Coronavirus y protección de datos: cuando el interés público o vital se impone a la privacidad
El RGPD permite el tratamiento de esta información cuando sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud
Nos encontramos en plena crisis por el coronavirus. Y entonces surge la duda, ¿cabe la posibilidad, por ejemplo, de que una autoridad comunique a mi círculo cercano de amigos, o a mis compañeros de trabajo, que me he infectado del coronavirus? ¿Qué prevalece, el interés público o la privacidad? Las respuestas a estas preguntas requieren de un análisis jurídico previo que ha propiciado hasta un informe de la Agencia Española de Protección de Datos (AEPD).
Si por algo se caracteriza la situación actual es por la velocidad a la que está sucediéndose todo. No solo está afectando a nuestras rutinas cotidianas, sino que también tiene repercusiones en los datos personales y en la protección prevista por la normativa vigente. ¿Pero es que el Reglamento General de Protección de Datos (RGPD) ya tenía esto previsto? Así es, tiene una previsión en el caso de una emergencia sanitaria contra la salud pública como es una epidemia o, en nuestro caso, una pandemia.
En primer lugar, es necesario señalar que el derecho a la protección de nuestros datos personales, que tiene origen en el artículo 18 de la Constitución Española, no está suspendido, a día de hoy. El estado de alarma no suspende derechos, hecho que sí puede darse en los casos de estado de excepción o de sitio.
En segundo lugar, hemos de saber que estamos ante una colisión de derechos: la protección de la salud pública -en este caso, lucha contra una pandemia- frente a la protección de los datos personales.
La AEPD recordaba recientemente, en su informe sobre la protección de datos en la actual situación de pandemia, que el Considerando (46) del RGPD reconoce que en situaciones excepcionales “la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física. (…) Por lo tanto, como base de datos jurídica para un tratamiento lícito de datos personales (…), el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e), o intereses vitales del interesado u otras personas físicas (artículo 6.1.d)”.
El concepto “protección de los intereses vitales de otras personas físicas” legitima el tratamiento de datos personales de unos interesados para proteger frente al contagio a terceros. Y, además, justificaría dicho tratamiento de la manera más amplia. Dicha colisión de derechos de la que hablábamos antes, por tanto, se resolvería en favor de la protección de la salud pública. Y todo ello aunque no identifiquemos a las personas a las que se está protegiendo.
No obstante, y dado que afectamos a un dato de categoría especial como son los datos relativos a la salud, es necesario que haya una circunstancia especial que levante la prohibición de tratamiento de dicha categoría especial de datos.
¿Hay alguna circunstancia prevista en el RGPD que nos lo permita? Sí. El artículo 9.2.i establece que cabe dicho tratamiento cuando sea “ necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios (…)”. Al mismo tiempo, el art. 9.2. g también ampara esta posibilidad: “el tratamiento es necesario por razones de un interés público esencial (…)”. Y también se puede permitir según lo que establece el art. 9.2. c y h: protección de intereses vitales y para fines de medicina preventiva, respectivamente.
Como la salvaguarda de los intereses en el ámbito de la salud pública corresponde a las autoridades sanitarias, serán estas las que tomarán las decisiones correspondientes de adopción de las medidas necesarias, entre las que se podría incluir el tratamiento de los datos personales de salud de determinadas personas físicas.
Entonces, ¿podrían mis jefes comunicar a mis compañeros de trabajo que soy portador del COVID-19? Visto lo anterior, sí. Como señala la AEPD: “los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo”.
Queda señalar que aunque quepa dicho tratamiento de datos, ha de hacerse con licitud, lealtad, transparencia; con la limitación propia de la finalidad de salvaguardar los intereses vitales/esenciales de las personas físicas; con exactitud y minimizando los datos tratados para la finalidad pretendida: no cabría que este tratamiento, por razón de intereses de salud pública, lleve a que empresarios, compañías de seguros, bancos, etc. traten estos datos con otros fines.
Alejandro Álvarez Serrano, abogado del Bufete Mas y Calvet, especialista en protección de datos y privacidad.