Tractament de dades resultants de la situació derivada del COVID-19

Autor: Adrià G.Font   /  19.03.2020

L’Agència Espanyola de Protecció de Dades va publicar el passat dia 12/3/2020 un informe sobre els tractaments de dades en relació al COVID-19. El RGPD, que conté les regles necessàries per permetre legítimament el tractament de dades personals en situacions d’emergència sanitària d’abast general. En conseqüència, segons recull l’informe, la protecció de dades no hauria de ser un obstacle.
En situació d'emergència sanitària com l'actual, la protecció de dades no hauria de ser un obstacle.
El RGPD permet el tractament de dades personals de salut sense el consentiment de l’interessat en situacions d’interès públic en l’àmbit de la salut pública. En aquest, el RGPD conté les regles necessàries per permetre legítimament el tractament de dades personals en situacions d’emergència sanitària. En conseqüència, segons recull l’informe, la protecció de dades no ha de limitar l’efectivitat de les mesures que s’adoptin per part de les autoritats públiques i en especials les sanitàries, amb la finalitat de fer front a la pandèmia. L’informe recull que el RGPD ja reconeix que en situacions excepcionals, com epidèmia, la base jurídica dels tractaments pot ser múltiple, basada tant en l’interès públic, com en l’interès vital de l’interessat o altra persona física.

(46) El tractament de dades personals també s’ha de considerar lícit quan és necessari per protegir un interès essencial per a la vida de l'interessat o la d'una altra persona física. En principi, les dades personals únicament s’han de tractar sobre la base de l'interès vital d'una altra persona física quan el tractament no es pot basar manifestament en una base jurídica diferent. Certs tipus de tractament poden respondre tant a motius importants d'interès públic com als interessos vitals de l'interessat, com per exemple quan el tractament és necessari per a finalitats humanitàries, inclòs el control i la propagació d'epidèmies, o en situacions d'emergència humanitària, sobretot en cas de catàstrofes naturals o d'origen humà.

Per tant, com a base jurídica per un tractament lícit de dades personals, sense perjudici de que puguin existir altres bases, -com per exemple el compliment d’una obligació legal, art. 6.1.c (per l’empresari en la prevenció de riscos laborals dels seus treballadors)-, el RPGD reconeix explícitament les dues citades: missió realitzada en interès públic (art. 6.1.e) o interessos vitals de l’interessat o altres persones físiques (art.- 6.1.d). Per al tractament de dades de salut no és suficient amb que existeixi una base jurídica del art. 6 RGPD, sinó que d’acord amb l’article 9.1 i 9.2 RGPD existeixi una circumstància que aixequi la prohibició al tractament de les dades de categoria especial, com són les de salut. Així doncs, s’haurà d’anar a buscar els epígrafs del art. 9.2 RGPD:
  • Lletra b) el tractament és necessari per complir obligacions i per exercir els drets específics del responsable del tractament o de l'interessat, en l'àmbit del dret laboral i de la seguretat i la protecció social, degut a que el contractant esta subjecte a la normativa de prevenció de riscos laborals (Llei 31/1995, de 8 de novembre, de prevenció de riscos laborals).
  • Lletra g) que fa referència a l’interès públic essencial i lletra i) on es fa referència a l’interès públic en l’àmbit de la salut pública, com la protecció davant amenaces transfrontereres greus per la salut, sobre la base del Dret de la Unió o dels Estats Membres que estableixin mesures adequades i específiques per protegir els drets i llibertats de l’interesant en particular el secret professional.
  • Lletra h) quan el tractament és necessari per realitzar un diagnòstic mèdic, de prestació d'assistència o de tractament de tipus sanitari o social, o de gestió dels sistemes i els serveis d'assistència sanitària i social.
  • Per últim, lletra c) en el cas en que el tractament sigui necessari per protegir els interessos vitals dels interessant o d’altres persones físiques, en el supòsit de que l’interessat no estigui capacitat, física i jurídicament, per donar el seu consentiment.
L’informe fa referència a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada por Real Decreto Ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera assenyala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”. Per últim, l’informe destaca que els tractaments de dades personals, tot i estar en situacions d’emergència sanitària, s’han de seguir tractant de conformitat amb la normativa de protecció de dades personals (RGPD i Ley Orgánica 3/2018), i per tant li son d’aplicació els seus principis, i entre ells el de tractar les dades amb licitud, lleialtat i transparència, limitació de la finalitat (en aquest cas, salvaguardar els interessos de les persones en situació de pandèmia), principi d’exactitud i el principi de minimització de dades. Sobre aquest últim, es fa referència expressa a que les dades tractades hauran de ser exclusivament limitades a les necessàries per a la finalitat pretesa, sense que pugui extendre dit tractament a altres dades personals no necessàries per la finalitat.