De la cartilla COVID al registro sanitario: una cuestión de privacidad
Antes de ponerlo en marcha existe la obligación legal de realizar una evaluación sobre cómo impacta esta medida en la privacidad de los usuarios
Cuando aún no han arreciado las voces críticas con el anuncio lanzado desde la presidencia de la Comunidad de Madrid de poner en funcionamiento la “Cartilla COVID” (una suerte de “salvoconducto sanitario” para quienes hubieran pasado la enfermedad (COVID-19), el vicepresidente de la Comunidad ha salido al paso en rueda de prensa para aclarar que lo que en realidad se pretende es “poner en funcionamiento un registro público donde se recopilarán datos que los propios profesionales puedan consultar para tener conocimiento de qué pruebas se han ido haciendo los ciudadanos”.
Sin embargo, aunque la propuesta inicial se ha rebajado de forma considerable, la puesta en marcha de este registro también conlleva implicaciones jurídicas que es necesario analizar.
Entre otras, desde el punto de vista de la privacidad, ya que es necesario tratar y manejar información especialmente sensible (datos de salud), para lo cual se precisa de una base jurídica que haga lícito el tratamiento (consentimiento vs. habilitación legal –vinculada a razones de interés público en el ámbito de la salud pública–) así como un análisis previo y pormenorizado de la/s finalidad/es y propósito/s de la creación del registro, debiéndose valorar todo ello desde la perspectiva de la necesidad, proporcionalidad, adecuación y pertinencia de la propia medida.
Dudas por resolver
Son muchas las cuestiones que surgen al respecto: el registro de nuestros datos, ¿será una medida voluntaria y opcional para los ciudadanos o nos veremos obligados a “pasar por el aro”? ¿Será una extensión de la historia clínica del Sistema de Salud o, por el contrario, se va a crear un registro independiente? ¿Quién podrá acceder y consultar el registro, bajo qué circunstancias y para qué finalidad/es? ¿En qué medida la creación de este registro puede contribuir a frenar la expansión de la enfermedad? ¿Cómo garantizar que la información registrada es actual y fiable y, por lo tanto, confiable?
Lo cierto es que, antes de poner en marcha el registro y al estar afectados datos de salud, existe la obligación legal de realizar una evaluación sobre cómo impacta esta medida en la privacidad de los usuarios y, únicamente en el supuesto de concluirse un resultado favorable, será posible ir adelante (adoptando, en su caso, las medidas de minimización de los riesgos que hayan podido ser identificados); por el contrario, si después de la evaluación continúan planteándose “peros” y dudas, deberá consultarse con la Agencia Española de Protección de Datos.
Por lo tanto, son muchas las cuestiones que aún tienen que ser resueltas y aclaradas, a fin de garantizar que la puesta en marcha de este registro sanitario se hace con todas las garantías necesarias para respetar la normativa en materia de protección de datos.
Será cuestión, en definitiva, de esperar a ver de qué forma se configura esta medida impulsada por la Comunidad de Madrid y, sobre todo, si con el paso de los días se aporta mayor información al respecto para tener una idea más definida de cómo afectará esto a la privacidad de los datos de salud de los usuarios, cuya protección debe estar, sin ningún tipo de vacilación, en el foco de cualquiera de estas medidas.
Juan Carrasco, socio de Santiago Mediano Abogados.