¿Qué relación existe entre el control epidemiológico del COVID-19 y la protección de datos personales? Con la finalidad de luchar contra el COVID-19, han surgido multitud de iniciativas que implican el tratamiento de datos personales y, en muchos casos, incluso tratamiento de datos de salud. Estos últimos están considerados categorías especiales de datos, y su tratamiento está prohibido de forma general, a no ser que exista una excepción que legitime su tratamiento. Es por ello que, ya a principios de junio, la Agencia Española de Protección de Datos (AEPD) tenía sobre la mesa un total de 86 reclamaciones de ciudadanos por este tema. Además, en esta línea, también están en curso 14 actuaciones de investigación.
Entre las reclamaciones más destacables, encontramos las relativas a la solicitud de información de salud a las personas, tanto en el ámbito laboral como en el privado o particular. Tal vez el más llamativo sea el de la toma de temperatura. En el ámbito laboral, el tratamiento de datos relacionados con la toma de temperatura no debería legitimarse mediante el consentimiento de los empleados y, con anterioridad a su implementación como medida preventiva, deberá valorarse en cada caso la necesidad, idoneidad y proporcionalidad de la misma en relación al fin que persigue realizando la Evaluación de Impacto previa. En cualquier caso, los tratamientos de datos de salud que se propongan desde Prevención de Riesgos Laborales deben llevarse a cabo de la mano de la Protección de Datos Personales, y siempre por personal sanitario bajo el deber de secreto o personal análogo.
En cuanto a los expedientes de investigación, la mayoría se refieren al desarrollo e implantación de tratamientos de datos personales llevados a cabo por autoridades u organismos públicos -de carácter nacional y/o autonómico- para la detección y/o seguimiento de casos y de sus contactos. Aquí nos encontramos tanto tratamientos llevados a cabo directamente por las Autoridades Sanitarias (detección, seguimiento y control de contagiados y contactos familiares) como tratamientos vinculados al uso de nuevas tecnologías (especialmente aplicaciones móviles de carácter voluntario) o nuevos tratamientos para determinar la trazabilidad de los viajeros del transporte público (billete personalizado de RENFE).
Finalmente, la AEPD también ha llevado a cabo acciones de concienciación dirigidas a la opinión pública. Las más relevantes han estado relacionadas con el teletrabajo y el phishing o aplicaciones móviles vinculadas al COVID-19.
En este link puede consultar la reciente comparecencia y respuestas de Mar España Martí (Directora de la AEPD) ante la Comisión Constitucional del Congreso de los Diputados. Uno de los aspectos que destaca de la comparecencia es la constante llamada de atención a las Administraciones Públicas para que consulten previamente a la AEPD sobre estos tratamientos; como forma de prevenir futuras incompatibilidades con la normativa vigente. En muchos casos, la AEPD ha iniciado las investigaciones a raíz de informaciones publicadas en medios de comunicación.
A pesar de que la salud pública y la lucha y control de la epidemia parezcan el bien jurídico más importante a defender actualmente, no deben dejarse de lado otros derechos fundamentales como son la privacidad y la protección de datos. Es por ello que todas las medidas que pretendan aplicarse deben pasar los análisis de proporcionalidad.