La Agencia Española de Protección de Datos ha publicado un comunicado en el que aclara las posibles dudas sobre la recogida de datos en establecimientos con una finalidad de rastreo de contactos. Se trataría de la orden que algunas comunidades autónomas han emitido para que determinados tipos de negocios, normalmente relacionados con el ocio nocturno, recaben los datos de contacto de sus clientes para emitir un aviso en caso de que se produzca un positivo por COVID-19.
Este comunicado contiene 7 claves que son las que vamos a destacar en este artículo
1 La administración autonómica deberá establecer criterios
La responsabilidad de diseñar el sistema de recogida de datos y de notificación de positivos a los contactos y a la Administración sanitaria recae sobre las administraciones autonómicas. No es, por tanto, una responsabilidad de cada propietario desarrollar su propio sistema sino que debe de contar con unas directrices claras por parte de la administración de su comunidad autnónoma.
2 La base jurídica de la recogida de datos personales para el rastreo de contactos sería el artículo 6.1.c del RGPD
En el artículo 6.1.c del RGPD se estipula que existe una base legal cuando “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.
La base jurídica no puede ser el consentimiento ya que, en ese caso, no podría derivarse ninguna consecuencia negativa para el cliente y, por lo tanto, no se le podría negar la entrada en el establecimiento.
3 No todos los establecimientos tienen el mismo nivel de riesgo
La medida de la recogida de datos personales con la finalidad de realizar un posterior rastreo puede ser necesaria para locales como las discotecas en las que el contacto entre personas es muy probable. Por el contrario, esta medida puede ser excesiva en el caso de un museo o un supermercado, lugares en los que es posible facilitar un nivel de distancia social que prevenga los contagios por coronavirus.
4 El sistema deber ser funcional
La recogida y la cesión de datos deben emplear un sistema que permita identificar los posibles contactos de una manera precisa,(es decir, que sea capaz de identificar a las personas que hayan coincidido en el local en un mismo momento. No sería razonable contactar a todas las personas que han visitado el local en una semana por un positivo de una persona que sólo lo ha visitado un lunes.
5 Se debe respetar el principio de minimización
No deben recabarse más datos de los estrictamente necesarios para rastrear a los posibles contactos de un infectado por coronavirus. Si nos basta con el número de teléfono, no sería necesario pedir ningún dato más. En este caso, sería conveniente que las autoridades autonómicas estableciesen un protocolo en lugar de dejarlo a discreción de los establecimientos. Pero, a falta de este protocolo, debemos tener siempre en mente el principio de minimización.
6 Principio de limitación de la finalidad
Los establecimientos deben recabar los datos única y exclusivamente con el fin de que sirva para rastrear a posibles contactos en caso de un positivo por coronavirus. No vale aprovechar para apuntarlos a un boletín o usar el teléfono para mandarles un SMS promocional.
7 Los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales
Los establecimientos deben contar con documentación que los clientes puedan consultar en la que se les explique todos los detalles del tratamiento de sus datos.
