Listado de la etiqueta: protección de datos

Positivo/negativo en coronavirus: datos de salud

Tener coronavirus o haber tenido coronavirus es un dato de salud, y por tanto una de las categorías especiales de datos incluidas en el artículo 9.1 del Reglamento General de Protección de Datos (RGPD)[i]. En concreto, el RGPD define los datos de salud como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (art. 4.15).

Y tener coronavirus es una enfermedad de declaración obligatoria urgente a las autoridades sanitarias. En este sentido, tener o haber tenido coronavirus es igual que cualquiera de las siguientes enfermedades: cólera, fiebre amarilla, rabia, peste o difteria. Son las enfermedades para las que se establece la obligación de declaración urgente conforme al Anexo II del Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.

La consideración de la infección por coronavirus como enfermedad de declaración obligatoria urgente viene dada por el artículo 22, relativo a la declaración obligatoria de COVID-19, del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.[ii] Ahora bien, dependiendo del contexto del tratamiento de datos personales, cabría plantearse también que no tener o no haber tenido coronavirus es un dato de salud.

Desde la declaración del estado de alarma en nuestro país han sido múltiples las cuestiones que se han planteado en relación con el tratamiento de datos de positivos por COVID-19, quedando todavía pendientes algunas cuestiones que deberían ser resueltas para evitar futuras situaciones de incertidumbre.

Obligación de proporcionar información esencial para la trazabilidad de contactos

El Real Decreto-ley 21/2020 prevé que los “establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada” están obligados a proporcionar la “información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas”. Es importante tener en cuenta que se trata de una obligación exigible cuando “las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos”, lo que implica que los datos mínimos necesarios sean comunicados a las autoridades sanitarias para la finalidad indicada.

Sobre el tratamiento de datos personales por establecimientos, la Agencia Española de Protección de Datos (AEPD) emitió un comunicado[iii], con fecha 31 de julio, en el que analiza las diferentes situaciones que pueden darse para determinar cuál es la base de legitimación del tratamiento. Una de estas situaciones podría ser la necesidad de cumplir con una obligación legal aplicable al responsable del tratamiento, tal como sería el caso del cumplimiento de las obligaciones de la empresa de garantizar la seguridad y salud de todos los trabajadores en virtud de lo previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, o de una ley que establezca esta obligación de obtención y/o comunicación de datos a las autoridades sanitarias. Otra posible situación podría ser “hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias”, siendo la base legitimadora el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Además, por lo que se refiere a justificar la legitimidad de la medida consistente en la identificación de clientes para la finalidad ya indicada, la AEPD señala que “deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse”.

Algunas iniciativas autonómicas y protección de datos personales

Ante el temor de la denominada “segunda oleada” y a partir de lo previsto en el Real Decreto-ley 21/2020, especialmente durante el mes de julio de 2020, fueron surgiendo iniciativas de diverso alcance en virtud de las que se tratan datos personales con fines de identificación de positivos por COVID-19 en unos casos y de alerta o notificación de contacto con casos positivos en otros.

Algunos ejemplos son el registro de viajeros de la Consellería de Sanidade de la Xunta de Galicia, con la finalidad de poder tener identificados a quienes, sean residentes o no en Galicia, hayan estado durante los últimos catorce (14) días en territorios, dentro o fuera de España, con alta incidencia epidemiológica por COVID-19.[iv] O la Orden 920/2020, de 28 de julio, de la Consejería de Sanidad de la Comunidad de Madrid[v], que establece la obligación de llevar un registro de clientes para locales de ocio, tales como salones de banquetes, discotecas y establecimientos de ocio nocturno.

Ahora bien, a pesar de que el alcance las iniciativas varía, coinciden en el hecho de que la finalidad del tratamiento es la vigilancia de la salud pública. De nuevo, debe atenderse al Real Decreto-ley 21/2020, que en su artículo 27.2, señala que la finalidad del tratamiento es “el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública” a lo que añade también “la protección de intereses vitales de los afectados y de otras personas físicas”.

En cualquier caso, una de las lecciones que deberían aprenderse es que, en materia de protección de datos, sería recomendable tener criterios comunes con la finalidad de evitar situaciones que puedan derivar en incertidumbre y, por tanto, desconfianza. En la práctica se encuentran divergencias ante lo que debería ser un tratamiento de datos personales para una misma finalidad, o finalidades similares y limitadas, y al que son aplicables los mismos principios y base(s) de legitimación del tratamiento, con independencia de que las medidas adoptadas en cada caso sean las que las autoridades sanitarias competentes estimen más adecuadas.

Comunicado de la AEPD sobre la recogida de datos personales por establecimientos

A partir del ya citado Real Decreto-ley 20/2021 y por lo que se refiere a la recogida de datos personales de clientes que acuden a establecimientos con la finalidad de poder notificar posibles contactos con positivos en coronavirus, la AEPD emitió un comunicado, ya citado, tras varios informes, preguntas frecuentes y otros comunicados.

En particular, la AEPD se refiere en su comunicado a la naturaleza de los datos personales tratados para crear el registro de clientes, la base de legitimación del tratamiento y la licitud del tratamiento, atendiendo a los principios esenciales que legitiman el tratamiento de los datos personales.

En cuanto a la naturaleza de los datos personales tratados, y por si hubiera alguna dada, la AEPD puntualiza que los datos personales que se obtienen de los clientes para crear el registro de clientes no son datos relativos a la salud, ya que de lo que se trata es de tener datos de contacto para, si fuera necesario, poder notificarles que han podido estar expuestos a un caso positivo. Esto es lo que explica que la AEPD afirme en su comunicado que los datos que se recogen “no son catalogados en el RGPD como «categorías especiales de datos»”. Es decir, no son datos relativos a si se está o no contagiado, sino para poder comunicar posibles contactos con personas que sí han dado positivo en coronavirus.

Por lo que se refiere a la licitud del tratamiento, el comunicado de la AEPD parte de la necesidad de crear el registro de clientes, ciñéndose en este caso a los locales de ocio dado que son en los que se centraban las iniciativas públicas. La AEPD indicaba que, como medida para contener la pandemia, era y es necesario acreditar “su necesidad por las autoridades sanitarias y tiene que ser obligatoria” para que sea una medida efectiva.

Lo anterior determina que, a efectos de identificar cuál es la base de legitimación apropiada para tratar los datos personales, la AEPD indique que, a falta de o inadecuación de otras, sea la necesidad del tratamiento para “el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (art. 6.1.e del RGPD).

Y, finalmente, la AEPD recuerda una vez más que es necesario cumplir con la legitimidad del tratamiento, lo que implica evaluar tanto la proporcionalidad del tratamiento como el cumplimiento de los principios (en particular, minimización de datos, limitación de la finalidad, limitación del plazo de conservación, integridad y confidencialidad, así como responsabilidad proactiva).

Las apps de “rastreo” o sistemas de notificaciones sobre exposición al COVID-19

Las denominadas apps de “rastreo de contactos” (en inglés contact tracing), que consisten en notificar sobre la posible exposición a positivos por COVID-19, son un claro ejemplo de cómo la tecnología puede ayudar en situaciones como esta, especialmente si tenemos en cuenta la insuficiencia actual de los rastreadores en nuestro país.

Una vez más el uso de la tecnología es objeto de un escrutinio riguroso y, en ocasiones, tendencioso.

Por una parte, cabe prestar atención al dictamen de la Information Commissioner´s Office (ICO) sobre la iniciativa conjunta de Apple y Google que consiste en crear apps de rastreo de contactos que intercambian información entre dispositivos a través de Bluetooth de baja energía[vi] (en inglés, Bluetooth Low Energy). Actualmente se trata de dar soporte al desarrollo de apps que protegen la identidad de los usuarios. Y, en cualquier caso, tanto el presente como el futuro debe ser el de una innovación y cooperación responsables en materia de protección de datos, guiadas por la protección de datos desde el diseño y por defecto, y que se desarrollen en un marco flexible, es decir, capaz de dar respuesta a los retos y necesidades que se plantean.

Y, por otra parte, pueden verse voces críticas sobre el rastreo de usuarios por plataformas, lo que a su vez estaría vinculado, según estas voces, con el acceso masivo a datos por Gobiernos y el denominado como “capitalismo de la vigilancia” (en inglés surveillance capitalism).[vii]

Por tanto, comprender para qué sirve la tecnología es esencial a la hora de poder obtener el máximo beneficio que nos ofrece o puede ofrecer, especialmente en un momento en el que los recursos disponibles para contener la pandemia son insuficientes. Y entender cómo funciona la tecnología es también esencial a la hora de determinar qué garantías cabe esperar por quien la use, evitando así usos que no son éticos y que, en su caso, pueden llegar a ser también ilícitos.

Lecciones aprendidas para dar respuesta a incertidumbres futuras

Cuando se declaró el estado de alarma en nuestro país, y al igual que ocurrió en otros países de nuestro entorno, se suscitaron diversas dudas sobre cómo aplicar la normativa en materia de protección de datos. Incluso fue necesario, tanto por la AEPD como por expertos, aclarar que los derechos fundamentales, incluido el de protección de datos, seguían siendo aplicables. Basta ver que el Profesor Piñar Mañas, Catedrático de Derecho Administrativo, señaló que “la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el citado artículo 11 de la Ley Orgánica 4/1981”.[viii]

Si bien pueden seguir estando pendientes algunas medidas tales como la necesidad de una ley o una reforma legal en nuestro país o de acciones coordinadas entre las autoridades de protección de datos de la Unión Europea en virtud del mecanismo de cooperación y coherencia previsto en el RGPD, la incertidumbre inicial se ha ido despajando en buena medida. Al mismo tiempo, algunas dudas sobre cómo aplicar la normativa sobre protección de datos a casos concretos pueden no estar todavía resueltas, siendo deseable que las autoridades de protección de datos proporcionen directrices u orientaciones que puedan ser aplicadas en el día a día de los responsables del tratamiento.

Ahora bien, tras el test que ha supuesto la pandemia por coronavirus para la normativa en materia de protección de datos, ha quedado suficientemente probado que “el derecho a la protección de los datos personales no es un derecho absoluto” (considerando 4 del RGPD) y que el tratamiento de los datos personales puede ser necesario por motivos importantes de interés público “para fines humanitarios, incluido el control de epidemias y su propagación” (considerando 46 del RGPD), por lo que la clave está en “mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad” (considerando 4, ya citado).

Es decir, tal como señaló el Gabinete Jurídico de la AEPD en el informe 17/2020, “las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia”.[ix]

Resulta claro que el tratamiento de datos personales para alertar e identificar posibles positivos por COVID-19 será lícito siempre que cumpla con los principios y bases de legitimación previstas en la normativa aplicable en la materia, sin que pueda admitirse ningún tratamiento al margen de aquellos. Es decir, ni el derecho fundamental a la protección es un derecho absoluto o ilimitado, ni toda medida que pueda adoptarse para contener la pandemia está justificada si infringe derechos fundamentales y en particular el derecho a la protección de datos personales.

Por último, durante los últimos meses hemos asistido, y lo seguimos haciendo, a la aplicación práctica de la normativa sobre protección de datos en el caso de la pandemia, habiéndose resuelto algunas dudas, pero siendo necesario dar respuesta a otras muchas en las que el criterio clave a seguir es la proporcionalidad y la interrelación del derecho fundamental a la protección de datos con el bien común. Además, queda pendiente una importante acción legislativa que debería aclarar ciertas cuestiones, si bien ojalá no sea necesario recurrir a la misma.

[i] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

[ii] En relación con este Real Decreto-ley debe tenerse en cuenta la Resolución de 25 de junio de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de convalidación del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.

[iii] Agencia Española de Protección de Datos, “Comunicado sobre la recogida de datos personales por parte de los establecimientos”, 31 de julio de 2020. Consultado en https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-sobre-la-recogida-de-datos-personales-por-parte-de-los-establecimientos

[iv] El formulario para la recogida de datos personales de viajeros puede verse en https://coronavirus.sergas.gal/viaxeiros/

[v] Orden 920/2020, de 28 de julio, de la Consejería de Sanidad, por la que se modifica la Orden 668/2020, de 19 de junio, por la que se establecen medidas preventivas para hacer frente a la crisis sanitaria ocasionada por el COVID-19 una vez finalizada la prórroga del estado de alarma establecida por el Real Decreto 555/2020, de 5 de junio. Consultada en http://www.bocm.es/boletin/CM_Orden_BOCM/2020/07/29/BOCM-20200729-1.PDF

[vi] Information Commissioner´s Office, Information Commissioner´s Opinion: Apple and Google joint initiative on COVID-19 contact tracing technology, Reference 2020/01, 17 April 2020. Consultado, en inglés, en https://ico.org.uk/media/about-the-ico/documents/2617653/apple-google-api-opinion-final-april-2020.pdf

[vii] Vecchi, Paolo, “On the inadequacy of US Cloud providers”. Consultado, en inglés, en https://joinup.ec.europa.eu/collection/joinup/news/privacy-shield-invalidation

[viii] Piñar Mañas, José Luis, “La protección de datos durante la crisis del coronavirus”, 20 de marzo de 2020. Consultado en https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/

[ix] Gabinete Jurídico de la Agencia Española de Protección de Datos, Informe 0017/2020. Consultado en https://www.aepd.es/es/documento/2020-0017.pdf

Fuente: elderecho.com

Etiquetas: Protección de datos, COVID

Para resolver cualquier duda jurídica puede ponerse en contacto con nuestro Despacho de Abogados, le atendemos sin compromiso y resolvemos sus dudas jurídicas:

info@h-abogados.com

www.h-abogados.com

912791980

Formulario de contacto

Fuente: http://noticias.juridicas.com/

Etiquetas: aepd, protección de datos, covid, geolocalización

La crisis del coronavirus y la nueva normalidad de distanciamiento social ha llevado a varias entidades a desplegar sus propias soluciones, optando por apps que en ocasiones combinan la reserva de espacio con otras funcionalidades, como la geolocalización, control de acceso con código QR, registro de los datos personales del usuario o funciones vinculadas a redes sociales.

En este contexto, la Agencia Española de Protección de Datos (AEPD) ha publicado una lista de recomendaciones para aquellas empresas que vayan a utilizar aplicaciones para controlar aforos en lugares públicos. La nota persigue que se cumpla lo establecido en al normativa de protección de datos en términos de garantías para los ciudadanos. 

Estos son los «tips» de la AEPD a tener en cuenta para el uso de estas apps:

1. La finalidad debe estar claramente definida y debe limitarse a la gestión de medidas distancia social tales como el control de aforo o el control de distancia.

2. Los tratamientos que se propongan han de ser realmente efectivos con relación a la finalidad y no pueden generar falsas expectativas de seguridad de acuerdo con el principio de lealtad del tratamiento.

3. La implementación de tratamientos basados en apps deberá fundamentarse en un análisis de necesidad y proporcionalidad que determine tanto la utilización de la app como el conjunto de datos mínimo necesario para conseguir los fines que se persiguen. En particular, la identidad del usuario o su seguimiento, incluido el uso de identificadores únicos de cualquier tipo o aquellos procedentes de la señal wifi o bluetooth, solo podrá tratarse si son estrictamente necesarios para la finalidad de la app.

4. No se deberán tratar categorías especiales de datos, en particular datos de salud, más allá de, en su caso, los estrictamente necesarios para gestionar los espacios reservados a personas con discapacidad.

5. Las funcionalidades de la app deben ser exclusivamente las necesarias para las finalidades concretas que se persiguen, no mezclando funcionalidades como fidelización, publicidad o redes sociales. No se deben tratar los datos personales para ninguna otra finalidad que no sea la relacionada con la gestión de las medidas de distancia social que justifiquen la implantación de la app.

6. El uso de la app debe ser de carácter voluntario, basado en el consentimiento del usuario para el tratamiento de los datos personales necesarios para cada una de las funcionalidades que se persiguen. El tratamiento deberá estar basado en un consentimiento libre, informado y específico. El uso de una determinada app no debe condicionar el acceso a espacios públicos, debiendo proporcionarse alternativas con el mismo grado de facilidad de uso.

7. El responsable del tratamiento deberá garantizar el cumplimiento de los principios del RGPD y LOPDGDD en todos los tratamientos que se realicen, incluidos los relativos a la necesidad 
de contratos o vínculos legales que regulen dichos tratamientos cuando sean realizados por terceros y las medidas de seguridad adecuadas.

8. En el caso de espacios públicos, el responsable de tratamiento deberá ser la Administración Pública que ostente la competencia, que será quien decida los fines y medios del tratamiento.

9. La utilización de herramientas o recursos de terceros para la implementación del tratamiento o el desarrollo de la app podría incluir proceso de datos personales con finalidades de publicidad, análisis de uso u otros, en particular el tratamiento de identificadores únicos y datos de geolocalización que impliquen el seguimiento de las personas o la elaboración de perfiles. Por lo tanto, se deben utilizar aquellas que ofrezcan las suficientes garantías para que dicho procesamiento no se produzca.

10. Los datos personales tratados no deben almacenarse más allá del tiempo necesario para cumplir con las finalidades que se persiguen y en todo caso deben ser eliminados cuando estas se extingan, excepto para aquellos datos que sea necesario conservar por obligación legal.

11. En la medida de lo posible, se deben adoptar soluciones comunes para el acceso a diferentes espacios públicos en un mismo entorno (ciudad, provincia, región), de forma que se evite exponer a los usuarios a los potenciales riesgos de múltiples apps.

12. El tratamiento de datos personales de menores de 14 años por este tipo de apps debe ser consentido por sus padres o tutores.

Para resolver cualquier duda jurídica puede ponerse en contacto con nuestro Despacho de Abogados, le atendemos sin compromiso y resolvemos sus dudas jurídicas:

info@h-abogados.com

www.h-abogados.com

912791980

Formulario de contacto

Etiqueta: protección de datos, supremo, cámara, intimidad

Fuente: http://noticias.juridicas.com/

La instalación de cámaras falsas, con fines disuasorios, también supone una vulneración de los derechos de intimidad de aquellos que se creen observados, aunque no se recoja ninguna imagen de estos. 

Así lo ha establecido la Sala Primera del Tribunal Supremo en una reciente sentencia (disponible en este enlace), en la que ha confirmado una resolución anterior de la Audiencia Provincial de Baleares que condenaba a una sociedad por intromisión ilegítima en la intimidad de un denunciante, en cuyo jardín apuntaba una cámara falsa. El sentirse apuntado por la cámara, aunque falsa, coartaba su libertad de actuación y por tanto vulneraba su intimidad. 

Una carcasa no apta para grabar

La empresa era propietaria de una finca contigua a la del demandante, con servidumbre de paso a favor de esta última. La sociedad instaló dos cámaras de seguridad que eran una simple carcasa alimentada por una batería, no aptas para grabar, y con una mera función disuasoria. 

El demandante, antes del proceso judicial, formuló denuncia ante la AEPD, que archivó el expediente. Aunque el juzgado de primera instancia desestimó la demanda, la Audiencia Provincial revocó su decisión, apreciando la existencia de intromisión ilegítima en la intimidad del demandante.  

El Tribunal Supremo confirma dicha decisión, recordando que al menos una de las cámaras, por su orientación hacia el jardín exterior de la vivienda, posibilitaba que el demandante y su familia pudieran sentirse observados en su propia parcela, no solo en la entrada y salida de la finca. 

La situación, por tanto, era objetivamente idónea para coartar su libertad en la esfera personal y familiar, pues quien se siente observado hasta ese extremo no se comportará igual que sin la presencia de cámaras, y no tiene por qué soportar una incertidumbre permanente acerca de si la cámara orientada hacia su finca es o no operativa, pues su apariencia externa le impide comprobarlo, mientras que la demandada siempre tendría la posibilidad de sustituirla por una cámara operativa.  

Tampoco puede considerarse un usus inocui en el ámbito de las relaciones de vecindad, pues su uso es objetivamente perturbador de la intimidad, sin necesidad alguna.

Para resolver cualquier duda jurídica puede ponerse en contacto con nuestro Despacho de Abogados, le atendemos sin compromiso y resolvemos sus dudas jurídicas:

info@h-abogados.com

www.h-abogados.com

912791980

Formulario de contacto

Abrir chat
💬 ¿Necesitas ayuda?
Hola 👋
¿En qué podemos ayudarte?