Protección de Datos y Covid-19

covid-19

La Influencia del Covid-19 en la Protección de datos de carácter personal:

  1. Introducción

Tras la aprobación del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, se inicia la aprobación de múltiples medidas por el gobierno de nuestro Estado con  la finalidad de proteger la salud de todos los ciudadanos.

Durante las últimas semanas se han aplicado y propuesto diferentes mecanismos para evitar el contagio el COVID-19 entre los individuos, tomando como referencia la experiencia de países vecinos. Un ejemplo de ello es el desarrollo por el ejecutivo de una aplicación que permita al individuo realizar un autodiagnóstico, de manera que se permita descongestionar los teléfonos de asistencia sanitaria; así como la implantación de un sistema de geolocalización que permita controlar el cumplimiento del confinamiento por parte de la ciudadanía. Sin embargo, el desarrollo de la mencionada aplicación tiene influencia en la esfera jurídica del individuo y, en concreto, en su derecho fundamental a la protección de datos de carácter personal.

Tal y como afirmó el Ministro de Justicia, Carlos Campo, en su comparecencia del pasado 6 de abril, todo lo que marcan las autoridades sanitarias tienen que tener después un respaldo jurídico. Por lo tanto, todo tipo de medidas que se aprueben por nuestro gobierno, deben estar fundamentadas en nuestro ordenamiento jurídico, ya que no existe una devaluación del estado derecho en un estado de alarma. En consecuencia, es necesario que cualquier medida implantada por las autoridades se ajuste, en todo momento, a la legalidad vigente en nuestro ordenamiento. Por ello, interesa examinar la base jurídica sobre la que las autoridades se fundamentan a la hora de desarrollar medidas de protección frente a la crisis derivada por el COVID-19 así como su influencia en el derecho fundamental a la protección de datos de carácter personal.

  1. Protección de la salud pública en la situación de pandemia mundial provocada por el COVID-19

El Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma tiene su fundamento normativo en la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio. En concreto, el artículo once permite a las autoridades limitar la circulación o permanencia de personas o vehículos en horas y lugares determinados o condicionarlas al cumplimiento de ciertos requisitos.

Este precepto hay que relacionarlo con el contenido establecido en la Ley 33/2011, de 4 de octubre, General de Salud Pública. De entre los principios que informan la acción en salud pública, interesa poner de manifiesto el principio de precaución, en virtud del cual, la existencia de indicios fundados de una posible afectación grave de la salud de la población (…) determinará la cesación, prohibición o limitación de la actividad sobre la que concurran. Para asegurar la efectividad de las políticas que influyan en esta materia, se establece un deber de colaboración de los ciudadanos en el artículo octavo, por lo que éstos, además de facilitar el desarrollo de estas acciones, tendrán que abstenerse de realizar cualquier tipo de conducta que dificulte o impida su ejecución.

Por otra parte, el artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública otorga a la facultad sanitaria de adoptar aquellas medidas que se estimen necesarias para el control de enfermos, aquellas personas que estén en contacto con los mismos en supuestos de enfermedades transmisibles como el COVID-19.

Como se expuso con anterioridad, estos mecanismos de control para la protección de la salud pública implican la creación de ficheros que contengan multiplicidad de datos, lo que afecta al derecho fundamental del individuo a la protección de datos de carácter personal que nuestra Constitución garantiza. Por lo tanto y, como exige un estado de derecho como el nuestro, es necesario que toda acción que implique un tratamiento de datos sea conforme a la legislación en dicha materia para que éste sea lícito y no implique una vulneración del estado de derecho.

  1. Influencia en el derecho fundamental a la Protección de datos de carácter personal

La utilización de la informática y de la red provoca la creación de ficheros que contienen datos de carácter personal, derecho fundamental amparado en nuestra Carta Magna en el artículo 18.4. Ello implica una intromisión en la esfera más personal del individuo, lo que permite la elaboración de un perfil del afectado por el tratamiento. En consecuencia, es necesario establecer medidas de control y de seguridad que garanticen, en todo momento, un tratamiento seguro y que respete los demás derechos fundamentales que se conectan con éste: el derecho a la intimidad, el honor y la propia imagen.

Es evidente que, el desarrollo de una aplicación de tales características por el gobierno tiene una gran influencia en la esfera personal del individuo y, especialmente, en su protección de datos de carácter personal. Por lo tanto y, partiendo del mandato constitucional previsto en el artículo 105.b de la Constitución Española, es necesario  examinar el fundamento normativo existente en nuestro ordenamiento que otorga licitud a la implantación de la citada medida así como las posibilidades que existen a la hora de desarrollarla sin que ello suponga una vulneración del artículo 18 del texto constitucional.

Para examinar el fundamento jurídico de las autoridades a la hora de desarrollar medidas que puedan afectar a este derecho interesa establecer como punto de partida la legislación básica aplicable en materia de salud pública. En este sentido, el artículo séptimo de la mencionada Ley General de Salud garantiza a todos los individuos su derecho al respeto de su dignidad e intimidad personal y familiar en relación a su participación en actuaciones de salud pública. Con esta previsión se pretende garantizar que, en toda actuación desarrollada por las autoridades sanitarias en virtud de esta ley, se protejan, en todo momento, los derechos fundamentales del artículo 18 de la Constitución. En concreto y, respecto de la protección de datos de carácter personal, en el precepto mencionado de la Ley General de Salud Pública se establece que la información personal que se emplee en las actuaciones de salud pública se regirá por lo dispuesto en  la normativa relativa a la protección de datos de carácter personal.

Por lo tanto, toda actuación en materia de salud pública que implique un tratamiento de datos de carácter personal tendrá que realizarse previo examen de su adecuación a la legislación en esta materia. Tras la aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, en nuestro Estado surge la necesidad de adaptar su ordenamiento jurídico a la nueva regulación europea. Así, se aprueba la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que es la disposición normativa que establece, en la actualidad, el régimen jurídico básico en materia de protección de datos de carácter personal a nivel estatal. Con la aprobación de la nueva Ley Orgánica se aprueba, por primera vez, a nivel estatal un estatuto jurídico de derechos digitales, de manera que se refuerza la protección de este derecho fundamental del individuo en la red, protección que es esencial en una sociedad interconectada como la actual.

Tanto el Reglamento Europeo como la Ley Orgánica estatal establecen condiciones para que el tratamiento de datos a través de la creación de ficheros sea lícito, de manera que no suponga una intromisión ilegítima en los derechos fundamentales del individuo. Por lo tanto, toda creación de ficheros que contengan este tipo de datos tendrá que estar fundamentada en una determinada base jurídica y tienen que estar destinada a una finalidad concreta.

Evidentemente, no todo tipo de tratamiento merece una protección al mismo nivel teniendo en cuenta la naturaleza de los datos objeto del mismo. Por ello, se prevén determinadas limitaciones a la hora de realizar un tratamiento de aquellos datos de carácter personal que se puedan considerar más sensibles o más íntimos, de manera que se les otorga una mayor protección estableciendo condiciones más restrictivas para considerar su licitud. En relación a ello, el Reglamento europeo, en su artículo noveno, establece una prohibición general del tratamiento relativo a determinados datos de carácter personal, entre otros, aquellos que son relativos a la salud. Como excepción a esta prohibición general, el apartado segundo enumera diferentes circunstancias que permiten el tratamiento de datos de carácter personal relativos a la salud. Interesa destacar  aquellos casos en los que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, como ocurre con la situación de pandemia actual provocada por el COVID-19.

En la Ley Orgánica de Protección de datos de Carácter Personal se establece, como primera base jurídica, que el tratamiento de datos de carácter personal a través de la creación de ficheros esté fundado en el consentimiento del individuo. En este sentido, el artículo sexto define como consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción informativa, el tratamiento de datos personales que la conciernen.

Sin embargo, también se prevé la posibilidad de que el tratamiento de datos se fundamente en otras causas. Una de ellas es el tratamiento fundamentado en una causa de interés público. En este sentido, el considerando 46 del Reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales establece que el tratamiento de datos personales también debe considerarse lícito cuando sea necesario proteger un interés esencial para la vida del interesado o la de otra persona física (…). Ciertos tipos de tratamiento pueden responden tanto a motivos importantes de interés púbico como a intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en catástrofes naturales o de origen humano. Por otra parte, interesa mencionar también el Considerando 54 de la mencionada disposición que, respecto del tratamiento de categorías especiales de datos personales, sin el consentimiento del afectado, prevé que puede ser necesario por razones de interés público por razones de interés público en el ámbito de la salud pública. Por lo tanto, el tratamiento de datos de carácter personal no solo va a ser lícito en aquellos casos en los que medie el consentimiento del individuo, sino que también podrá estar fundamentado en otra base jurídica como la protección de intereses vitales del interesado o de otra persona física (artículo 6.1.d del Reglamento) o porque éste es necesario por razones de interés público (artículo 6.1.e del Reglamento), entre otros. Estas previsiones entran en consonancia con el artículo 41.2 de la Ley General de Salud Pública, que permite a las autoridades sanitarias obtener y tratar datos de carácter personal sin el consentimiento de las personas afectadas cuando ello sea estrictamente necesario para la tutela de la salud de la población. En todo caso y, tal y como prevé el mencionado Considerando 54, este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a terceros, como empresarios, compañías de seguros o entidades bancarios traten los datos personales con otros fines. Ello implica que todo tratamiento realizado sin el consentimiento del afectado y fundamentado en una motivación de interés público en el ámbito de la salud pública debe estar destinado únicamente a ese interés y estos datos no podrán ser utilizados para otros destinos distintos.

En conclusión, se pone de manifiesto que el gobierno español, en virtud de lo establecido tanto en la legislación estatal como en la europea en materia de datos de carácter personal, así como en la demás legislación sectorial aplicable, tiene una base jurídica suficiente para el desarrollo de la citada aplicación. Es posible que el tratamiento de datos se fundamente el consentimiento del ciudadano o, que, por el contrario, no requiera dicho consentimiento por fundamentarse éste en razones de interés público para la protección de los ciudadanos ante la situación de pandemia mundial derivada del COVID-19. Se abre así un abanico de posibilidades que, de desarrollarse, van a afectar a la esfera personal de todos los individuos sometidos a este tratamiento. Evidentemente, se tendrán que implantar y garantizar todas aquellas medidas de control y seguridad a la hora de realizar el tratamiento. Se debe asegurar que aquellos datos que sean objeto del mismo sean únicamente destinados a las razones de interés público para las que se obtienen. De esta manera ningún ciudadano podrá resultar afectado en su derecho fundamental a la protección de datos de carácter personal.

Iago Pena Morado

Graduado en Derecho por la Universidad de Santiago de Compostela.

Publicaciones relacionadas

¿Puede acceder cualquier profesional sanitario a los datos de salud de mi historia clínica?

La AEPD continúa recibiendo reclamaciones por accesos indebidos de profesionales sanitarios a las historias clínicas de los pacientes sin legitimación alguna. Los profesionales sanitarios desconocen las consecuencias jurídicas graves que ...

Adaptación a la normativa de protección de datos: el reto de las empresas en 2021

La Covid 19 ha demostrado la vulnerabilidad que tiene la población global para defenderse frente a amenazas invisibles. Y, esa capacidad de defensa tan mermada guarda mucha relación, precisamente, con ...

Uso de software de manera ilegal

¿Si alguien usa mi software de manera ilegal puedo utilizar los datos que acreditan ese uso fraudulento? En caso de que no pueda ¿bastaría que incluya esto en mi página ...

Deja un comentario

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: publicar comentarios en las publicaciones. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Suscríbete a nuestro boletín informativo


PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: mantener una relación comercial y responder a los mensajes recibidos. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Atendemos consultas en el ámbito jurídico-tecnológico

Ofrecemos asistencia telefónica y a través de Skype.

info@sistemius.com

654 585 144

Skype

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: mantener una relación comercial y responder a los mensajes recibidos. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

¡Hola! ¿Puedo ayudarte?