Ocronos – Editorial Científico-Técnica

Protección de datos y COVID

Incluido en la revista Ocronos. Vol. IV. Nº 2–Febrero 2021. Pág. Inicial: Vol. IV; nº2: 102

Autor principal (primer firmante): Laura Velázquez Hernández

Fecha recepción: 1 de Diciembre, 2020

Fecha aceptación: 21 de Febrero, 2021

Ref.: Ocronos. 2021;4(2): 102

Autores

Laura Velázquez Hernández. Grupo Administrativo de la Función Administrativa Susana Moreno Lázaro. Grupo Administrativo de la Función Administrativa

Resumen

Debido a la crisis sanitaria actual derivada del coronavirus, la Agencia Española de Protección de Datos ha elaborado varios recursos para dar respuesta a las dudas que han ido surgiendo en estos días.

Palabras clave

COVID, protección de datos, Agencia Española de Protección de datos

Introducción

Tal y como indica el Preámbulo de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica(1) (BOE núm. 274, de 15 de noviembre de 2002), “La importancia que tienen los derechos de los pacientes como eje básico de las relaciones clínico-asistenciales se pone de manifiesto al constatar el interés que han demostrado por los mismos casi todas las organizaciones internacionales con competencia en la materia.”.

Desde hace años se ha ido elaborando normativa internacional, nacional y autonómica en garantía de los derechos de pacientes y usuarios. Según esta Ley, el Convenio del Consejo de Europa para la protección de los derechos humanos y la dignidad del ser humano respecto de las aplicaciones de la biología y la medicina (Convenio sobre los derechos del hombre y la biomedicina), suscrito el día 4 de abril de 1997 (en vigor en el Reino de España el 1 de enero de 2000), es una iniciativa capital. La diferencia con otras declaraciones internacionales es que es el primer instrumento internacional con carácter jurídico vinculante para los países que lo suscriben, estableciendo un marco común para la protección de los derechos humanos y la dignidad humana en la aplicación de la biología y la medicina. El Convenio incluye el derecho a la intimidad de la información relativa a la salud de las personas.

El Preámbulo de la Ley 41/2002, finaliza con una breve referencia a la salud pública: “Esta defensa de la confidencialidad había sido ya defendida por la Directiva comunitaria 95/46, de 24 de octubre, en la que, además de reafirmarse la defensa de los derechos y libertades de los ciudadanos europeos, en especial de su intimidad relativa a la información relacionada con su salud, se apunta la presencia de otros intereses generales como los estudios epidemiológicos, las situaciones de riesgo grave para la salud de la colectividad, la investigación y los ensayos clínicos que, cuando estén incluidos en normas de rango de Ley, pueden justificar una excepción motivada a los derechos del paciente.

Se manifiesta así una concepción comunitaria del derecho a la salud, en la que, junto al interés singular de cada individuo, como destinatario por excelencia de la información relativa a la salud, aparecen también otros agentes y bienes jurídicos referidos a la salud pública, que deben ser considerados, con la relevancia necesaria, en una sociedad democrática avanzada. En esta línea, el Consejo de Europa, en su Recomendación de 13 de febrero de 1997, relativa a la protección de los datos médicos, después de afirmar que deben recogerse y procesarse con el consentimiento del afectado, indica que la información puede restringirse si así lo dispone una Ley y constituye una medida necesaria por razones de interés general.”

La privacidad todavía es un tema más delicado cuando hablamos de salud pública.

Según la OMS (2), “Los coronavirus son una extensa familia de virus que pueden causar enfermedades tanto en animales como en humanos. En los humanos, se sabe que varios coronavirus causan infecciones respiratorias que pueden ir desde el resfriado común hasta enfermedades más graves como el síndrome respiratorio de Oriente Medio (MERS) y el síndrome respiratorio agudo severo (SRAS). El coronavirus que se ha descubierto más recientemente causa la enfermedad por coronavirus COVID-19…. Tanto este nuevo virus como la enfermedad que provoca eran desconocidos antes de que estallara el brote en Wuhan (China) en diciembre de 2019. Actualmente la COVID19 es una pandemia que afecta a muchos países de todo el mundo.”

Protección de datos y coronavirus

Esta crisis sanitaria por la que estamos atravesando ha obligado al cumplimiento de la normativa vigente tanto internacional como nacional respecto al tratamiento de datos de salud con respecto a la salud pública, lo que ha generado dudas en diversas materias.

La Agencia Española de Protección de Datos ha elaborado diferentes documentos para ir resolviendo cuestiones que han ido surgiendo.

La Agencia Española de Protección de datos (AEPD) elaboró un documento con anterioridad a la implementación de soluciones tecnológicas respecto a la COVID-19 (3), este documento busca un análisis del coste y el beneficio para la sociedad y los derechos y libertades del individuo, tratando de evitar que la incertidumbre provocada por una situación de emergencia produzca abusos por parte de terceros que conduzcan a situaciones de pérdida de libertades, discriminación u otros daños en la situación personal de los ciudadanos. Este documento repasa las principales tecnologías que se han planteado para luchar contra la actual pandemia con el propósito de compilar aquellas opciones que se están manejando para controlar su expansión. El informe analiza siete sistemas: geolocalización recogida por los operadores de telecomunicaciones; geolocalización en redes sociales; apps, webs y chatbots para auto-test o cita previa; apps de información voluntaria de contagios; apps de seguimiento de contactos por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas. Según la AEPD, “hay que ser especialmente cuidadoso a la hora de tomar medidas que pueden tener consecuencias irreversibles y pueden estar guiadas únicamente por la urgencia, el miedo o, lo que es peor, otros intereses.”. Las tecnologías de la información se deben utilizar en el marco de un tratamiento con un determinado objetivo y cumpliendo el Reglamento General de Protección de Datos, con una estrategia global basada en evidencias científicas, evaluando su proporcionalidad en relación con su eficacia, eficiencia y teniendo en cuenta de forma objetiva los recursos organizativos y materiales necesarios.

Respecto de la app de notificación de contactos de riesgo por COVID-19 (4), la Agencia Española de Protección de datos (AEPD) emitió un comunicado el día 23 de junio de 2020: “El desconocimiento de los detalles de la articulación práctica de la aplicación y de la experiencia piloto, esenciales para analizar su incidencia sobre la privacidad de los ciudadanos, ha dado lugar al requerimiento de solicitudes formales de información a la Secretaría de Estado de Digitalización e Inteligencia Artificial y ha impedido valorar su adecuación a la normativa de protección de datos personales con antelación. El Reglamento General de Protección de Datos no excluye la posibilidad de mejorar un tratamiento de datos en las etapas finales de su desarrollo, pero establece claramente que es el responsable de ese tratamiento quien debe tener en cuenta la protección de datos desde el inicio del diseño del proyecto.”

La gran crisis mundial sanitaria por la que estamos atravesando, la rapidez de respuesta que se está tratando de dar, obliga a valorar todas las decisiones tomadas en su adecuación a la normativa.

Al comenzar eliminando las medidas establecidas de confinamiento, se han ido implantando diversas medidas para prevenir el contagio. Respecto de la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos (5), la Agencia emitió otro comunicado el día 30 de abril de 2020.

La Agencia Española de Protección de datos (AEPD) expresa su preocupación en este tipo de actuaciones con respecto a los derechos de los afectados, realizándose sin el criterio previo de las autoridades sanitarias. Esta actuación supone un tratamiento de datos personales que debe acatar la legislación. La toma de temperatura supone un tratamiento de datos relativos a la salud de las personas, pero también los vincula con el padecimiento de una enfermedad. Estos controles se llevan a cabo en espacios públicos frecuentemente, por lo que en caso de denegación de un acceso a un centro educativo, laboral o comercial desvelaría a terceros que la persona afectada posee una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.

Las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada. Por tanto, debe de haber unos criterios para su implantación, basarse en el principio de legalidad del Reglamento General de Protección de Datos, limitar la finalidad y exactitud de los datos y tener en cuenta los derechos y garantías.

Debido a la multitud de consultas que la Agencia Española de Protección de Datos está recibiendo de ciudadanos, empresas y otros sujetos obligados al cumplimiento de la normativa de protección de datos, la Agencia emite una serie de preguntas y respuestas (6). Estas FAQ resuelven las preguntas más frecuentes que han sido recibidas.

La pandemia ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollando anticuerpos como requisito para acceder al puesto de trabajo ofertado. En este sentido, la Agencia emitió un comunicado (7) el día 18 de junio de 2020. La Agencia considera que constituyen una vulneración de la normativa de protección de datos aplicable, ya que es un dato personal relativo a la salud, que el Reglamento General de Protección de Datos lo califica de categoría especial en su artículo 9. Es por ello por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa vigente en materia de protección de datos (Reglamento General de Protección de Datos y Ley Orgánica de protección de datos personales y garantía de los derechos digitales.

El consentimiento no se considera libremente prestado cuando no existe una verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (considerando 42 del RGPD), o cuando exista un desequilibro claro entre las partes (considerando 43), como sucede en este caso, en el que el consentimiento estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona.

Tampoco podría considerarse aplicable la base jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos (artículo 5.1.c) del RGPD). La solicitud de información sobre el estado de inmunidad frente a la COVID-19 iría más allá de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales:

1ª) La personal al no ser todavía empleada, el empresario no tiene obligaciones o derechos frete a ella.

2º) La posible inmunidad no contribuye significativamente a la protección del resto del personal o de la propia persona, en la medida en que los protocolos de prevención de riesgos adoptados por las autoridades sanitarias y laborales se aplican por igual a todo el personal, orientándose por lo que se refiere a la presencia de infección a los casos sospechosos. Estos protocolos no establecen excepción alguna para personas que ya hayan padecido la enfermedad.

3º) Esta consideración habría de atribuirse tanto a la COVID-19 como a cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de infección.

Por tanto, además de no existir base jurídica lícita para su tratamiento, la finalidad del tratamiento tampoco sería legítima.

También se ha observado la práctica de reflejar en los currículums de quienes buscan un empleo, que envían a empresas, información de ser inmune a la COVID-19 por haber generado anticuerpos frente a dicha enfermedad. Esta información no se debe de incluir y el destinatario de dicha información no puede utilizarla, lo que podría implicar la destrucción del currículum.

El comunicado finaliza haciendo referencia al RGPD, en su considerando 75, que recoge que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la COVID-19.

Conclusiones

La actual crisis epidemiológica ha hecho que nos encontremos en un momento de especial cuidados en relación con el derecho a la protección de datos. La Agencia Española de Protección de Datos está implantando distintas medidas con respecto a las diferentes dudas que surgen en los distintos ámbitos en cuanto a la protección de datos de la salud.

Referencias bibliográficas

  1. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (BOE núm. 274, de 15 de noviembre de 2002).
  2. Organización Mundial de la Salud. Preguntas y respuestas sobre la enfermedad por coronavirus (COVID-19): https://www.who.int/ es/emergencies/ diseases/novel- coronavirus-2019/advice-for -public/q-a-coronaviruses
  3. AEPD. El uso de las tecnologías en la lucha contra el COVID19. Un análisis de costes y beneficios (Mayo, 2020): https://www.aepd. es/sites/default/files/ 2020- 05/analisis- tecnologias-COVID19.pdf
  4. AEPD. Comunicado sobre la participación de la AEPD en la app de notificación de contactos de riesgo por COVID-19 (junio, 2020): https://www.aepd.es/ es/prensa-y-comunicacion/ notas-de-prensa/comunicado- sobre-la-participacion-de-la-aepd-en- la-app-de
  5. AEPD. Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos (abril, 2020): https://www.aepd.es/ es/prensa-y-comunicacion/notas-de-prensa/ comunicado-aepd- temperatura- establecimientos
  6. AEPD. FAQ sobre el coronavirus: https://www.aepd.es/ sites/default/files/ 2020- 03/FAQ-COVID_19.pdf
  7. AEPD. Comunicado de la AEPD sobre la información acerca de tener anticuerpos de la COVID-19 para la oferta y búsqueda de empleo (junio, 2020): https://www.aepd.es/ es/prensa-y-comunicacion/ notas-de-prensa/ comunicado- AEPD-COVID-19-oferta-busqueda-empleo

Salir de la versión móvil