El coronavirus y la Protección de Datos

Situación global

La nueva alerta mundial del covid-19 (coronavirus) ha desatado una serie de medidas excepcionales que ayuden a los distintos países afectados a controlar y tratar de minimizar la propagación del virus a niveles incontrolables. Entre dichas medidas excepcionales nos encontramos, en su extremo más radical, las medidas de control masivo de la ciudadanía que China lleva aplicando durante un tiempo y que han ayudado, gracias al Big Data y a la inteligencia artificial, a restringir los movimientos de sus ciudadanos y contener la propagación del virus. Por supuesto, sin dejar de lado sus ya habituales toques de censura del gobierno Chino, esta vez bloqueando ciertas combinaciones de palabras que hacen mención al virus o a los políticos en distintas plataformas digitales.

Si bien, medidas como las de China serían impensables e irrealizables en el resto del mundo, la propagación mundial del Coronavirus ha puesto en marcha protocolos de contención y control en la mayoría de países, con mejor o peor acierto desde el punto de vista de la Protección de Datos de los afectados y de cómo se han tratado los principios de proporcionalidad y confidencialidad.

En cuanto a vulneración de la privacidad, una paciente en Indonesia se vio gravemente afectada, ya que se filtraron sus datos personales así como una falsa historia (‘fake news’) sobre cómo contrajo el virus, dando a entender que era una especie de «bailarina exótica» profesional. Según la propia paciente, la realidad fue sencillamente que coincidió en un restaurante con espectáculos en directo, con un japonés infectado previamente al que no conocía de nada.

Como ejemplos de medidas excepcionales a la hora de tratar, compartir o liberar datos por parte de los gobiernos, tenemos casos como el de Singapur, donde un «interesante» caso de transparencia podría llegar a permitir la identificación de los ciudadanos que han sido contagiados, conociendo incluso sus datos de trabajo o residencia; o casos como el de Japón o Hong Kong, donde sin ofrecer tanta información como en Singapur, sí permite a sus ciudadanos conocer los principales focos de infección para poder evitarlos y limitar por tanto potenciales contagios.

Sin duda, este tipo de medidas excepcionales no serían toleradas en una situación de estado normal, pero en casos de potenciales pandemias sí podrían estar justificadas siempre que se mantenga un correcto equilibrio entre la prevención de contagios y la liberación de datos que puedan promover la identificación de personas concretas.

ClickDatos - El coronavirus y la protección de datos

¿Se ha visto afectada nuestra privacidad en España?

En España, durante la primera semana de marzo ya hemos tenido un primer «desequilibrio» en este sentido, y es que Fernando Simón -director del Centro de Alertas y Emergencias Sanitarias del Ministerio de Sanidad- señaló a una Iglesia Evangélica de Torrejón de Ardoz (Madrid) como posible núcleo de infección ya que dijo que «se habían identificado varios casos» y añadió que «se estaba investigando la posible relación con otras personas que pertenecen a otros grupos religiosos equivalentes».

Si bien son 19 las iglesias evangélicas en Torrejón, y esto no permite identificar de manera inequívoca a personas concretas, la Federación de Entidades Religiosas Evangélicas de España ha expresado su malestar porque indican que «se han sentido señalados y se ha estigmatizado a una comunidad religiosa».

Además, muchas empresas de zonas de riesgo (Madrid, País Vasco, C. Valenciana) están comenzando a tomar por su cuenta medidas de prevención en los controles de acceso a sus empleados, con preguntas como si han viajado recientemente, si tienen tos o dolor de cabeza, etc. En función a las respuestas, las mismas personas responsables del control de acceso, son quienes están decidiendo en algunos casos si el trabajador puede entrar o no a las instalaciones.

¿Qué dice la legislación al respecto?

En el RGPD, su artículo 9.1 establece, como base, la prohibición del tratamiento de datos sensibles, entre los que se encuentran los datos de salud. Posteriormente se aclaran algunas excepciones a dicha prohibición, en su artículo 9.2, donde cabe mencionar las siguientes:

  • c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
  • g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
  • h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
  • i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

Sobre el punto «h» de la 9.2, el propio RGPD aclara en el punto 9.3 que «dicho tratamiento debe ser realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad , de acuerdo con el Derecho de la Unión […]». Este aspecto se ha de complementar con lo que refleja el artículo 33.2.h de la Ley 33/2011 General de Salud Pública, que indica:

«La autoridad sanitaria, de forma coordinada con la autoridad laboral, llevará a cabo las siguientes actuaciones además de las ya establecidas normativamente: […]
h) Establecer mecanismos de coordinación en caso de pandemias u otras crisis sanitarias, en especial para el desarrollo de acciones preventivas y de vacunación»

Por ello, corresponde únicamente a la autoridad sanitaria determinar qué medidas se aplicarán en el ámbito laboral, y siempre por parte de un profesional sujeto a la obligación del secreto profesional. Si dicha autoridad indicara a una empresa en este escenario excepcional que nos encontramos, que recabe este tipo de datos de sus trabajadores o de las visitas que pudiera recibir, sí podríamos llegar a hablar de un tratamiento legítimo, lícito y justificable, aunque habría que revisar el escenario concreto y qué medidas ha tomado esa empresa para hacer un tratamiento conforme a reglamento.

Por ello, el hecho de que el personal de la empresa recabe o trate datos de salud bajo las indicaciones de cualquier mando de la empresa, supone una violación del artículo 9.1 del RGPD y vulneración del principio de proporcionalidad, que además podría dar lugar a filtraciones y/o brechas de seguridad graves debido a la falta de responsabilidad corporativa, al ser un caso de tratamiento de datos de riesgo sin las medidas de seguridad oportunas, ni la formación ni preparación correspondiente para el personal que la realiza.

Lo que sí pueden hacer las empresas por su cuenta, en caso de que los mandos decidan aplicar algún tipo de medida, es implementar protocolos de actuación preventiva donde NO se recaben este tipo de datos, como por ejemplo, evitar la asistencia al trabajo en caso de tener determinados síntomas, lavarse las manos habitualmente y evitar el contacto personal, o aplicar el teletrabajo a todo el porcentaje posible de la plantilla si eso no merma el normal desempeño de sus funciones.

Todo depende de las administraciones públicas

En resumen, en casos excepcionales donde priman razones de interés público en el ámbito de la salud, son únicamente las administraciones públicas, bajo las indicaciones del Ministerio de Sanidad, quienes pueden realizar un tratamiento de datos de salud sin necesidad de contar con el consentimiento de los afectados.

Esto no exime a las administraciones de cumplir con lo que estipula tanto el RGPD, como en otras leyes que puedan estar relacionadas (Ley 33/2011 General de Salud Pública; Ley 41/2002 de la autonomía del paciente; etc.), que por dar algunos ejemplos, serían aspectos tan importantes como:

  • Cumplimiento del principio de proporcionalidad y de minimización de los datos
  • Correcta formación al personal sanitario para realizar un tratamiento adecuado
  • Respeto del resto de los derechos fundamentales del afectado/interesado
  • Establecer medidas técnicas y organizativas que garanticen la seguridad de la información
  • Derecho a la información epidemiológica (Art. 6 Ley 41/2002, de la autonomía del paciente)
  • Derecho a la intimidad, confidencialidad y respeto de la dignidad
  • Principio de transparencia (3.f de Ley 33/2011 General de Salud Pública)

Más información

Si necesita más información sobre la propagación del covid-19 y qué medidas llevar a cabo, consulte la página web del Ministerio de Sanidad específica sobre este tema.


Estaremos encantados de hablar contigo

Somos ClickDatos Seguridad de la Información SL. Consulte sus derechos y el tratamiento de sus datos en nuestra Política de Privacidad

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio