Miguel_Ortego
Privacy, Data & Cybersecurity

Instrucciones AEPD sobre tratamiento de datos y coronavirus

La Agencia Española de Protección de Datos («AEPD») ha publicado un informe para analizar cómo deben realizarse los tratamientos de datos en relación con el coronavirus (COVID-19). Este informe se suma a la Guía para pacientes y usuarios de la sanidad que ya publicara la Agencia en noviembre de 2019.

Muchos de los datos personales que se están tratando como consecuencia del coronavirus son considerados datos sensibles del art. 9 del Reglamento General de Protección de Datos («RGPD»), por lo que, en principio, estaría prohibido su tratamiento (art. 9.1 RGPD).

Sin embargo, el propio RGPD ya contempla excepciones a tal prohibición para situaciones graves de emergencia sanitaria a nivel europeo. En concreto, ello está regulado en el art. 9.2 i) que indica:

«el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional»

También hay que recordar los arts. 9.2.b), 9.2.g), 9.2.i) o 9.2.h).

Junto con lo anterior, también destacan las bases de licitud del art. 6 RGPG permiten el tratamiento de datos en diferentes situaciones que se ajustan a esta crisis, tales como:

«c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d)  el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)  el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)  el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»

En este caso, por ejemplo, el cumplimiento de la obligación legal contenida en la Ley 33/2011 General de Salud Pública (“con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”) sería suficiente habilitación para tratarlos.

En definitiva, más allá de aportar soluciones nuevas o dictámenes interpretativos, el informe de la AEPD realmente viene a recordar que el derecho a la protección de datos personales no debe ser un obstáculo para el tratamiento o el desarrollo de la actividad necesaria para controlar y abordar el coronavirus.

Imagen: El Derecho

17 Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *