¿Qué datos estoy obligado/a a ceder a los establecimientos para el control de la pandemia?

La Agencia  Española de Protección de Datos ha tenido constancia de la proliferación de diferentes iniciativas públicas que tratan de fomentar una reacción rápida ante posibles nuevos brotes de COVID-19, como registrar determinados datos de los clientes que acuden a locales de ocio.

Es necesario puntualizar que los datos que se recogen relacionados con el control de la pandemia y su tratamiento debe tener la finalidad de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.

En todo caso, tiene que señalarse que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo cual la base jurídica seria, con carácter preferente, el artículo 6.1.e) del RGPD (“el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”).

Por eso tendrían que identificarse bien y limitarse a aquellos lugares en los cuales exista una mayor dificultad para el cumplimiento de estas medidas (no es el mismo una discoteca, en la cual las personas quieren estar cerca, que un museo, en el cual se pueden habilitar espacios adecuados porque circule la gente y limitar mucho los contactos). A tal efecto, tendrían que ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.

Por otro lado, la recogida y la cesión de datos tendría que organizarse de forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad que hayan coincidido, al estar en la misma hora, en el mismo lugar, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a los miles de personas que este día lo pudieron visitar, aparte de ser un tratamiento excesivo, podrían producirse dificultades, o incluso un colapso en la asistencia sanitaria. Cuestión que también tienen que valorar las autoridades sanitarias de las Comunidades Autónomas.

Adicionalmente, tiene que cumplirse con el principio de minimización, en virtud del cual podría ser suficiente obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar en cuestión. Este criterio, junto con el del anonimato de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes.

En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.

Así mismo, tiene que aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos solo tienen que poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación.

De acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de estos datos por razones de interés público previstos en la ley.

Por su parte, los ciudadanos tienen que recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información tiene que tratarse con las medidas de seguridad adecuadas.

 

Joan San José
Responsable de Sistemas de Información de Grup Carles