30 març Protecció de dades i COVID-19
En la situació de crisis sanitària que actualment estem vivint ens plantegem què succeeix en relació amb els tractaments de dades resultants de l’actual situació derivada de l’extensió del virus COVID-19. Al respecte, l’Agència Espanyola de Protecció de Dades ha emès un informe jurídic (núm. 017/2020) en el qual resolt la qüestió.
El primer que remarca és que, amb caràcter general, la normativa de protecció de dades personals, en tant que dirigida a salvaguardar un dret fonamental, s’aplica en la seva integritat a la situació actual, ja que no existeix cap raó que determini la suspensió de drets fonamentals, ni aquesta mesura ha estat adoptada.
Ara bé, cal comentar que la pròpia normativa de protecció de dades personals (Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades (en endavant, RGPD), conté les regles necessàries per permetre legítimament els tractaments de dades personals en situacions, com la present, en que existeix una emergència sanitària d’abast general.
Per tant, en aplicar els preceptes previstos pels casos d’emergència sanitària en el RGPD, en consonància amb la normativa sectorial aplicable en l’àmbit de la salut pública, les consideracions relacionades amb la protecció de dades, dins dels límits previstos per les lleis, no s’haurien d’utilitzar per obstaculitzar o limitar l’efectivitat de les mesures que adopten les autoritats, especialment les sanitàries, en la lluita contra l’epidèmia, ja que la normativa de protecció de dades conté una regulació per aquests casos que compatibilitza i pondera els interessos i dret d’acord amb el bé comú.
El Considerant (46) del RGPD ja reconeix que en situacions excepcionals, como una epidèmia, la base jurídica dels tractaments pot ser múltiple, basat tant en l’interès públic, com en l’interès vital de l’interessat o una altra persona física. Per tant, com a base jurídica per tal de que un tractament lícit de dades personals, sense perjudici de que puguin existir altres bases, el RGPD reconeix explícitament dues: la missió realitzada en interès públic (art.6.1.e) o interessos vitals de l’interessat o altres persones físiques (art. 6.1.d), el que suposa per extensió que aquestes persones físiques poden ser inclús no identificades o identificables. És a dir, la base jurídica de l’interès vital pot ser suficient pels tractaments de dades personals dirigides a protegir a totes aquelles persones susceptibles de ser contagiades en la propagació d’una epidèmia, el que justificaria, des d’un punt de vista de tractament de dades personals, en la manera més àmplia possible, les mesures adoptades a aquest fi, inclús encara que es dirigeixin a protegir en principi a persones físiques no identificades o identificables, ja que els interessos vitals d’aquestes persones físiques hauran de ser salvaguardades i això és reconegut per la normativa de protecció de dades personals.
Ara bé, pel que fa al tractament de les dades de salut no n’hi ha prou en que existeixi una base jurídica de l’art. 6 RGPD, si no que d’acord amb l’art. 9.1 i 9.2 RGPD ha d’existir una circumstància que aixequi la prohibició del tractament d’aquesta categoria especial de dades (entre elles, dades de salut). I aquestes circumstàncies es troben en varis epígrafs de l’article 9.2 RGPD, per exemple, interès públic essencial, interès públic qualificat “en l’àmbit de la salut pública”, quan el tractament sigui necessari per realitzar un diagnòstic mèdic o qualsevol altre tipus d’assistència sanitària, entre altres, que permetrien el tractament de dades de salut.
En conseqüència, en una situació d’emergència sanitària, és precís tenir en compte que l’aplicació de la normativa de protecció de dades personals permetria adoptar al responsable del tractament aquelles decisions que siguin necessàries per salvaguardar els interessos vitals de les persones físiques, el compliment de les obligacions legals o la salvaguarda dels interessos essencials en l’àmbit de la salut pública. Però cal tenir en compte que els responsables del tractament, en estar actuant per salvaguardar aquests interessos, hauran d’actuar conforme al que les autoritats establertes en la normativa de l’estat membre corresponent, en aquest cas, Espanya, estableixin.
Així, el legislador espanyol s’ha dotat de les mesures legals necessàries oportunes per afrontar-se a situacions de risc sanitari en la llei orgànica 3/1986, de 14 d’abril, de mesures especials en matèria de salut pública (Modificada pel Real Decret-llei 6/2020) o la llei 33/2011, de 4 d’octubre, General de Salud Pública. D’aquestes lleis s’extreu que seran les autoritats sanitàries competents de les diferents administracions publiques qui hauran d’adoptar les decisions necessàries per tal de salvaguardar els interessos essencials en l’àmbit de la salut pública en situacions d’emergència de salut pública. I els responsables del tractament hauran de seguir les instruccions d’aquestes, inclús quan això suposi un tractament de dades personals de salut de persones físiques.
Per tant, de l’informe es conclou que els tractaments de dades personals en aquestes situacions d’emergència sanitària han de ser tractades de conformitat amb la normativa de protecció de dades personals (RGPD i llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels drets digitals (LOPDGDD), pel que s’apliquen tots els seus principis, continguts en l’article 5 RGPD, i entre ells el de tractament de les dades personal amb licitud, lleialtat i transparència, de limitació de la finalitat (en aquest cas, salvaguardar els interessos vitals/essencials de les persones físiques), principi d’exactitud i, per suposat, el principi de minimització de dades. Per tant, les dades tractades hauran de ser exclusivament les necessàries per la finalitat pretesa. I s’ha de teniren compte que la pròpia normativa de protecció de dades estableix que en situacions d’emergència, per la protecció d’interessos essencials de salut pública i/o vitals de les persones físiques, es podran tractar les dades de salut necessàries per evitar la propagació de la malaltia que ha causat l’emergència sanitària.