Generalidades de la Protección de Datos y situaciones de Emergencia Sanitaria.
La aplicación de la Protección de Datos en la actual situación de Emergencia Sanitaria por COVID-19 se aplica en su integridad a la situación actual. No existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada.
La normativa de protección de datos personales RGPD 679/2016 contiene las salvaguardas y reglas necesarias para permitir los tratamientos de datos personales en situaciones en que exista una emergencia sanitaria por covid-19.
Legitimaciones del tratamiento de datos en estados de Emergencia Sanitaria (Covid-19).
En el RGPD 679/2016 se reconoce que en situaciones excepcionales, como una epidemia (emergencia sanitaria) , la base jurídica de los tratamientos puede ser múltiple. Ésta puede ser basada tanto en el interés público, como en el interés vital del interesado u otra persona física.
En general.
En una situación de emergencia sanitaria la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que:
- Le permitan salvaguardar los intereses vitales de las personas físicas.
- El cumplimiento de obligaciones legales.
- La salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable.
Dichas decisiones (desde el punto de vista de la normativa de protección de datos personales, se reitera) serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales.
Pero los responsables de tratamientos deberán actuar conforme a lo que las autoridades establecidas en la normativa se establezcan. En España se han dotado de las medidas legales necesarias para enfrentarse a situaciones de emergencia sanitaria:
- Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública.
- Ley 33/2011, de 4 de octubre, General de Salud Pública.
En consecuencia, corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública.
Serán los responsables de los tratamientos de datos personales los que deben seguir dichas instrucciones. Incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas.
Lo anterior hace referencia a la posibilidad de tratar los datos personales de salud cuando es necesario:
- Comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de ésta.
- Para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas).
- Para evitar que dichas personas físicas puedan expandir la enfermedad a terceros .
En la empresa por Ley de Prevención de Riesgos Laborales
Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales:
- Los empleadores podrán tratar los datos. Así garantizar la salud de todos sus empleados y evitar contagios en el seno de la empresa y/o centros de trabajo.
- También el empleado deberá comunicar a su empleador la sospecha de que pudiera estar afectado por el COVID-19. Se podrán tomar las medidas oportunas dentro de la empresa.
Limitaciones al tratamiento de Datos de Caracter Personal en situaciones de Emergencia Sanitaria.
Los tratamientos de datos personales en estas situaciones de Emergencia Sanitaria por Covid-19 deben de ser tratados de conformidad con la normativa de protección de datos personales (RGPD 679/2016 y Ley Orgánica 3/2018 LOPDGDD) por lo que se aplican todos sus principios, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto el principio de minimización de datos.
Sobre este último aspecto hay que hacer referencia expresa a que el tratamiento de datos se debe limitar a los necesarios para la finalidad pretendida. No se puede extender a cualesquiera otros datos personales no estrictamente necesarios. El derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que la propia normativa de protección de datos personales establece que en situaciones de emergencia sanitaria, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.
Respecto del principio de limitación de la finalidad en relación con supuestos de tratamientos de datos de salud por razones de interés público por emergencia sanitaria covid-19, por ejemplo, el Considerando (54) RGPD es claro, cuando establece que:
El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.
El presente artículo está basado en el Informe de la AEPD 2020-2017.
Desde Horns Consultoria podemos ayudarles a realizar la aplicación correcta de la Protección de Datos en este caso de Emergencia Sanitaria por Covid-19.