Las consecuencias del coronavirus son enormes. El objetivo principal ahora es el de contener la pandemia y todo lo demás ha pasado a un segundo plano, incluida la protección de datos. Pero, ojo, pasar a un segundo plano no significa desaparecer. Como dice la AEPD, la crisis del coronavirus “no puede suponer una suspensión del derecho fundamental a la protección de datos personales”.
No, pero tampoco la normativa de protección de datos puede suponer un obstáculo a la hora de combatir una pandemia que está costando muchas vidas. De hecho, no es necesario. La propia normativa contempla escenarios en los que el interés público prima sobre el personal. El artículo 9 del Reglamento General de Protección de Datos deja diversas vías a través de las cuales las autoridades sanitarias pueden gestionar datos sanitarios de manera legal en situaciones como la actual. Por ello, no es necesario suspender los derechos en materia de protección de datos porque éstos permiten ya acomodar medidas para gestionar la crisis del coronavirus.
El RGPD, además, recoge en varios apartados menciones específicas a situaciones de excepción como la que estamos viviendo.
RGPD Considerando 52
El Reglamento General de Protección de Datos, en su considerando 52 hace una mención expresa a situaciones de alerta sanitaria y dice que en estos casos se deberán autorizar excepciones a la prohibición de tratar categorías especiales de datos.
“Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud.”
RGPD Considerando 73
En su considerando 73 el RGPD llega incluso a contemplar la posibilidad de imponer restricciones a los derechos en casos excepcionales como catástrofes.
“El Derecho de la Unión o de los Estados miembros puede imponer restricciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano (…)”
RGDP Considerando 54
Si bien el interés público es reconocido y prima en una situación como la actual, las amenazas para la privacidad también son evidentes. En este caso, el riesgo puede estar en que estos datos lleguen a terceras partes. En este sentido el RGPD también es claro y en su considerando 54 dice lo siguiente:
“Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.”
En otras palabras, si se recaban datos para la lucha contra el coronavirus, estos sólo pueden ser usados para esa lucha y no para otro fin. Las empresas o instituciones que recaben datos en el esfuerzo contra esta pandemia no pueden recoger datos aprovechando la situación.
Si se utilizan aplicaciones o webs de las que no son titulares las autoridades públicas, sino que son ofrecidos por entidades o personas privadas, no existirá la legitimidad para el tratamiento de los datos. En este sentido, es importante recomendar ser especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales