COVID-19 y protección de datos personales. Quo vadis?

COVID-19 y protección de datos personales. Quo vadis?

El artículo 116 de la Constitución Española regula una serie de figuras jurídicas que se explican en las aulas mientras el docente y sus estudiantes piensan que rara vez se aplicará en la práctica en nuestra sociedad. El estado de alarma es una de ellas. Figura que únicamente había sido implementada en España en 2010, para garantizar el transporte aéreo tras la situación de caos desencadenada por el incumplimiento de sus obligaciones laborales por los controladores civiles aéreos, como protesta ante los errores cometidos por AENA en el cómputo de sus jornadas laborales. Estado de alarma que entonces permitió la militarización del control aéreo español y abrir el tráfico civil a aeropuertos militares.

Esta norma exige que el estado de alarma sea declarado por el Gobierno mediante decreto acordado por el Consejo de Ministros, por un plazo máximo de quince días, dando cuenta de ello al Congreso de los Diputados. También se requiere la autorización del Congreso de los Diputados para la prórroga de dicho plazo. El contenido de la norma constitucional se desarrolla en la Ley Orgánica 4/1981, de 1 de julio, de los estados de alarma, excepción y sitio. Entre los supuestos de alteraciones graves de la normalidad en los que el artículo 4 de esta Ley orgánica permite aplicar la figura del estado de alarma se encuentran las “crisis sanitarias, tales como epidemias”.

Cumpliendo con lo dispuesto en ambos textos, el 14 de marzo de 2020, el Gobierno de España adoptaba el Real Decreto 463/2020, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19. Este Real Decreto preveía una duración de quince días de la citada declaración, entrada en vigor desde el momento de su publicación en el BOE, el 14 de marzo. A ello se suma la aprobación de la prórroga de otros quince días autorizada por el Congreso de los Diputados el 25 de marzo, susceptible de posible ampliación, que habrá de cumplir el mismo procedimiento.

La primera norma reglamentaria fue seguida de una serie de medidas por parte del Estado, las Comunidades Autónomas y los entes locales para hacer frente a la gestión de las consecuencias de esta pandemia. Entre otras, el Real Decreto-Ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19. Esta última norma pone en marcha algunas de las medidas permitidas por el artículo 11 de la Ley Orgánica 4/1981 para el estado de alarma, dirigidas a proteger la salud de los ciudadanos, contener la progresión de la enfermedad y su prevención, reforzar el sistema de salud pública y mitigar el impacto sanitario, social y económico. Entre otras, la limitación de la circulación de personas y vehículos o someter dicha circulación al cumplimiento de determinados requisitos, la práctica de requisas de bienes y la impartición de las órdenes que resulten necesarias para asegurar el abastecimiento de los mercados. Esta norma es taxativa y su carácter excepcional impide cualquier interpretación amplia o extensiva. De ahí que el estado de alarma no permita limitar más derechos y libertades de los ciudadanos que los subsumibles en el citado art. 11 de la Ley Orgánica 4/1981.

Entre las medidas anunciadas podemos destacar la utilización de tecnología big data para estudiar datos de geolocalización de los teléfonos móviles, con el fin de conocer los movimientos de los ciudadanos y tomar medidas que eviten aglomeraciones de personas. La Generalitat de la Comunidad Valenciana fue la primera en anunciar la puesta en marcha de un estudio de este tipo, con la participación de tres grandes empresas de telecomunicación (Telefónica, Orange y Vodafone).

Por su parte, la Vicepresidenta y Ministra de Economía, Nadia Calviño, anunciaba el 23 de marzo la creación por el Gobierno de la Nación de otras iniciativas digitales para combatir la epidemia, facilitar el diagnóstico de los ciudadanos y evitar la propagación de noticias falsas. En particular, destaca la creación de la oficina del dato del coronavirus, como sistema centralizado que albergue todos los datos recopilados por las Comunidades Autónomas, con el fin de ofrecer una atención adecuada y actualizada, así como la puesta en marcha de una aplicación para dispositivos móviles que permita el autodiagnóstico de coronavirus a partir de un cuestionario similar al realizado mediante los servicios de atención telefónica sanitaria, con el fin de desbloquear las líneas telefónicas. Tanto la Comunidad de Madrid como la Generalitat de Cataluña han implementado ya sendas aplicaciones móviles.

El 25 de marzo el Ministerio de Economía presentaba la extensión al resto de España de una plataforma basada en las dos aplicaciones autonómicas mencionadas, con el objetivo de permitir a cualquier ciudadano recibir recomendaciones de tratamiento en caso de dar positivo al virus tras el autodiagnóstico, lo que implica la posibilidad de recoger datos personales y de geolocalización cuando el usuario lo hubiera autorizado. El funcionamiento es posible gracias al ofrecimiento de las citadas operadoras de telefonía de poner a disposición de las autoridades sanitarias los datos de geolocalización de los teléfonos móviles de sus clientes. Con la citada geolocalización, la aplicación permite enviar mensajes de salud pública a las personas que se encuentren en una zona concreta, creando comunicaciones personalizadas para los diferentes territorios dentro de nuestro país. Asimismo, estas aplicaciones permitirán el seguimiento de personas y podrán incluso detectar el contacto con otros individuos. Información que será de gran utilidad no sólo para optimizar los recursos sanitarios existentes, sino también para permitir la estrecha colaboración de las Fuerzas y Cuerpos de Seguridad del Estado y el ejercicio por éstas de las labores de identificación y detención de personas que incumplan los protocoles y escapen de centros sanitarios antes de recibir el alta o simplemente de personas que, estando contagiadas, traten de seguir ejerciendo una libertad deambulatoria que tienen actualmente limitada.

Ello ha generado una serie de reacciones de toda índole acerca de la potencial influencia de las futuras medidas en la esfera de la protección de datos de carácter personal. Nos viene a la mente la imagen del sistema coreano, tantas veces puesto como ejemplo en los medios de comunicación estos días. El éxito de este sistema depende en gran medida de la información proporcionada por personas contagiadas por el virus, con la que construir un registro que permita informar de su ubicación y de su evolución. Una medida de este tipo no está exenta de polémica en España y, en general, en la Unión Europea, donde contamos con una regulación robusta en materia de protección de datos y con una ciudadanía que empieza a ser consciente del valor que sus datos tienen y de los derechos que les permiten preservar su privacidad. Particularmente, si hablamos de datos relacionados con la salud.

Sin embargo, el objetivo de esta publicación es hacer un llamamiento a no caer en la crítica fácil e impedir que los árboles nos impidan ver el bosque. En nuestro bosque actual -el del estado de alarma, el de la crisis sanitaria- la normativa de protección de datos permite adaptar los principios y la ética europea de la privacidad a las circunstancias concurrentes y tiene previstas en su contenido normas excepcionales que toman como bases jurídicas del tratamiento de datos figuras distintas del consentimiento previo del titular del derecho a la protección de sus datos personales. De ahí lo insensato –más bien, falaz- de afirmar que la normativa de protección de datos personales actúa como rémora de las facultades de tutela de la salud pública en tiempos de pandemia. Pero vayamos por partes.

El artículo 55.1 de la Constitución Española enuncia una serie de derechos sujetos a la posible suspensión. Nótese que el derecho a la protección de datos no se menciona en este precepto. Además, esta norma solamente es aplicable en supuestos de estado de excepción y estado de sitio. No así en el estado de alarma. Por tanto, en la situación actual, el derecho a la protección de datos personales no solo no queda suspendido, sino que sigue siendo plenamente aplicable en su integridad. Lo que no significa siempre y en todo caso que su aplicación tenga que ser preferente frente a otros derechos e intereses en juego contemplados en la normativa vigente. En otras palabas, sigue siendo de aplicación la normativa específica reguladora de la materia. A saber: el Reglamento (UE) 2016/679, de 27 de abril –el llamado Reglamento General de Protección de Datos, al que en adelante me referiré como RGPD- y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de derechos digitales.

Pues bien, tal y como ha destacado el Comité Europeo de Protección de Datos en su declaración de 19 de marzo de 2020 –Statement on the Processing of Personal Data in the Context of COVID-19 Outbreak-, el RGPD no es un escollo en la toma de decisiones que impliquen el uso de datos personales para atajar la pandemia actual. El RGPD parte de una realidad incuestionable: el derecho a la protección de datos es un derecho fundamental pero no es un derecho absoluto y permite en situaciones excepcionales –como es la actual- el tratamiento de datos personales incluso sin necesidad de contar con el consentimiento de las personas afectadas. Incluso cuando estemos hablando de datos sensibles, como son los datos relativos a la salud de las personas.

Así se prevé con carácter general en el considerando 46, que establece: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base de un interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”. Por tanto, en situaciones excepcionales como es la actual crisis sanitaria, se permite que la base jurídica de los tratamientos de datos pueda ser múltiple, basada tanto en el interés público de la salud, como en el interés vital del interesado o de otra persona física. En particular, cuando hablamos de datos de la salud, al tratarse de una categoría especial de datos, el precepto aplicable para identificar las bases jurídicas del tratamiento de estos datos no es el artículo 6 del RGPD, sino una norma de protección reforzada, el artículo 9 del RGPD, que prevé una serie de circunstancias que permiten no aplicar la regla general del tratamiento basado en el consentimiento del interesado. A continuación volveremos sobre esta norma.

Es importante destacar cuál será el uso obligatorio y único de los datos personales que estas excepciones permiten en el contexto español actual sin necesidad de recabar previamente la autorización del interesado: aquellas utilizaciones que permitan cumplir con las decisiones adoptadas por las autoridades sanitarias para el cumplimiento del fin de salud pública. Por ejemplo, la posibilidad de tratar datos personales de una persona contagiada para comunicar a los individuos con los que la primera tuvo contacto en una determinada horquilla temporal la circunstancia del contagio, con el objetivo de salvaguardar la salud de dichas personas y, a su vez, de reducir las posibilidades de contagio del resto de la población, al permitir a esos sujetos que eviten contribuir a expandir la enfermedad a terceros. Existe, por tanto, un interés vital que sirve como base jurídica cualificada: la salud pública y la salud individual.

El Gabinete Jurídico de la Agencia Española de Protección de datos emitía el 12 de marzo el Informe 0017/2020, sobre tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19. Este documento es especialmente interesante a la hora de aportar ejemplos de tratamiento lícito de datos de la salud, se cuente o no con el consentimiento previo del afectado, en aplicación del artículo 9 del RGPD.

En primer lugar, la letra b) del art. 9.2 del RGPD encuentra como base jurídica del tratamiento las relaciones entre empleador y empleado, por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (empleador) o del interesado en el ámbito del Derecho laboral. Ello engloba la obligación del trabajador de informar de inmediato a su superior jerárquico directo en caso de sospecha de contagio del virus o de contacto con personas contagiadas, a fin de salvaguardar, además de la propia salud, la de los demás trabajadores del centro de trabajo, siendo obligación del empleador adoptar las medidas de seguridad e higiene oportunas, con el correspondiente tratamiento de datos que permita garantizar la salud de todos sus empleados. Exigencia que dimana no sólo al Real Decreto 463/2020, de 14 de marzo, de declaración del estado de alama, sino también, con carácter general, de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales.

En segundo lugar, las letras g) e i) del artículo 9.2 del RGPD prevén como base jurídica del tratamiento de datos personales el interés público esencial y cualificado de la salud pública. Por su parte, la letra h) de este precepto hace referencia al tratamiento de datos que sea necesario para realizar un diagnóstico médico o la gestión de servicios de asistencia sanitaria y social. La suma de las letras g), h) e i) del artículo 9.2 del RGPD servirían de base para permitir el tratamiento de datos personales necesario para conocer el positivo o el negativo en la prueba de autodiagnóstico a través de la atención telefónica o del uso de la aplicación para teléfonos móviles, así como la transmisión de esta información al personal que presta el servicio de envío de recomendaciones y notificaciones al paciente y sigue su evolución. Asimismo, en caso de presentar escasa eficacia los test rápidos o cualquier otra fórmula de diagnóstico empleada en los centros sanitarios, el tratamiento de los datos obtenidos en las varias pruebas realizadas será esencial para el buen diagnóstico y para analizar el propio funcionamiento de la herramienta de diagnóstico empleada.

Por su parte, el artículo 9.2.c) del RGPD regula una última base jurídica: se permite el tratamiento de datos de la salud que sea necesario para proteger intereses vitales del afectado o de otras personas físicas cuando el interesado no esté capacitado, física o judicialmente, para dar su consentimiento. Así sucederá, por ejemplo, cuando el tratamiento de datos se realice tras el ingreso del paciente en una unidad de cuidados intensivos o zona equivalente del centro sanitario, permitiendo al personal comunicar su ingreso y/o su evolución a sus familiares o a las personas que hayan mantenido contacto con el individuo ingresado.

En todos estos casos, las diferentes derivadas del fin de la salud pública se hacen primar sobre el derecho a la protección de datos personales, de forma que las primeras sirven como base jurídica de autorización legal para el tratamiento de datos personales. La regla general de la licitud del tratamiento basada en el efectivo consentimiento de la persona afectada por el tratamiento cede frente a estas bases jurídicas excepcionales, que únicamente serán aplicables mientras dure la situación de excepcionalidad que las justifica.

Sin embargo, dicho esto, no puede perderse de vista que el tratamiento que se haga en aplicación de estas bases jurídicas y en implementación de las decisiones tomadas por las autoridades sanitarias españolas ha de cumplir con el resto de exigencias previstas en la normativa material aplicable. Entre otras, las contenidas en la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública y en la Ley 33/2011, de 4 de octubre, General de Salud Pública, que permiten a las autoridades sanitarias llevar a cabo acciones preventivas generales y adoptar las medidas necesarias para el control de enfermos y de personas que hayan estado en contacto con estos cuando exista riesgo de transmisión de enfermedad. Tampoco puede olvidarse la división competencial característica de nuestro país, que conduce a que, en ocasiones, varias autoridades sanitarias de las diferentes administraciones públicas sean entidades competentes para adoptar las medidas necesarias para salvaguardar la salud pública. Los responsables de los tratamientos de datos personales habrán de seguir las instrucciones dictadas por dichas autoridades. Por ello, la creación y gestión de aplicaciones móviles, de registros de trabajadores, de listados de pacientes convalecientes curados del COVID-19 voluntarios en procedimientos de extracción de plasma hiper-inmune que se desarrollan desde los centros de transfusión autonómicos y el tratamiento y gestión de las diferentes bases de datos generadas tras ello pueden ser –todas ellas- medidas lícitas, por necesarias para proteger la salud de los ciudadanos y optimizar el sistema sanitario español y poder subsumirse en alguna o algunas de las diferentes bases jurídicas anteriormente expuestas.

Eso sí, la implementación de estas decisiones mediante los correspondientes tratamientos de datos personales no pueden conducir a ignorar los principios y garantías que el derecho a la protección de los datos personales ostenta en el territorio europeo. Dichos principios se agrupan en el artículo 5 de RGPD, que habrá de cumplirse de forma escrupulosa. De acuerdo con esta norma, el tratamiento de datos personales ha de cumplir las máximas medidas de seguridad y limitarse a la finalidad descrita –la salud pública, la salvaguarda de los intereses vitales o esenciales de las personas físicas, las necesidades de diagnóstico y gestión de servicios sanitarios y el cumplimiento de las obligaciones dimanadas de la relación laboral-, debiendo respetar asimismo los principios de proporcionalidad, exactitud y minimización de datos. Los datos recabados habrán de someterse, siempre que sea posible, a técnicas de seudonimización y anonimización, salvo que ello interfiera en el fin de procurar un correcto funcionamiento de los servicios sanitarios. Cosa que habrá de analizarse caso por caso, teniendo en cuenta, eso sí, que en caso de anonimizarse, dejaríamos de habar de datos personales y tendríamos que dejar de aplicar la normativa que regula su protección. Únicamente podrán tratarse los datos necesarios para la finalidad pretendida, no otros. En este caso, únicamente podrán tratarse los datos necesarios para evitar la propagación de la enfermedad y para gestionar la evolución de las personas ya contagiadas. La Agencia Española de Protección de Datos hace un llamamiento a la importancia de no confundir la conveniencia del tratamiento con la necesidad del tratamiento. El tratamiento necesario es el imprescindible. Además, tampoco podrán conservarse los datos más tiempo del necesario para cumplir dicha finalidad. De ahí la prohibición general de reutilización de los datos de la salud pública una vez termine la crisis sanitaria. Prohibición general que se aplica tanto a personas físicas como jurídicas, tanto de carácter público como privado, que sean consideradas responsables del tratamiento de datos, tal y como han solicitado un grupo de juristas especializados en la materia, encabezados por Manuela Battaglini, Elena Gil González, Javier Valls Prieto y José Antonio Castillo Parrilla, en su carta dirigida al Gobierno de la Nación.  Tanto los organismos públicos como las personas jurídicas privadas participantes en el tratamiento de datos personales relacionados con la salud habrán de comprometerse a la eliminación de estos datos cuando termine el período de emergencia sanitaria o a su anonimización, de tal forma que pasen a ser datos no personales. Término que habrá de ser decidido en todo caso por las autoridades sanitarias, y que parece razonable que pueda extenderse más allá de la duración del estado de alarma. En particular, hasta que se produzca el control real de la enfermedad, eliminados o reducidos los posibles picos futuros del virus y se produzca la efectiva implementación de fármacos y/o vacunas eficaces para su prevención y tratamiento.

La única reutilización posterior lícita, tal y como acertadamente se propone por el mencionado grupo de juristas, será la que lleve a cabo el Gobierno con el objetivo de poder gestionar situaciones sanitarias similares que puedan desarrollarse en el futuro. Medida coherente con el RGPD, que permite limitar el ejercicio de derechos por el afectado por el tratamiento de sus datos personales –entre otros, los derechos de acceso, rectificación y supresión- en la medida en que sea necesaria para cumplir objetivos importantes de interés público general, entre ellos la salud (considerando 73). Sin embargo, difiero de la opinión manifestada por este grupo de juristas, que se refieren expresamente a un período de “19 meses”, en los que pueden darse posibles picos de la enfermedad, o “hasta que salga la vacuna”. Circunstancia esta última que no asegura per se el control del virus. Valoro el esfuerzo por determinar el máximo temporal del uso, pero me parece más adecuado permitir una interpretación flexible del cumplimiento de este requisito, que permita tener en cuenta la evolución de factores sanitarios aún hoy desconocidos o inciertos que habrán de ser identificados y valorados por las autoridades sanitarias.

Asimismo, regirá la prohibición contenida en el considerando 54 del RGPD, referido a los datos de la salud, que impide que terceros, “como empresarios, compañías de seguros o entidades bancarias” traten los datos personales con otros fines. La prohibición legal del uso de datos por terceros distintos de los gestores sanitarios públicos busca preservar el mantenimiento de los estándares éticos y legales europeos y españoles respecto del uso de datos personales relacionados con la salud.

Dicho considerando no está de más, ni siquiera en un sistema de salud pública altamente reglamentado y con garantías en la afectación de la privacidad, como es el español, pues es fácil, en ocasiones, difuminar la frontera entre lo público y lo privado y entre, por un lado, la declarada finalidad de la gestión de esta crisis sanitaria y, más allá de ésta, la finalidad lícita de la investigación científica y, por otro lado, la persecución de otros objetivos parejos, pero no idénticos, que no podrán subsumirse en las mismas bases jurídicas de interés público. De ahí la relevancia de una norma que declare para todos los Estados miembros de la Unión Europea una prohibición absoluta, no susceptible de interpretación divergente o múltiple en manos de legisladores y jueces nacionales y que deje fuera del ámbito de aplicación de las bases jurídicas que buscan preservar el interés público esencial de la salud a operadores privados y, en especial, a las compañías de seguros y a las entidades bancarias. De no existir esta proscripción, las citadas entidades ostentarían un interés económico claro en acceder a este tipo de datos e incorporarlos a sus sistemas de predicción de riesgos basados en tecnologías de big data. Pensemos, por ejemplo, en la traducción que el uso de estos datos de la salud puede tener en un aumento de la prima a pagar por el seguro de vida contratado por una persona que resulta infectada por el virus o en la futura denegación de la celebración de este tipo de seguros si el conjunto de compañías aseguradoras pudieran hacer uso de los datos recopilados por las autoridades sanitarias durante la actual crisis sanitaria.

El considerando 54 del RGPD no impide, en sentido estricto, que personas jurídicas distintas de las entidades públicas lleven a cabo el tratamiento de datos de la salud para las finalidades de interés público tratadas en esta entrada. Únicamente prohíbe que el tratamiento que se haga por motivos de interés público no dé pie a que terceros “traten los datos personales con otros fines”. Por tanto, los organismos públicos sí podrán servirse de recursos privados y acuerdos con personas jurídicas de carácter privado mientras dure el estado de alarma para procurar un tratamiento lícito de los datos personales de los ciudadanos, siempre y cuando estas últimas no busquen el uso de los datos así obtenidos para fines mercantiles, sino única y exclusivamente para el cumplimiento del objetivo de gestionar la pandemia.

O, añado aquí, para fines de investigación científica, pero no así para otros tipos de finalidades que no puedan englobarse en esta base jurídica. No puede olvidarse tampoco la licitud de la transferencia no repetitiva de datos personales para la llevanza de fines de investigación científica permitida por el RGPD (considerandos 113, 156, 157 y 159 y artículos 9.2.j y 89), siempre sujeta al cumplimiento de los principios vigentes y del deber de informar de la transferencia a la autoridad de control y al interesado, así como a la observación de otras normas pertinentes, como las relativas a los ensayos clínicos. No olvidemos que el considerando 159 del RGPD permite aplicar la base jurídica del tratamiento para investigación científica a aquella que se desarrolla en el ámbito de la salud pública, incluida la “investigación financiada por el sector privado”. Circunstancia que, al ser una norma excepcional, nuevamente no será susceptible de interpretación amplia o extensiva.

En resumidas cuentas, la normativa de protección de datos no puede considerarse una cortapisa en la lucha contra la epidemia. Es perfectamente posible conseguir el objetivo sanitario sin tirar por tierra los estándares éticos y legales conseguidos a nivel europeo en materia de privacidad. Así lo han entendido las autoridades europeas y nacionales en materia de protección de datos. En estos momentos, el tratamiento de datos personales –y, en particular, el tratamiento de datos de la salud- es necesario para preservar la salud pública y este último objetivo ha de primar en la ponderación, por encima del consentimiento del titular de los datos, pero condicionado dicho tratamiento, eso sí, al cumplimiento de los principios generales aquí estudiados.

0 Comentarios

Dejar una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*