El incesante aumento de casos de COVID-19 en nuestro país mantiene en jaque a ciudadanos, empresas y gobierno. En este escenario de caos, no debemos bajar la guardia en lo que respecta a protección de datos (el virus pasará, pero las medidas tomadas en materia de protección de datos no desaparecerán…).

Ante las dudas suscitadas acerca de cómo han de tratarse los datos de los afectados (y, en particular, los datos de salud de los contagiados o en situación de riesgo de contagio), la AEPD ha publicado un Informe en el que analiza el tratamiento de datos personales en relación con la extensión del virus COVID-19.

A continuación resumimos sus aspectos clave:

  • La protección de datos no es obstáculo para la efectividad de las medidas que adopten las autoridades (especialmente las sanitarias) en la lucha contra el COVID-19.
  • Aún en situaciones de emergencia sanitaria, los tratamientos de datos personales deben efectuarse de conformidad con lo previsto en la normativa de protección de datos (RGPD y LOPDGDD) y, en particular, con los principios de licitud, lealtad y transparencia, limitación de la finalidad, exactitud, y minimización de datos.
  • Existen bases legitimadoras del tratamiento aplicables distintas al consentimiento:
    • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable (artículo 6.1.c) RGPD). Cobra especial relevancia la obligación de los empleadores de garantizar la salud de sus trabajadores según lo previsto en la normativa de prevención de riesgos laborales;
    • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física (artículo 6.1.d) RGPD, sin requerir la habilitación legal del artículo 6.3 RGPD), inclusive cuando éstas últimas sean no identificadas o identificables; y
    • El cumplimiento de una misión realizada en interés público (artículo 6.1.e) RGPD).
  • En lo que respecta a la habilitación que levante la prohibición de tratar, en este caso, los datos de salud (artículo 9 RGPD); la AEPD bendice las siguientes excepciones (otorgando amplia libertad a los distintos responsables):
    • En el ámbito laboral, el cumplimiento de obligaciones y el ejercicio de derechos específicos del empleador/empleado en el ámbito del Derecho laboral y de la seguridad y protección social (artículo 9.2.b) RGPD). En este sentido, la AEPD indica:
      • Los empleadores podrán tratar, de acuerdo con las garantías legales, los datos necesarios para garantizar la salud de todo su personal y evitar contagios en el seno de la empresa.
      • Los empleados deberán, entre otros, informar de inmediato a sus superiores y servicios de prevención acerca de cualquier sospecha de contacto con el COVID-19 para que se tomen medidas oportunas.
    • Protección de intereses vitales del interesado o de otra persona física, en el supuesto de que no esté capacitado, física o jurídicamente, para dar su consentimiento (artículo 9.2.c) RGPD).
    • Existencia de razones de interés público (que podría calificarse como esencial) en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios (artículos 9.2.g) y 9.2.i) RGPD).
    • Fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social (artículo 9.2.h) RGPD).
  • Desde la óptica del tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde, en el ámbito de la salud, a las distintas autoridades sanitarias por ley. Dichas autoridades son las que han de adoptar las medidas necesarias (decisiones, instrucciones, etc.) para salvaguardar a las personas en situaciones de emergencia que habrán de seguirse por los responsables, incluso cuando ello implique llevar a cabo el tratamiento de datos de salud (y que constituirán la habilitación necesaria para aplicar los artículos 9.2.g) y 9.2.i) RGPD).

La AEPD da por tanto confort a los responsables para que puedan tratar datos personales (inclusive datos de salud) en cumplimiento con las directrices que las autoridades sanitarias dicten para frenar la expansión del COVID-19.

Junto con lo anterior, la AEPD ha publicado un documento de preguntas y respuestas (FAQs) donde se abordan cuestiones prácticas de sumo interés. Destacamos a continuación algunos de los supuestos planteados:

La AEPD no es la única autoridad que se ha pronunciado al respecto. No solo el CEPD ha publicado un comunicado, sino que las autoridades de protección de datos de distintos países europeos han emitido guías, informes o secciones en sus páginas web (como, por ejemplo y entre otras, la Autoridad irlandesa y la inglesa). A nivel “local”, la Autoridad catalana de protección de datos ha publicado también su propia nota.

La cuestión ahora es ver cómo afecta el Estado de Alarma declarado con el RD 463/2020. De forma directa, dicho Real Decreto prevé lo siguiente con respecto a los procedimientos que se puedan tener frente a la AEPD:

  • Todos los plazos de prescripción y caducidad de acciones quedan suspendidos durante la vigencia del Estado de alarma y, en su caso, sus prórrogas (es decir –al menos– durante 15 días naturales).
  • Se interrumpen también por este periodo todos los plazos administrativos y términos.
  • Se suspenden e interrumpen los plazos previstos en las leyes procesales (con alguna excepción) también por este periodo.

Las dudas que pueden surgirnos en este escenario de Estado de Alarma respecto de otros plazos, trámites y cuestiones en materia de protección de datos son innumerables: ¿Cambia la ponderación de derechos entre la protección de datos y otros derechos? ¿Gana el interés legítimo una mayor fuerza en temas relacionados con el COVID-19? ¿Se mantiene el plazo de 72 horas para notificar brechas de seguridad? ¿Se tiene más margen a la hora de responder a los derechos de los interesados? ¿Hace falta llevar a cabo una evaluación de impacto de protección de datos si se siguen las indicaciones de la AEPD? ¿Debo implementar nuevas medidas de seguridad para los tratamientos aquí mencionados? ¿Debo nombrar un delegado de protección de datos, si no lo tenía, por estos nuevos tratamientos? ¿Cómo afecta el teletrabajo al cumplimiento del RGPD? ¿Debo establecer nuevos controles y/o medidas de seguridad adicionales y reforzadas? Etc.

Como se puede observar, los interrogantes son numerosos y el plazo de margen reducido (confiemos en la flexibilidad de la AEPD ante las circunstancias). Es por ello que insistimos en que, ni la protección de datos personales ha de ser un obstáculo para la toma de medidas de protección ante situaciones de alarma como la que vivimos; ni el Estado de Alarma se puede convertir en una patente de corso para que los responsables del tratamiento hagan lo que quieran. Como siempre, la virtud está en el término medio y en saber conjugar de forma adecuada los distintos derechos fundamentales que se ven afectados en situaciones tan excepcionales como la actual.

Actualización de 2 de abril de 2020: La AEPD parece ir disipando dudas -por si las había – y ha aclarado que el plazo de 72 horas para notificar brechas de seguridad no queda suspendido por el Estado de Alarma.

Actualización de 7 de abril de 2020: La AEPD ha confirmado que el Estado de Alarma no suspende los plazos para dar respuesta al ejercicio de los derechos que el RGPD atribuye a las personas. Si bien remite a la posibilidad de prorrogar el plazo de 1 mes en otros 2 meses adicionales (en línea con lo previsto en el 12.3 RGPD) y de establecer respuestas automáticas para comunicar dicha prórroga.