Tristemente, parafraseando a la OMS, Europa es ahora el epicentro de la pandemia del coronavirus.
El Comité Europeo de Protección de Datos (European Data Protection Board -EDPB-) se ha alineado también con las acciones para contener el COVID-19, y ha declarado que en ningún caso la normativa de protección de los datos personales debe dificultar la ejecución de las medidas que sean necesarias en esta batalla contra la pandemia del coronavirus, priorizando la salvaguarda de la salud, y de la vida, frente a la privacidad de los datos personales (Acuerdo de 19 de marzo de 2020).
Para el EDPB, la lucha contra las enfermedades transmisibles es un objetivo valioso compartido por todas las naciones que debe ser apoyado en interés de la humanidad.
El EDPB también aclara en su declaración que si bien la emergencia es una condición legal que puede legitimar restringir libertades, dichas restricciones han de ser proporcionales y limitadas en el tiempo. A estos efectos, considera que el RGPD contiene reglas que también aplican al tratamiento de datos personales en un contexto como el actual del coronavirus, que permite el tratamiento de datos personales sin necesidad de tener que contar con el consentimiento del interesado cuando es necesario por razones de interés público en el área de la salud pública. Así:
– El tratamiento de datos personales, incluso el tratamiento de los datos de salud por las autoridades sanitarias, estaría legitimado en base al artículo 6 y 8 del RGPD, por existir un interés público y un interés de proteger intereses vitales
– En cuanto a los datos personales de los trabajadores, se considera que tratamiento de datos por el empleador puede ser necesario para cumplir la obligación legal de preservar la salud y la seguridad en el lugar de trabajo, o en base a un interés público y un interés vital relacionado con el control de enfermedades y otras amenazas a la salud.
El empleador podrá solicitar datos sobre el estado de salud de los trabajadores o visitas, y realizar exámenes médicos, siempre que lo permita la legislación propia de cada estado miembro.
El empleador debe informar a los trabajadores sobre los casos de coronavirus, limitando la información suministrada a la estrictamente necesaria. En caso de tener que revelar el nombre de las personas que contrajeron la enfermedad (si la ley nacional lo permite), deberá informar previamente al interesado y proteger su dignidad e integridad
– En cuanto al uso por parte de algunos gobiernos del de datos de localización móvil para mitigar la propagación del coronavirus, la EDPB considera que las autoridades deberían priorizar el tratamiento anónimo de los datos, es decir, procesar datos agregados (por zonas, edades, etc.) de forma que no estarían sometidos a la normativa de protección de datos. Sin embargo, si ello no fuera posible, la EDPB considera también, que la Directiva Europea sobre privacidad y comunicaciones electrónicas permite también medidas legislativas excepcionales por motivos de seguridad pública, que debe ser apropiadas, proporcionales y respetuosas con los derechos fundamentales de las personas y garantizar al interesado el acceso al recurso judicial.
En todo caso, recuerda el EDPB que los datos personales que sean necesarios para alcanzar este objetivo mundial de vencer la batalla contra el coronavirus deben procesarse para fines explícitos, que los interesados deben recibir información transparente sobre las actividades de procesamiento, incluido el periodo de conservación de los datos recopilados y el propósito del tratamiento; que la información proporcionada ha de ser fácilmente accesible y clara; y que son necesarias medidas de seguridad adecuadas y políticas de confidencialidad que garanticen la preservación de los datos frente a terceros no autorizados.
En paralelo, la Agencia Española de Protección de Datos ha publicado en su sitio web una alerta en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus, advirtiendo a los ciudadanos del riesgo que implica facilitar categorías de datos sensibles, como son los relativos a la salud, a estas webs y apps. Añade la Agencia que ha podido constatar que algunas páginas web y apps no aportan la detallada información exigible para identificar a los responsables, ni incluyen las finalidades para las que podrían tratarse los datos. A ello se suma que se han detectado casos en los que se suplanta al Ministerio de Sanidad.
Por favor, cuidaos mucho.
Ana SotoPino & Mª Luisa Osuna
