A nadie escapa que la pandemia del Coronavirus ha puesto de manifiesto la necesidad de adoptar medidas en el orden público encaminadas a evitar su expansión, no sólo en España, sino a nivel internacional. Esta situación de crisis, ha puesto en el centro del debate social otros aspectos como los sistemas de teletrabajo, el concepto de privacidad o la legitimación de los tratamientos de datos personales.
El interés público como legitimación
Recientemente conocíamos el informe de la Agencia Española de Protección de Datos en relación con los tratamientos de datos personales en este marco, partiendo de que las cuestiones relacionadas con la protección de este derecho fundamental, no deberían ser utilizadas para “obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”.
En este sentido Agencia indica que, ya el Reglamento General de Protección de Datos preveía, en su Considerando 46 que, “en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física”, así “el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física”.
Recalcando que “los responsables de tratamientos, al estar actuando para salvaguardar dichos intereses, deberán actuar conforme a lo que las autoridades establecidas en la normativa del Estado miembro correspondiente, en este caso España, establezcan” con el fin de controlar las enfermedades transmisibles. Un aspecto que remarca la normativa sanitaria, estableciendo que, “la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
Cuestiones que no deben obviar lo recogido en el Considerando 54 del Reglamento Europeo, donde se establece que “el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.
El tratamiento de los datos en el marco de interés público, en coordinación con la administración sanitaria es evidente, al igual que los tratamientos de datos en el marco de la normativa en materia de prevención de riesgos laborales.
Así la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales establece en su artículo 14 el derecho de los trabajadores a una protección eficaz en materia de seguridad y salud en el trabajo, derecho que conlleva la obligación del empresario y Administraciones de establecer mecanismos que lo puedan garantizar.
En este sentido la normativa profundiza en conceptos como el derecho de información, consulta y participación, formación en materia preventiva, paralización de la actividad en caso de riesgo grave e inminente y vigilancia de su estado de salud. Cuestiones qie, para garantizar el correcto funcionamiento del sistema implican, necesariamente, la colaboración de los empleados, tal y como indica la Agencia Española, “velando, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario. Ello se concreta en que deberán de informar de inmediato a su superior jerárquico directo, y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores; contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo y cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores”.
Por tanto, estos tratamientos encontrarían su legitimación en el marco del cumplimiento normativo de la normativa especial en esta materia.
No obstante, debe tenerse en cuenta otros tratamientos de datos que pueden derivarse de la situación actual por parte de los responsables del tratamiento, que suponen un riesgo y que deben ser analizados, evitando vulneraciones en materia de protección de datos, o de los derechos al honor, intimidad y propia imagen.
Otros tratamientos de datos y legitimaciones
Ahora bien, ¿pueden las empresas adoptar medidas que afecten a proveedores?. Con anterioridad a la declaración del estado de alerta por parte del Gobierno ya era una práctica consolidada por las entidades públicas y privadas, facilitar un cuestionario a todas las personas que iban a acceder, visitas o proveedores, solicitándoles información sobre sus viajes (una lista que se ha visto ampliada a cada momento en que las noticias iban descubriendo nuevos casos), así como, en ocasiones información relativa al estado de salud.
En todo caso, el conocer en que países había estado una determinada persona, no tenía que implicar necesariamente un contagio o potencial contagio, sino más bien una posible alerta.
Ante estos tratamientos, donde la información tendría una finalidad de control en el acceso a las instalaciones y prevención de contagios, no siendo compartida, a priori, con la administración sanitaria salvo en aquellos casos en los que se detectará un grave riesgo, en cuyo caso podría entenderse amparado también en el interés público en el momento de la captación de dicha información.
En este punto es cuando debe analizarse desde el punto de vista jurídico si esta información recabada del propio interesado debe obtenerse en base a otras legitimaciones tales como el consentimiento o el interés legítimo y, quizás en caso de realizar una comunicación, posterior a la administración sanitaria, ésta podría enmarcarse en el interés público.
En todo caso, como indica la Agencia Española, “resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad” y es que la prevención o detección de riesgos no puede ir más allá suplantando otros instrumentos con los que cuenta la sociedad y la propia Administración como es el servicio sanitario, sujeto al secreto profesional y con experiencia y conocimientos para delimitar la información que realmente es necesaria en este marco.
La segunda cuestión que se pone de manifiesto es la duración del tratamiento y las finalidades derivadas del mismo. ¿A posteriori la falta de veracidad en la información facilitada podría tener consecuencias para el titular de los datos?.
En relación con los plazos de conservación, los principios en materia de protección de datos, establecen que la información no podrá ser tratada más allá del tiempo estrictamente necesario para dar cumplimiento a la finalidad para la que se obtuvo. Por tanto, cumplida ésta, los datos deberían ser cancelados o bloqueados en caso de existir obligación legal de mantenerlos bloqueados.
¿Podría entenderse que la acreditación de la diligencia debida justificaría el mantenimiento de estas declaraciones realizadas por los titulares de sus datos? Parece que, con fines de investigación o a requerimiento de las autoridades con competencia en la materia, podrían ser tratados, a modo de ejemplo, para localizar focos de contagio, tal y como hemos visto en otros países, incluyendo, otros tratamientos derivados de la inteligencia artificial o los análisis masivos de datos, con la finalidad reseñada, anticipar
Otra cuestión que parece compleja de llevar a cabo es la actualización de la información, de cara a la efectividad del tratamiento, así se plantea si en dichos consentimientos se debería incorporar la posibilidad de que desde el responsable del tratamiento se pudieran realizar contactos posteriores para tener información al día, o la obligación de los titulares de sus datos de informar a los responsables del tratamiento sobre hechos nuevos que supusieran un riesgo para las personas que trabajan en las instalaciones que visito tiempo atrás.
Todo ello, debe entenderse en el marco de otra obligación que la normativa establece, la no necesidad de obtener el consentimiento para el tratamiento de los datos, no eximen de la obligación de informar al interesado sobre lo que vamos a hacer con su información, usos posteriores o derechos que le asisten. Aunque parece obvio que las finalidades son vox populi, la erradicación del Coronavirus, podrían darse otras, así como la necesidad de realizar cesiones o comunicaciones de datos, por ejemplo entre las empresas con la administración sanitaria o entre la sanidad pública y privada.
A nadie escapa que el derecho a la privacidad es un derecho consagrado en nuestra Carta Magna, al igual que otros de los que estamos hablando estas últimas fechas, necesitándose una ponderación, que conlleva la adopción de medidas excepcionales, como bien indica la Agencia en su informe, no implicando, en ningún caso, al consolidación posterior de estos tratamientos, una vez se erradique la pandemia o se modifiquen los criterios normativos o sanitarios.
Confluencia con el derecho al honor, intimidad y propia imagen
El derecho a la privacidad, tal y como establece el artículo 18 de nuestra Constitución, se debe entender en conjunción con el derecho al honor, a la intimidad personal y familiar y a la propia imagen. En este ámbito, debe respetarse los citados derechos al referirnos a terceros, las imágenes que se divulgan en los innumerables memes que estos días circulan por las redes, recordando que la exposición pública, no implica que el derecho al honor e intimidad, afecta directa o indirectamente a otras personas.
Las garantías de estos derechos también afectan a las propias empresas y administraciones en relación con las obligaciones, recogidas en la normativa de protección de datos, en relación con la confidencialidad. Medidas que encuentran un mayor refuerzo en aquellas profesiones sometidas al secreto profesional.
Así, no debería facilitarse a terceros, dentro o fuera del entorno de la empresa, información que permitiese identificar una persona. En este sentido, debemos tener en cuenta que estamos ante datos especialmente protegidos, por lo que más allá de las formas de legitimar su tratamiento, no deberían trascender a terceros no autorizados. De cara a adoptar las medidas necesarias, debemos plantearnos cómo actuaríamos en otros escenarios ante otras enfermedades, si podríamos quebrantar la confidencialidad desvelando esta información. Un debate que ya quedó superado en otras ocasiones como el auge del VIH o de otras enfermedades, ponderándose, en cada caso la intimidad y los intereses generales, evitando que la prevención acabe desembocando en la exclusión.
Si bien nos encontramos en un momento en que debemos adoptar medidas extraordinarias, éstas deben mirar más allá del mañana, analizando las implicaciones que pueden conllevar, dentro de un ejercicio de responsabilidad por parte de todos.
