputa
llegando los perros,
pillan descuidados
a mis dos conejos.
Los que por cuestiones
de poco momento
dejan lo que importa,
llévense este ejemplo.”
CODA
Concluido este artículo, la Asociación Profesional Española de Privacidad, APEP, ha hecho público un comunicado en el que anuncia que “promueve y ofrece su colaboración a iniciativas destinadas a mejorar la gestión de la crisis sanitaria derivada de la pandemia del COVID-19, como el desarrollo de páginas web o APPs para el seguimiento médico de enfermos, así como la formación y mejora continua de profesionales de protección de datos”.
Con esta finalidad, la Asociación “ha puesto en marcha un grupo de trabajo de protección de datos y salud para desarrollar actividades que promuevan la buena gestión de la privacidad y protección de datos en el ámbito sanitario. Del mismo modo, desde la Asociación se quiere incentivar el emprendimiento tecnológico en el sector salud, especialmente en un momento crítico como el actual derivado de la pandemia de Coronavirus COVID-19, para el desarrollo de aplicaciones que permitan optimizar y hacer más eficaz la lucha contra la enfermedad.
En este sentido, se explica, “el grupo de trabajo de APEP colabora con el colectivo CovidWarriors, en el lanzamiento de la aplicación gratuita HumanITCare, que permite el seguimiento remoto de los afectados por la infección del COVID-19; en la aplicación gratuita IKIGAI, que facilita la formación de los médicos sobre el COVID-19 en hospitales; y la web EpidemiXs, que facilita información fiable sobre la enfermedad. Todas ellas cuentan con un ingente trabajo detrás apoyado por profesionales de la privacidad comprometidos y volcados en la protección de los derechos fundamentales de la vida sin descuidar por ello el de la protección de datos”.
La Asociación concluye su comunicado trasladando “su ofrecimiento al sector de la salud en su conjunto para colaborar con aquellas iniciativas tecnológicas que busquen solucionar la grave crisis sanitaria provocada por la pandemia del COVID-19”.
CITAS:
https://twitter.com/kit_delgadoMD/status/1241363808263823360
https://coronavirus.comunidad.madrid/
https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_es
https://www.aepd.es/es/documento/2020-0017.pdf
https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID_19.pdf
https://www.wired.com/story/phones-track-spread-covid19-good-idea/
https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/
http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/
https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/
https://twitter.com/EgilGlez/status/1241295473270538252/photo/2
https://diariolaley.laleynext.es/home/DT0000307336/20200319/Los-tratamientos-de-datos-personales-en-la-crisis-del-COVID-19-Un-enfoque-desde-
https://www.paolobenanti.com/post/i-nostri-dati-per-il-nostro-futuro-come-sconfiggere-il-coronavirus
(1) Por un lado, el Considerando 46 explica que el tratamiento de datos personales “debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física”. Algo que se entiende sucede “cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente”.
Es más, ese mismo Considerando entiende que hay supuestos en los que un tratamiento de datos personales puede responder “tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.
Las razones de esta excepción pueden encontrarse en dos Considerandos del Reglamento, muy distantes pero relacionados entre sí.
Por otro lado, el Considerando 4, de enunciado tan aparentemente ampuloso como de evidente importancia en los presentes momentos: “El tratamiento de datos personales debe estar concebido para servir a la humanidad”. Una declaración que se traduce en la siguiente: “El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad”.
Y finalmente, el Considerando 157, parece explicar con notable detalle el contenido del anterior, precisando de la siguiente manera las razones de esa posición:
- La combinación de información procedente de diferentes registros puede permitir a los investigadores obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas.
- Partiendo de dichos registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor.
- La investigación basada en registros permite que los investigadores obtengan conocimientos esenciales acerca de la correlación a largo plazo, con otras condiciones de vida, de diversas condiciones sociales, como el desempleo y la educación.
- Los resultados de investigaciones obtenidos de registros proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales.
- Por todo ello, se concluye que para facilitar la investigación científica, los datos personales pueden tratarse con fines científicos, a reserva de condiciones y garantías adecuadas establecidas en el Derecho de la Unión o de los Estados miembros.