I.
Introducción
Desde el inicio de la situación de alarma sanitaria en el mes de marzo de 2020, se ha venido hablando de la posible adopción de diversas aplicaciones informáticas que permitieran detectar contactos, facilitar su rastreo, así como controlar flujos de movilidad, todo ello con la finalidad de luchar contra la propagación del virus. En la mayoría de las ocasiones, la idea de estas aplicaciones surge por imitación de países asiáticos en los que obligatoriedad de estas aplicaciones y su resultado se consideró esencial para los logros allí alcanzados. Sin embargo; el catálogo de derechos y libertades de los que en Europa nos hemos dotado no coincide con el establecido en aquellos países.
La existencia de aplicaciones para el rastreo y localización de casos condicionan diversos derechos, entre ellos, el derecho a la protección de datos. El Derecho a la protección de datos es definido como el poder que tienen todos los ciudadanos de evitar que información de su vida o intimidad sea conocida por terceras personas, es decir, la facultad de evitar que nuestra información personal sea conocida por otros, incluso por la Administración. Desde finales del siglo pasado la Unión Europea ha querido que los diversos derechos internos fueran similares, hasta el extremo de que la norma hoy en vigor es un Reglamento de la UE y, por tanto, directamente aplicable en todos los países,
Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (LA LEY 6637/2016). La preocupación e implicación de la UE en materia de protección de datos llevó a la Comisión el 17 de abril de 2020 a realizar una serie de orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de covid-19 en lo referente a la protección de datos. Entre las recomendaciones de la Comisión en ese documento adquieren relevancia las siguientes: «La instalación de la aplicación en el dispositivo debería ser voluntaria, sin consecuencia negativa alguna para quien decida no descargar o no usar la aplicación», «los datos de localización en el marco del rastreo de contactos sería difícilmente justificable a la luz del principio de minimización de datos y podría plantear cuestiones relacionadas con la seguridad y la intimidad. Es por ello que, en este contexto, la Comisión aconseja no usar los datos de localización» y «a efectos de medir la proximidad y los contactos estrechos, la comunicación entre dispositivos por Bluetooth de baja energía (BLE) parece ser más precisa y, por tanto, más apropiada que la utilización de los datos de geolocalización (GNSS/GPS o datos de localización de dispositivos móviles».
En España desde el verano de 2020 se han fomentado desde el ámbito autonómico aplicaciones de control de acceso a establecimientos de hostelería. La AEPD ha tenido ocasión de pronunciarse al respecto, el 31 de julio de 2020 la Agencia publicó un «Comunicado sobre la recogida de datos personales por parte de los establecimientos», que tenía por objeto tratar posibles aplicaciones de registro de la totalidad de los clientes a determinados establecimientos, aunque los comunicados, dictámenes o informes de la AEPD no son norma jurídica, su valor doctrinal en innegable por lo que luego volveremos a él.
Mediante Resolución de 11/02/2021, de la Consejería de Sanidad, de medidas de prevención y contención del coronavirus COVID-19 en bares, restaurantes y resto de establecimientos de hostelería, Castilla la Mancha ha puesto en marcha uno de estos registros para establecimientos de hostelería. El objeto de este trabajo es el análisis jurídico de esta medida, especialmente desde la protección de datos.
Resumidamente, no nos encontramos realmente ante una app móvil, sino ante un sistema de registro en el que el establecimiento, que sí se ha descargado una app, recoge la identidad de la totalidad de todos sus clientes mediante la lectura de un código QR en el que, en principio, consta la identidad de estos. Los clientes han obtenido el código de una web de la Comunidad Autónoma en la que se han registrado previamente.
II.
Derechos en conflicto
Dos son los derechos fundamentales que pueden verse limitados por la obligatoriedad de este registro. El primero de ellos, la libertad deambulatoria, pues aquellas personas que no quieran facilitar sus datos no podrán acceder a estos lugares. El segundo el derecho a la intimidad en su manifestación como protección de datos, consagrado en el art. 18.4 de la Constitución (LA LEY 2500/1978), pues, toda recogida de datos voluntaria u obligatoria afecta al derecho.
Los derechos fundamentales no son absolutos, pueden verse limitados. Pero para que sean limitados es preciso la concurrencia de diversos presupuestos. Únicamente podría haber injerencia en la intimidad de una persona cuando se den los tres requisitos exigidos en el art. 8.2 del Convenio Europeo de Derechos Humanos (LA LEY 16/1950), es decir, estar previsto legalmente, ser necesario en una sociedad democrática y perseguir cualquiera de las siguientes finalidades: para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de terceros. Fuera de estos supuestos no es posible realizar injerencia alguna en el derecho a la intimidad. Obviamente, el respeto la normativa en materia de protección de datos, europea y estatal.
El registro obligatorio es una limitación del derecho a la protección de datos, para poderla llevar a cabo se necesita, ley y necesidad o proporcionalidad, pues, el tercero de los requisitos «protección de la salud» es presumible. Veremos si se cumplen los dos primeros requisitos.
III.
Justificación
La resolución de 11/02/2021, de la Consejería de Sanidad de Castilla la Mancha justifica su adopción en diversas leyes estatales. Dice la resolución que el artículo 23 del Real Decreto-ley 21/2020 (LA LEY 8962/2020), impone a cualquier entidad privada la obligación de facilitar a la autoridad de salud pública competente todos los datos necesarios para el seguimiento y la vigilancia epidemiológica del COVID-19 que le sean requeridos por esta, en el formato adecuado y de forma diligente, incluidos, en su caso, los datos necesarios para la identificación personal, que el artículo 26 ampara a las autoridades sanitarias para obligar a los establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada en los que hayan identificado la necesidad de realizar trazabilidad de contactos, para que les faciliten la información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas.
Del mismo modo, cita la Ley 14/1986, de 25 de abril, General de Sanidad (LA LEY 1038/1986), La Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (LA LEY 924/1986) y La Ley 33/2011, de 4 de octubre, General de Salud Pública (LA LEY 18750/2011), pues entiende la resolución que nos encontramos ante medidas que se adoptan con carácter extraordinario por razones sanitarias.
La resolución señala en diversas ocasiones normativa relativa al estado de alarma, al primero de 2020 o al vigente desde octubre de ese mismo año.
Como norma autonómica habilitante cita la resolución la Ley 8/2020, de 16 de octubre (LA LEY 19825/2020), por la que se crea la reserva estratégica de productos sanitarios en Castilla-La Mancha, esta norma establece en la disposición adicional tercera que «1. Al amparo de los artículos 23 (LA LEY 8962/2020) y 26 del Real Decreto-Ley 21/2020, de 9 de junio (LA LEY 8962/2020), de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, la Administración de la Junta de Comunidades de Castilla-La Mancha, a propuesta de la autoridad sanitaria, podrá establecer como medida de control respecto de las actividades en los locales de ocio, hostelería y restauración, así como en los que se celebren eventos y actividades multitudinarias, el registro de clientes o espectadores en el interior de sus locales o establecimientos para reforzar las condiciones de rastreo y seguimiento de contactos relacionados con casos del coronavirus. 2. Será obligatorio para los titulares de los locales o establecimientos, así como para los organizadores de eventos, previstos en el apartado primero, colaborar con las autoridades sanitarias en la confección de un registro de información de todas las personas que accedan a los mismos en los términos que se definan reglamentariamente. El registro y uso del sistema de control de datos será igualmente obligatorio para los clientes en los términos que se definan reglamentariamente». Vemos, por tanto, que existe una previsión legal para la creación del registro.
1.
Criticas a la justificación
Pese a la amplia justificación normativa es posible que no toda ella resulte aplicable. El Real Decreto-ley 21/2020 (LA LEY 8962/2020) no crea ningún registro en establecimientos de hostelería simplemente obliga a ceder cuantos datos se dispongan para realizar los seguimientos. No es lo mismo ceder los datos de los que se tengan conforme a la práctica habitual que crear una obligación de registrar, cosa que no hace el RDL 21/20 (LA LEY 8962/2020).
Cita la resolución las leyes sanitarias estatales. Se ha criticado en múltiples foros la insuficiencia de dichas normas por su escasa previsión, sin embargo; son las que habitualmente se utilizan para adoptar medidas en la lucha contra el COVD-19. Es indiscutible que estas normas habilitan para que la autoridad sanitaria pueda imponer medidas restrictivas de derechos fundamentales. Pero, la posibilidad de imponer medidas restrictivas no supone la legalidad de todas ellas, es preciso que se sometan a los requisitos establecidos y que sean proporcionadas. Si la implantación del registro que analizamos es limitativa de derechos, como ya hemos visto que lo es, y se adopta como medida de protección frente al COVID-19 debe ser convalidada por la Sala del Tribunal Superior de Justicia como establece el art. 10.8 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LA LEY 2689/1998) en su redacción dada por la Ley 3/2020, de 18 de septiembre (LA LEY 16761/2020). Al no preverse en la Resolución de 11/02/2021 la remisión a la Sala para convalidación, se estarían vulnerando los derechos de los afectados.
No es posible justificar la medida en la normativa derivada del estado de alarma. En este aspecto debemos indicar que el estado de alarma no permite limitar el derecho a la protección de datos, ni le puede afectar, pues, como señala Piñar Mañas «Conviene insistir en que la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el citado artículo 11 de la Ley Orgánica 4/1981 (LA LEY 1157/1981). Es más, en ningún caso pueden suspenderse derechos, sino tan sólo adoptar medidas que, con la imitación señalada, condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución (LA LEY 2500/1978) que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aún así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución (LA LEY 2500/1978). El derecho a la protección de datos deriva del artículo 18.4 de la Constitución (LA LEY 2500/1978), como declaró ya hace tiempo el Tribunal Constitucional en su Sentencia 292/2000 (LA LEY 11336/2000) (y ya antes), de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma», resaltemos que el art. 11 la Ley Orgánica 4/1981no indica la creación de registros.
Finalmente, la ley autonómica. Sin entrar a valorar el criterio legislativo de incluir disposiciones que nada tienen que ver con el objeto de la norma en los diversos textos que se aprueben, es posible hacerle diversas criticas al texto. La primera, que las disposiciones en las que se inspira, Decreto ley visto, no habilitan a la recogida de datos de manera específica sino a compartir la que se tenga. La segunda critica, si es posible que una norma autonómica pueda llegar a prohibir o limitar el derecho a la libertad deambulatoria, así como, si es necesario y proporcionado recabar estos datos para la finalidad perseguida. En cualquier caso, es una ley y debe ser aplicada salvo pronunciamiento del Tribunal Constitucional.
IV.
Acomodo del registro a la legislación de protección de datos
Ya hemos dicho que todo registro implica una limitación al derecho a la protección de datos del art 18.4 CE (LA LEY 2500/1978), por lo que, la limitación debe hacerse solamente en los supuestos y con las exigencias que la normativa de desarrollo imponga. Las fuentes aplicables son el
Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (LA LEY 6637/2016)
y la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018)
.
Para analizar el fichero de clientes de negocios de hostelería es necesario analizar la adecuación del mismo a la norma, no solamente en la habilitación para que este pueda existir formalmente, sino desde la orbita de su contenido material. Que pueda existir el tratamiento no implica que el efectivo tratamiento que se haga sea siempre el adecuado.
1.
Existencia formal del registro
Para que pueda existir el tratamiento de datos personales es preciso que lo habilite el ordenamiento Jurídico. El art.6 RGPD (LA LEY 6637/2016) dice que el tratamiento de datos personales solo será lícito si se cumple determinados requisitos, entre ellos, el previsto en la letra c «el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento», además, el art. 6.3 del Reglamento establece que los supuestos de la letra C exige que la finalidad del tratamiento esté previsto en el Derecho de la Unión Europea o en el Derecho Interno de cada país.
La Junta de Comunidades tiene asumidas las competencias en materia sanitaria, es la responsable de realizar los rastreos de contactos positivos, tiene la obligación de preservar, o tratar de hacerlo, la salud de los ciudadanos. Además, para el cumplimiento de esta tarea el ordenamiento autonómico le autoriza a crear un fichero de registro, la Ley 8/2020, de 16 de octubre (LA LEY 19825/2020), por la que se crea la reserva estratégica de productos sanitarios en Castilla-La Mancha. Por tanto, podemos entender que no existe obstáculo en la legislación de protección de datos a la existencia del fichero. En este mismo sentido se pronunciaba el comunicado de la AEPD de 31 de julio de 2020 al entender que el artículo 6.1.e) del RGPD (LA LEY 6637/2016) permitía el tratamiento por la Administración de datos de asistencia a determinados establecimientos.
Ahora bien, el comunicado de la Agencia también se ocupaba de la recogida de datos por parte del establecimiento, en este caso decía el comunicado «la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el 6.1.c) («el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento»). Es decir, si el tratamiento de datos por parte de la Administración vemos que está permitido, es preciso comprobar si dicha habilitación legal existe para el caso de los establecimientos.
Dice la disposición adicional tercera de la Ley 8/20 (LA LEY 19825/2020) en su numero segundo «Será obligatorio para los titulares de los locales o establecimientos, así como para los organizadores de eventos, previstos en el apartado primero, colaborar con las autoridades sanitarias en la confección de un registro de información de todas las personas que accedan a los mismos en los términos que se definan reglamentariamente». Vemos que el precepto utiliza la expresión colaborar, pero no se les encarga a ellos la toma de datos directamente, ni se les habilita a llevar un registro.
El registro que analizamos parte de la premisa de que los clientes acuden al establecimiento disponiendo de un código QR totalmente anónimo, el anonimato obedece a que el establecimiento no tiene que conocer los datos del cliente, a continuación, el establecimiento procede a la lectura de ese código QR mediante la aplicación y finaliza su labor. En el apartado 3 de la resolución se fijan los deberes de los establecimientos:
«d) Cuando un cliente llegue a uno de estos establecimientos realizarán la lectura del código QR.
e) En el caso que el cliente no disponga del código QR se le indicará como obtenerlo.
f) La aplicación enviará los datos de acceso a los sistemas del Gobierno de Castilla-La Mancha de tal forma que nunca se almacenarán, visualizarán ni manejarán los datos particulares de los ciudadanos (únicamente de forma agregada y por motivos estadísticos) en los bares, restaurantes y resto de establecimientos de hostelería.»
Esa es toda la colaboración exigible a los establecimientos, el diseño de la aplicación busca preservar que no conozca los datos de los clientes, la colaboración se limita a realizar la lectura o informar el modo de obtenerlo, pero no permite realizar el registro del cliente directamente. El problema está en que el desarrollo de la aplicación ha sido otro, se permite en la aplicación el registro de los clientes por parte del establecimiento, cosa contraria a la norma.
De lo anterior podemos concluir que no existe obstáculo formal a la existencia del fichero, como tampoco lo hay a la colaboración, expresión de la ley, a prestar por los establecimientos en los términos expuestos, pero que la opción de registro de aquellos clientes en el establecimiento sin QR no sería conforme a Derecho.
2.
Contenido material del registro
La mera habilitación del ordenamiento para llevar a cabo el tratamiento de datos no implica permisividad absoluta, este debe adecuarse a los principios y resto de contenido previsto en el Reglamento de la UE y en la Ley Orgánica.
El art. 5RGPD exige que los datos serán tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia), así como que serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Este es un principio que se refiere al uso de los datos no a la existencia del registro en si misma, dependerá del uso que de los mismos pueda darse, en este momento nada hace pensar que no se hará de esa manera.
Dice el RGPD que los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). En la letra d señala el Reglamento que los datos serán exactos y, si fuera necesario, actualizados y en la letra e dice «mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales». Estos principios no concurren en el sistema diseñado por Castilla la Mancha para la aplicación que estudiamos.
La aplicación, dice la resolución, «permitirá reforzar la trazabilidad de los contactos en los bares, restaurantes y resto de establecimientos de hostelería, facilitar y activar el inicio de las labores de rastreo por parte de la autoridad sanitaria en caso necesario». Es decir, tiene por finalidad exclusivamente poner una herramienta a disposición de la autoridad sanitaria para realizar rastreos de eventuales contactos.
Los datos que facilitan los usuarios a la hora de obtener el código QR son nombre y apellidos, DNI o NIE y el teléfono. Si lo que se pretende es poder localizar rápidamente a un eventual contacto, queda claro que es necesario conocer la identidad y el número de teléfono que permita una inmediata localización, pero el DNI o el NIE resulta totalmente innecesario, basta con un nombre y un número telefónico para hacer el rastreo. La AEPD en el comunicado de 31 de julio cuestiona la necesidad del nombre y descarta por completo el DNI «debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes. En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada». La exigencia de DNI o NIE implica que aquellas personas que carezcan del mismo no puedan acceder a ningún establecimiento, extranjeros carentes de permiso de residencia o menores que no tengan obligación de haberlo obtenido, piénsese en jóvenes de 12 o 13 años que puedan acudir a un establecimiento de comida rápida sin ir acompañados por sus padres. Por tanto, los datos recabados son excesivos.
Además, si lo que se pretende es realizar rastreo de contactos es preciso conocer lo que debemos entender por contacto. La Estrategia De Detección Precoz, Vigilancia Y Control De Covid-19, actualizado a 15 de diciembre de 2020, dice que contacto estrecho es: «De forma general, a nivel comunitario, se considerará contacto estrecho a cualquier persona que haya estado en el mismo lugar que un caso, a una distancia menor de 2 metros y durante un tiempo total acumulado de más de 15 minutos en 24 horas. En entornos en los que se pueda hacer una valoración del seguimiento de las medidas de prevención podrá realizarse una valoración individualizada por el servicio de prevención de riesgos laborales o el responsable que sea designado para ese fin». El registro de clientes de hostelería solamente dirá qué cliente y a qué hora, presumiblemente, ha llegado a determinado establecimiento, pero no dirá el lugar en el que ha estado, ni la distancia con el positivo, tampoco el tiempo que ha estado en el establecimiento al no registrar la salida. No tiene sentido realizar rastreo a una persona que no está más de 15 minutos en el establecimiento o que se sienta en una mesa a más de dos metros de quien ha sido positivo. La herramienta no cumplirá la finalidad para la que ha sido creada, esta critica ya la hizo la AEPD en el Comunicado de 31 de julio «la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria». Posiblemente ese es el motivo por el que la Comisión Europea recomienda la técnica de bluetooth antes de la geolocalización.
Otra de las posibles criticas al fichero es la referida a su exactitud. Los datos que se contienen en un fichero, y más público, deben coincidir con la realidad. El sistema de autorregistro genera dos problemas a este respecto. El primero, que el usuario genere un código QR con datos totalmente inventados, con lo que la aplicación perdería efectividad. El segundo problema, que una persona se registre con la identidad real de un tercero, cosa de mayor gravedad por incorporar datos ajenos, es cierto que el mensaje se recibe en el móvil directamente y lo dificulta, pero cabe que se registre en el propio establecimiento. La inexactitud de los datos no es, en este supuesto, una tacha extraordinaria, seguramente la autoridad sanitaria prefiere disponer de un porcentaje bajo de datos falsos y un porcentaje de información veraz antes que no disponer de información. En cualquier caso, sería recomendable explorar la posibilidad de poder garantizar la exactitud de todos los datos.
Por último. El apartado cuarto de la resolución dice «En cumplimiento con el principio de limitación del plazo de conservación, los datos personales objeto de este tratamiento se conservarán 28 días naturales, tras los cuales se eliminarán». La fijación del plazo de conservación no puede ser arbitraria en ningún caso, ya hemos visto que el art. 5 RGPD (LA LEY 6637/2016) dice que se conservarán «durante no más tiempo del necesario para los fines del tratamiento». La resolución fija 28 días, pero no explica el motivo de hacerlo de ese modo, debiera haberlo hecho. La Estrategia Nacional considera otro limite temporal para considerar contacto «El período a considerar será desde 2 días antes del inicio de síntomas del caso hasta el momento en el que el caso es aislado. En los casos asintomáticos confirmados por PDIA, los contactos se buscarán desde 2 días antes de la fecha de toma de muestra para diagnóstico», es decir, dos días desde el encuentro. Para realizar las pesquisas de rastreo o averiguaciones la estrategia dice «Ante cualquier caso sospechoso, está indicado iniciar la identificación y control de sus contactos estrechos convivientes, recomendándoles evitar interacciones sociales. La identificación y control del resto de contactos estrechos (no convivientes) se podrá demorar hasta que el caso sea clasificado como caso confirmado con infección activa, a consideración de la comunidad autónoma correspondiente, siempre que dicha confirmación pueda garantizarse en el plazo de 24-48 horas». En resumen, solamente hay contacto estrecho en 48 horas y otras 48 para el rastreo, equivalente a 4 días. Si solamente son relevantes para la Estrategia Nacional los últimos 4 días, la conservación de datos durante 28 días resulta totalmente desproporcionada. Podría haberse extendido algún día más de esos 4, pero nunca en 24.
Por tanto, la Resolución pese a que indica en el apartado cuarto, al hablar del plazo, que «se cumplirán el resto de los principios previstos en el artículo 5 del Reglamento General de Protección de Datos (LA LEY 6637/2016)
», resulta que no lo hace. Los datos recabados son excesivos, los datos es posible que resulten impertinentes por inutilidad, los datos recabados serán inexactos en múltiples ocasiones y el tiempo de conservación de los datos es excesivo.
Estos defectos suponen una vulneración del derecho fundamental consagrado en el art. 18.4 CE (LA LEY 2500/1978), pero son vicios subsanables, no afectan a la propia existencia del fichero sino al desarrollo del mismo.
V.
Proporcionalidad
Dijimos que toda medida limitativa de derechos debía ser proporcional, no basta con ser legal ni perseguir un fin legítimo, sino que debía ser proporcional. La creación de un registro de clientes en cualquier otro escenario sería desproporcionada. Pero, en el escenario actual podría no serlo, nos encontramos ante una pandemia mundial, que tiene una alta letalidad y cuyo mayor medio de propagación es la cercanía social, proximidad que indiscutiblemente concurre en establecimientos de hostelería. Del mismo modo, el control de posibles contactos ayudaría a evitar la propagación por asintomáticos y proporcionaría atención rápida a quien lo pudiera precisar.
La medida puede ser cuestionada desde el principio de igualdad, no se justifica en la norma el motivo por el que se adopta para la hostelería, pero no para otros lugares como gimnasios, instalaciones deportivas, grandes almacenes o similares, para algunos puede ser discriminatorio para los establecimientos de hostelería. Es indudable que si el objetivo es trazar contactos en aquellos lugares donde presumiblemente puede haber gran concentración de gente, esto debiera hacerse en todos los lugares de acumulación de personas, pero no hacerlo en un lugar no implica la ilegalidad de hacerlo en otro, es la autoridad sanitaria la que prioriza sus estrategias contra la pandemia. Además, no debemos olvidar que en Castilla la Mancha se prevé el registro para la hostelería en una norma con rango de ley y no se prevé para otros sectores o actividades, salvo grandes eventos, lo que impide ponerlo en marcha para el resto de actividades, aunque se quisiera, y si fuera discriminatorio puede declararlo únicamente el Tribunal Constitucional.
VI.
Conclusión
Tras lo expuesto anteriormente podemos decir que el registro de clientes en establecimiento de hostelería es conforme a la legislación en materia de protección de datos, pues existe previsión legal y persigue un fin legítimo. Sin embargo; el desarrollo final de la aplicación vulnera los principios de la protección de datos, por excesivos, impertinentes, inexactos y, sobre todo, por preverse una conservación desproporcionada.
Los vicios analizados suponen una vulneración del derecho fundamental a la protección de datos del art. 18.4 CE (LA LEY 2500/1978), aunque no se refieran a los aspectos nucleares sobre la existencia del registro y sean defectos subsanables.
En el juicio ponderativo entre libertad y limitaciones propuestas, es posible que en la situación actual esté justificado una mayor valoración de los fines perseguidos que las libertades, pero nunca puede suponer la inobservancia de las previsiones básicas del bloque de constitucionalidad.
En cualquier caso, al tratarse de una medida limitativa de derechos fundamentales y adoptarse al amparo de las leyes sanitarias debe ser objeto de ratificación por la Sala del Tribunal Superior. La existencia de previsión legal implica poder adoptarla, pero no hacerlo sin control judicial, al igual que se permiten los confinamientos en la ley y se someten a ratificación, debe hacerse con el registro estudiado. La ley de Castilla la Mancha emplea la expresión «podrá», al ser potestativa y no obligatoria debe convalidarse.
Finalmente, debiera articularse un sistema para el registro de aquellas personas que carecen de DNI o NIE sin riesgos de limitar su derecho a la libertad deambulatoria. Sistema que no puede pasar por el registro en el establecimiento, que con la regulación actual estaría prohibida.