Con la situación actual causada por el Covid19, han surgido algunas dudas en cuanto a la legitimación del tratamiento de datos de salud con la declaración de alarma que se ha decretado por la enfermedad del Coronavirus.
Tanto el Reglamento de protección de datos europeo como la ley 3/2018 de protección de datos y garantía de los derechos digitales, dirigidos ambos textos a salvaguardar un derecho fundamental, se aplican en su integridad a la situación actual Covid19, dado que no existe razón alguna que determine la suspensión de derechos fundamentales.
La normativa de protección de datos personales, contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general. Así, el Considerando (46) del RGPD reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física:
(46) «El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.»
Como mencionaba anteriormente, pueden ser de aplicación otras bases, como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados) o, como reconoce explícitamente el RGPD, misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).
En lo que refiere a los intereses vitales, el art. 6.1, letra d) RGPD considera no sólo que el interés vital es
suficiente base jurídica del tratamiento para proteger al “interesado” (en cuanto que este es un término definido en el art. 4.1) RGPD como persona física identificada o identificable), sino que dicha base jurídica puede ser utilizada para proteger los intereses vitales “de otra persona física”.
Esta afirmación, plantea una cuestión:
¿Debemos conocer la identidad de esas otras personas físicas?
Para que la salvaguarda de la normativa de protección de datos opere con total aplicación, deberemos determinar si dichas otras personas deben ser o no «identificadas o indentificables», como exige el artículo 4 del RGPD.
Pues bien, en aplicación del interés vital, aplicándolo de la manera más amplia posible, podemos considerar que esta base de legitimación puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables.
Pero, obviamente para tratar datos de salud no es suficiente con encontrar una base de legitimación del artículo 6, si no, que es preciso que se de alguna de las circunstancias contempladas en el artículo 9, por considerarse categorías especiales de datos. Entonces,
¿Pueden tratarse categorías especiales de datos en este caso?
Por parte de los empleadores o empresarios, podrán tratarse dichos datos por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (el empleador) o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social. El empleador está sujeto a la normativa de prevención de riesgos laborales y deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo.
En cuanto al Estado o los servicios médicos, podríamos aplicar, el apartado i), el cual hace referencia a un interés público calificado: “en el ámbito de la salud pública, como la protección frente a
amenazas transfronterizas graves para la salud”, así como será de aplicación el punto h),»el tratamiento es necesario para realizar un diagnóstico médico, o evaluación de la capacidad de laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social».
De manera general y en aplicación de la normativa de protección de datos personales, se permitiría al responsable del tratamiento adoptar aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable.
Desde el punto de vista de la normativa de protección de datos personales, éstas decisiones serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales.
No obstante, serán las autoridades sanitarias competentes de las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas.
Por su parte, el legislador español se ha dotado de las medidas legales necesarias oportunas para enfrentarse a situaciones de riesgo sanitario, por cuanto, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.
En conclusión
Los tratamientos de datos personales realizados en estas situaciones de emergencia sanitaria, no eximen de la aplicación de la normativa de protección de datos, por lo que deberán aplicarse todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses
vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos.
De igual manera, habrá que estar a lo dispuesto en el el Considerando (54) RGPD : «El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines«.