Tras la finalización del estado de alarma el pasado mes de junio, se aprueba en nuestro ordenamiento jurídico el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.
Así, su artículo 23, prevé una “obligación de facilitar a la autoridad de salud pública competente todos los datos necesarios para el seguimiento y vigilancia epidemiológica del COVID-19 que le sean requeridos por esta, en el formato adecuado y de forma diligente, incluidos, en su caso, los datos necesarios de identificación personal”.
Por ello y, como consecuencia de las medidas adoptadas, será necesario la realización de un tratamiento de datos de carácter personal que “tendrá por finalidad el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas al amparo de lo establecido” en el Reglamento general de protección de datos de carácter personal. En virtud del artículo 27.3 de la citada disposición, “los responsables del tratamiento serán las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad, en el ámbito de sus respectivas competencias.
Régimen de infracciones y sanciones por incumplimientos normativa Covid-19
Por otra parte, también se establece un régimen de infracciones y sanciones para aquellos casos en los que se incumplan las medidas de prevención previstas en el Decreto Ley. En todo caso, la vigilancia, inspección y control del cumplimiento de estas medidas se encomienda a los órganos competentes del Estado, de las Comunidades Autónomas y de las entidades locales “en el ámbito de sus respectivas competencias”.
Precisamente, Comunidades Autónomas como Galicia, Madrid, Castilla la Mancha o Castilla y León, haciendo uso de las competencias que el ordenamiento jurídico les atribuye, han ido aprobando sus propias medidas de prevención y contención del virus. Sin embargo, tras la época estival, posiblemente debido a la relajación en el cumplimiento de estas, así como a la mayor movilidad producida durante esa época del año; todo ello unido al comienzo de la actividad laboral y escolar, se ha producido un aumento en el número de contagios. Todo ello ha motivado la aprobación de nuevas medidas de contención de los brotes de la enfermedad, destacando aquellas relacionadas con el cumplimiento de las obligaciones de aislamiento o cuarentena.
En este sentido, se utiliza la colaboración de los distintos Ayuntamientos, a través de la policía local así como de las Fuerzas y Seguridad del Estado, de manera que se realice un control de cumplimiento de la indicación de aislamiento o cuarentena. Con esta finalidad, las autoridades sanitarias transmiten la información epidemiológica necesaria para ello. Este tipo de medidas encuentran su fundamento en la Ley Orgánica de Medidas Especiales en Materia de Salud Púbica que, en virtud de su artículo tercero, “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
Esta transmisión de información tiene trascendencias importantes en el ámbito de la protección de datos de carácter personal. Por ello, el artículo 16.3 de la Ley de autonomía del paciente prevé que “el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de datos personales”. Este acceso tiene una limitación: el acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, de manera que quede asegurado su anonimato. Sin embargo, el citado precepto establece varias excepciones a esa regla: cuando sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las administraciones sanitarias podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de salud pública.
Llegados a este punto, es necesario comprobar si, tras el acceso a las historias clínicas por parte de las administraciones sanitarias, es posible la transmisión de la información contenida en ellas a los cuerpos de policía local de los distintos municipios y a las Fuerzas y Cuerpos de Seguridad del Estado:
En virtud del artículo cuarto del Reglamento general de protección de datos de carácter personal, se considera tratamiento a cualquier operación o conjunto de operaciones realizadas sobre datos personales, como “la comunicación por transmisión o difusión” de los mismos. Por otra parte, este tratamiento, tal y como establece el artículo 6 de la misma disposición, será lícito si es “necesario para proteger intereses vitales del interesado o de otra persona física” o para “el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”. En este sentido, el considerando 46 del Reglamento prevé que ciertos tipos de tratamiento pueden responder tanto a motivos de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación.
Tratamiento de datos relativos a la salud
Por otra parte, a pesar de que el tratamiento de datos personales relativos a la salud de una persona está prohibido por el párrafo primero del artículo 9 del Reglamento, en su párrafo segundo se prevé que éste será lícito cuando sea necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros; o en aquellos casos en los que es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud.
En virtud de lo expuesto, se puede afirmar que nuestro ordenamiento jurídico prevé una base jurídica suficiente para el tratamiento necesario para la adopción de las citadas medidas de control.
Iago Pena Morado
Graduado en Derecho por la Universidad de Santiago de Compostela.
