L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat al seu web un comunicat on assenyala que ha tingut constància de la proliferació de diverses iniciatives públiques que tracten de fomentar una reacció ràpida davant possibles nous brots de COVID-19, com registrar determinades dades dels clients que acudeixen a locals d’oci.
Referent a això, és necessari puntualitzar que les dades que es recullen, encara que estiguin relacionades amb el control de la pandèmia i el seu tractament sigui a fi de poder identificar possibles infectats, no són dades catalogades en el Reglament General de Protecció de Dades (RGPD) com a “categories especials”.
Per posar en funcionament el registre de clients que acudeixen a locals d’oci, tractant-se d’una mesura per a la contenció del coronavirus, s’ha d’acreditar la seva necessitat per les autoritats sanitàries i ha de ser obligatòria, ja que si fos voluntària perdria efectivitat. Addicionalment, si s’acudís a la base jurídica del consentiment, per poder apreciar un consentiment lliure, seria necessari que no es derivés cap conseqüència negativa, és a dir, que no s’impedís l’entrada a l’establiment.
Tenint en compte que ja no està vigent l’estat d’alarma, l’obligatorietat de prendre dades per part dels establiments s’ha d’establir per una norma amb rang de llei. En aquest cas, la base jurídica seria el 6.1.c) (“el tractament és necessari per al compliment d’una obligació legal aplicable al responsable del tractament”).
En tot cas, s’ha d’assenyalar que fer un seguiment adequat de l’evolució dels contagis i de l’obligació de prendre dades i cedir-los a les autoritats sanitàries té el seu fonament en la garantia d’un interès públic de controlar la pandèmia, per la qual cosa la base jurídica seria, amb caràcter preferent, l’article 6.1.e) del RGPD (“el tractament és necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament”).
A aquest efecte, s’ha de fer especial incidència en la necessitat de justificar que no existeixin altres mesures més moderades per a la consecució del propòsit perseguit amb la mateixa eficàcia. Per això s’haurien d’identificar bé i limitar a aquells llocs en els quals existeixi una major dificultat per al compliment d’aquestes mesures (no és el mateix una discoteca, en la qual les persones volen ser a prop, que un museu, en el qual es poden habilitar espais adequats perquè circuli la gent i limitar molt els contactes). A aquest efecte, haurien de ser les autoritats sanitàries les qui valorin motivadament en quins llocs seria obligatori identificar-se.
D’altra banda, la recollida i la cessió de dades s’hauria d’organitzar d’una forma que el registre permeti identificar els possibles contactes (és a dir, que existeixi una probabilitat que hagin coincidit, per ser a la mateixa hora, en el mateix lloc, etc.). En un altre cas, com podria succeir en un museu, si hi ha un infectat i s’avisa a les milers de persones que aquest dia el poden haver visitat, a part de ser un tractament excessiu, es podrien produir dificultats o fins i tot un col·lapse en l’assistència sanitària. Qüestió que també han de valorar les autoritats sanitàries de les comunitats autònomes.
Addicionalment, s’ha de complir amb el principi de minimització, en virtut del qual podria ser suficient amb l’obtenció d’un número de telèfon, juntament amb les dades del dia i l’hora d’assistència al lloc. Aquest criteri, juntament amb el de l’anonimització dels titulars del dispositiu, ha estat l’assumit pel Comitè Europeu de Protecció de Dades en la Recomanació sobre l’ús de dades de localització i aplicacions de seguiment de contactes en el context de la pandèmia; criteri que es pot extrapolar a aquesta situació amb les adaptacions pertinents.
En conseqüència, no seria necessari sol·licitar el nom i els cognoms, que serien innecessaris per a la finalitat d’avisar als possibles contactes, i en cap cas és necessària la identificació mitjançant el DNI per ser desproporcionada.
Així mateix, s’ha d’aplicar estrictament el principi de limitació de la finalitat, de manera que les dades només s’han de poder utilitzar per a la finalitat de lluita contra el virus, i se n’exclou qualsevol altra, així com el principi de limitació del termini de conservació.
D’acord amb aquests criteris, els establiments serien responsables de la recollida de dades en virtut d’una obligació legal establerta per una norma amb rang de llei i l’administració autonòmica seria la cessionària d’aquestes dades per raons d’interès públic previstos en la llei. L’administració autonòmica haurà d’establir criteris sobre la forma en la qual es recullen i comuniquen aquestes dades personals a l’Administració sanitària.
Per part seva, els ciutadans han de rebre una informació clara, senzilla i accessible sobre el tractament abans de la recollida de les dades personals. En tot cas, la informació s’ha de tractar amb les mesures de seguretat adequades.
Font: AEPD