Desde que empezaron a surgir los primeros casos de coronavirus en España, uno de los principales temas que ha estado encima de la mesa es la protección de datos en el ámbito sanitario. En esta situación sanitaria extraordinaria, ¿qué tiene más peso?: ¿La protección del tratamiento de mis datos personales garantizado tanto en el Reglamento General de Protección de Datos como en la Ley Orgánica 3/2018? ¿O el interés general y el bien común?
El Reglamento General de Protección de Datos cataloga los datos de salud como categoría especial, prohibiéndose su tratamiento a no ser que se encuentre en una de las excepciones recogidas en su art. 9, siendo estas:
-
- El cumplimiento de obligaciones en el ámbito del Derechos Laboral y de la Seguridad Social y Protección Social.
- El interés público en el ámbito de la salud pública, es decir, nuestro caso en concreto.
- El tratamiento es necesario para la realización de un diagnóstico médico.
- El tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento.
La Agencia Española de Protección de Datos (en adelante AEPD), publicaba el pasado 12 marzo un informe en relación al tratamiento de datos sanitarios, en el que nos recordaba que la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) establecía que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
La normativa delega sobre las autoridades sanitarias de las Administraciones Públicas la gestión de medidas necesarias a adoptar en los casos de epidemias como la que estamos atravesando estos días. Cabe mencionar que independientemente de la situación de emergencia sanitaria por la que atravesamos, el tratamiento de datos personales debe realizarse conforme al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, y como consecuencia no puede conllevar la suspensión de las garantías contempladas a lo largo de ambas.
Debemos recordar que las infracciones y sanciones por su incumplimiento (tanto por comisión como por omisión de acciones) se establecen en el artículo 70 y siguientes de la LOPDGDD, y que la falta de utilización de medidas técnicas y organizativas de seguridad en la protección del tratamiento de datos también se sanciona.
En este punto se pronuncia la AEPD de nuevo al establecer que, debido a que se encuentra regulada esta situación extraordinaria, deben mantenerse los principios de su tratamiento, es decir, la licitud, lealtad, transparencia, la limitación de la finalidad y la minimización.
Sin embargo, a medida que van pasando los días observamos que en más de una ocasión nos encontramos con “enfrentamientos” entre la garantía de protección del tratamiento del dato de sujeto, y la protección del bien y el interés común.
En esta situación la Agencia constata que el interés público prima por encima del sujeto, siempre que se garanticen “los intereses vitales de los propios afectados o de terceras personas”, tal y como reflejaba en un comunicado del pasado 26 de marzo.
Siguiendo esta línea, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, enuncia en su exposición de motivos que se debe concebir el derecho a la salud desde una perspectiva singular de cada individuo, así como entenderlo como una concepción comunitaria, en la que “aparecen otros agentes y bienes jurídicos referidos a la salud pública que deben ser considerados, con la relevancia necesaria, en una sociedad democrática avanzada” (también recogido en el art.2.5 de la mencionad Ley).
Asimismo, se pronunciaba el Consejo de Europa, en su Recomendación de 13 de febrero de 1997, relativa a la protección de los datos médicos afirmando que “…deben recogerse y procesarse con el consentimiento del afectado”, sin embargo, podrá restringirse el derecho si así lo dispone una Ley y “constituye una medida necesaria por razones de interés general”.
El Gabinete Jurídico de la AEPD recordaba, a tenor del Covid-19, en su informe 0017/2020 que el legislador español “se ha dotado de las medidas legales necesarias oportunas para enfrentarse a situaciones de riesgo sanitario, como la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública, publicado en el Boletín Oficial del Estado de 11 de marzo de 2020) o la Ley 33/2011, de 4 de octubre, General de Salud Pública. El artículo 3 de la primera de dichas normas señala que:
…con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.”
Siguiendo la línea de “duelos”, el pasado 28 de marzo se publicaba en el Boletín Oficial del Estado una orden ministerial permitiendo al Ministerio de Sanidad unas prerrogativas en cuanto a medidas de control del Covid-19 para evitar su expansión. Según la mencionada orden, la Secretaría de Estado de Digitalización e Inteligencia Artificial (dependiente del Ministerio de Asuntos Económicos), llevará a cabo el desarrollo de una “App” que permite a las autoridades sanitarias la geolocalización de los ciudadanos con el fin de contrastar que se encuentran en la ubicación que dicen estar.
Junto a esta aplicación, el Ministerio de Sanidad, Economía, en colaboración con el Instituto Nacional de Estadística (INE), desarrollará el estudio DataCOVID, cuyo objetivo es analizar los datos de desplazamiento de la población con el fin de tomar decisiones eficientes en base a la información obtenida. Dichos datos serán anónimos y solo se conservarán mientras dure la crisis sanitaria.
El 19 de marzo de 2020, el Comité Europeo de Protección publicaba su informe “Statement on the processing of personal data in the context of the COVID-19 outbreak”, en el cual se establece que con motivo de esta crisis sanitaria, está permitida la restricción de ciertos derechos del ciudadano. Recalcaba también que el considerando 46 del RGPD permite el tratamiento de datos por interés público.
Por otro lado, el pasado 1 de abril, La Moncloa aclaraba que gracias a este Big Data, se llevará a cabo el análisis de grandes cantidades de información, mejorando la eficiencia y toma de decisiones, más coordinadas y adaptadas a cada territorio. Se asegura que el estudio “no rastrea movimientos individuales, sino que empela datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.
La AEPD publicaba el pasado 19 de junio de 2019 que “El tratamiento masivo de datos procedentes de los ciudadanos mediante el uso de técnicas basadas en Big Data, Inteligencia Artificial o Machine Learning obliga a la implementación de garantías o mecanismos para preservar la privacidad y el derecho a la protección de datos de carácter personal, entre ellas las basadas en la anonimización de dichos datos.”. Confiemos, por tanto, en que efectivamente se están aplicando las medidas de protección de datos desde el diseño y por defecto.
Si efectivamente se acaban utilizando solo datos anónimos y agregados, en un principio no entraría en conflicto con las garantías reconocidas en el RGPD y la LOPDGDD, y se estaría actuando conforme a una base legítima establecida acorde a derecho (art.6 RGPD).
El Grupo de Trabajo del artículo 29 en su Dictamen 5/2014 sobre técnicas de anonimización, ponía de manifiesto que “el tratamiento de anonimización es suficientemente sólido, es decir, si la identificación es “razonablemente” imposible. Afectan directamente a la identificabilidad el contexto y las circunstancias particulares de cada caso (…) Una solución de anonimización eficaz impide a todos singularizar a una persona en un conjunto de datos, vincular dos registros en un conjunto de datos (o dos registros pertenecientes a conjuntos diferentes) e inferir cualquier tipo de información a partir de dicho conjunto. En definitiva, como norma general, no basta con eliminar los elementos que pueden servir para identificar directamente a una persona para garantizar que ya no se puede identificar al interesado. Con frecuencia habrá que tomar medidas adicionales para evitar dicha identificación, las cuales dependerán una vez más del contexto y de los fines del tratamiento de que van a ser objeto los datos” Continúa el Dictamen estableciendo que: “Es importante dejar claro que el concepto de “identificación” no conlleva únicamente la posibilidad de recuperar el nombre o la dirección de una persona, sino que incluye también la identificabilidad potencial por singularización, vinculabilidad o inferencia. Es más, a efectos legales es irrelevante la intención del responsable del tratamiento o del destinatario. Mientras los datos sean identificables, se aplica la legislación sobre protección de datos.”
Esta premisa no conlleva la anulación de los principios de protección del tratamiento que se yerguen como límites al mismo. Por tanto, a su vez, deberá ser un tratamiento lícito, legítimo y conforme a la normativa. La finalidad deberá limitarse, únicamente, al fin ya definido por el que están siendo recabados y solo las autoridades competentes podrán tratar dicha información, quedando totalmente prohibido el uso de los datos para finalidades propias. Se deberá fomentar de forma transparente, clara y accesible, toda la información a los usuarios, entre los que se incluye la finalidad del tratamiento, los medios de comunicación con las entidades o autoridades encargadas, los derechos, o el plazo de mantenimiento de conservación de sus datos.
Con motivo de este nuevo sistema de geolocalización, que conlleva el tratamiento masivo de datos, nos encontramos frente a otra discordia: protección de datos personales frente a garantías constitucionales, frente al interés general. Entramos en un terreno que perfectamente podría desarrollarse de forma independiente en otro artículo. Considero que en estos tiempos que nos toca vivir debemos tener presente a Cicerón: “Las leyes se han hecho para el bien de los ciudadanos”. Y que así sea.
Ana Perez Vázquez, Consultora Legal de protección de datos y Privacidad