La Agencia Española de Protección de Datos publicó el pasado día 03/12/2020 un informe sobre los tratamientos de datos en relación al COVID-19. El RGPD, que contiene las reglas necesarias para permitir legítimamente el tratamiento de datos personales en situaciones de emergencia sanitaria de alcance general. En consecuencia, según recoge el informe, la protección de datos no debería de ser un obstáculo.
En situación de emergencia sanitaria como la actual, la protección de datos no debería ser un obstáculo.
El RGPD permite el tratamiento de datos personales de salud sin el consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública. En éste, el RGPD contiene las reglas necesarias para permitir legítimamente el tratamiento de datos personales en situaciones de emergencia sanitaria. En consecuencia, según recoge el informe, la protección de datos no debe limitar la efectividad de las medidas que se adopten por parte de las autoridades públicas y en especiales las sanitarias, con el fin de hacer frente a la pandemia.
El informe recoge que el RGPD ya reconoce que en situaciones excepcionales, como epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.
(46) El tratamiento de datos personales también se debe considerar lícito cuando es necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente a tratar sobre la base del interés vital de otra persona física cuando el tratamiento no se puede basar manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control y la propagación de epidemias, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c (por el empresario en la prevención de riesgos laborales de sus trabajadores) -, el RPGD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (arte.- 6.1.d).
Para el tratamiento de datos de salud no es suficiente con que exista una base jurídica del art. 6
RGPD, sino que de acuerdo con el artículo 9.1 y 9.2 RGPD exista una circunstancia que levante la prohibición al tratamiento de los datos de categoría especial, como son las de salud. Así pues,
se tendrá que ir a buscar los epígrafes del arte. 9.2 RGPD:
El informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada por el Real Decreto Ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
Por último, el informe destaca que los tratamientos de datos personales, a pesar de estar en situaciones de emergencia sanitaria, se deben seguir tratando de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018), y por tanto le son de aplicación sus principios, y entre ellos el de tratar los datos con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas en situación de pandemia), principio de exactitud y el principio de minimización de datos. Sobre este último, se hace referencia expresa a que los datos tratados deberán ser exclusivamente limitadas a las necesarias para la finalidad pretendida, sin que pueda extender dicho tratamiento a otros datos personales no necesarios para la finalidad.
Subscriu-te i rep cada mes novetats i notícies al teu email