Quines dades estic obligat a cedir als establiments per al control de la pandèmia?

L’Agència Espanyola de Protecció de Dades ha tingut constància de la proliferació de diverses iniciatives públiques que tracten de fomentar una reacció ràpida davant possibles nous brots de COVID–19, com registrar determinades dades dels clients que acudeixen a locals d’oci.

És necessari puntualitzar que les dades que es recullen relacionades amb el control de la pandèmia i el seu tractament ha de tenir la finalitat de poder identificar possibles infectats, no són dades catalogades en el RGPD com a “categories especials”.

En tot cas, ha d’assenyalar-se que el fer un seguiment adequat de l’evolució dels contagis i de l’obligació de prendre dades i cedir-los a les autoritats sanitàries té el seu fonament en la garantia d’un interès públic de controlar la pandèmia, per la qual cosa la base jurídica seria, amb caràcter preferent, l’article 6.1.e) del RGPD (“el tractament és necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament”).

Per això haurien d’identificar-se bé i limitar-se a aquells llocs en els quals existeixi una major dificultat per al compliment d’aquestes mesures (no és el mateix una discoteca, en la qual les persones volen estar a prop, que un museu, en el qual es poden habilitar espais adequats perquè circuli la gent i limitar molt els contactes). A aquest efecte, haurien de ser les autoritats sanitàries les qui valorin motivadament en quins llocs seria obligatori identificar-se.

D’altra banda, la recollida i la cessió de dades hauria d’organitzar-se de forma que el registre permeti identificar els possibles contactes (és a dir, que existeixi una probabilitat que hagin coincidit, en estar en la mateixa hora, en el mateix lloc, etcètera). En un altre cas, com podria succeir en un museu, si hi ha un infectat i s’avisa als milers de persones que aquest dia el van poder visitar, a part de ser un tractament excessiu, podrien produir-se dificultats, o fins i tot un col·lapse en l’assistència sanitària. Qüestió que també han de valorar les autoritats sanitàries de les Comunitats Autònomes.

Addicionalment, ha de complir-se amb el principi de minimització, en virtut del qual podria ser suficient obtenir un número de telèfon, juntament amb les dades del dia i l’hora d’assistència al lloc en qüestió. Aquest criteri, juntament amb el de l’anonimat dels titulars del dispositiu, ha estat l’assumit pel Comitè Europeu de Protecció de Dades en la Recomanació sobre l’ús de dades de localització i aplicacions de seguiment de contactes en el context de la pandèmia; criteri que pot extrapolar-se a aquesta situació amb les adaptacions pertinents.

En conseqüència, no seria necessari sol·licitar el nom i els cognoms, que serien innecessaris per a la finalitat d’avisar als possibles contactes, i en cap cas és necessària la identificació mitjançant el DNI per ser desproporcionada.

Així mateix, ha d’aplicar-se estrictament el principi de limitació de la finalitat, de manera que les dades només han de poder utilitzar-se per a la finalitat de lluita contra el virus, excloent-ne qualsevol altra, així com el principi de limitació del termini de conservació.

D’acord amb aquests criteris, els establiments serien responsables de la recollida de dades en virtut d’una obligació legal establerta per una norma amb rang de llei i l’administració autonòmica seria la cessionària d’aquestes dades per raons d’interès públic previstos en la llei.

Per part seva, els ciutadans han de rebre una informació clara, senzilla i accessible sobre el tractament abans de la recollida de les dades personals. En tot cas, la informació ha de tractar-se amb les mesures de seguretat adequades.

 

Joan San José
Responsable de Sistemes d’Informació de Grup Carles