La protección de datos, derecho reconocido constitucionalmente en el art 18.4 de la Constitución Española, merece una especial atención tras la aprobación de la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, que contempla una serie de medidas que están siendo objeto de polémica.

En lo que se refiere al reconocimiento de dicho derecho, en el actual escenario, la Agencia Española de Protección de Datos (AEPD) ha establecido que esta situación de emergencia no puede suponer una suspensión de este derecho fundamental. No obstante, se considera que la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que las autoridades competentes estiman que han de adoptar, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ellas se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. En este sentido, la AEPD está colaborando con las autoridades competentes facilitándoles criterios que permitan compatibilizar los distintos derechos afectados.

Teniendo como guía los criterios enunciados por la AEDP, vamos a analizar las medidas que se adoptan en la Orden SND/297/2020 y que están dirigidas, como la propia Orden enuncia, “a proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública”:

Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital que ponga en marcha las siguientes medidas en cuanto al tratamiento de los datos personales implicados en el tema:

• El desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19 que permitirá realizar al usuario la autoevaluación, con base en sus síntomas médicos y, además, permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.
• El desarrollo de un asistente conversacional/chatbot para ser utilizado vía Whatsapp y otras aplicaciones de mensajería instantánea.
• El desarrollo de una web informativa con los recursos tecnológicos disponibles.
• El análisis de la movilidad de las personas en los días previos y durante el confinamiento,  de manera agregada y anonimizada, a través del cruce de datos de los operadores móviles.

En nuestra opinión, la primera propuesta afecta el tratamiento de datos de carácter personal como la geolocalización y la salud, mientras que la cuarta afecta solo a la geocalización, pese a que esta disposición normativa a la que no estamos refiriendo indica que se velará por el cumplimiento del Reglamento General de Protección de Datos de 2016 (RGPD) y de la Ley Orgánica 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En cuanto a licitud del tratamiento, la disposición ministerial no es muy clarificadora. A este respecto, la AEPD en su Informe 0017/2020 indica que el Considerando 46 del RGPD reconoce como base jurídica para el tratamiento lícito de datos personales en casos excepcionales: la misión realizada en interés público [art 6.1.e) RGPD], y los intereses vitales del interesado u otras personas físicas [art 6.1.d)], las cuales permiten el tratamiento de datos sin consentimiento de los afectados.

Sin embargo, para el tratamiento de datos de salud catalogados como datos sensibles (art. 9 RGPD), no es suficiente la base jurídica del art 6 RGPD, sino que además se necesita una excepción que levante la prohibición de su tratamiento. En este sentido, podría plantearse la excepción vinculada con el interés público en el ámbito de la salud pública [art. 9.2.i)], que en este caso del Covid se configura como interés público esencial [art. 9.2.g)].

En cuanto a la geolocalización de todos los ciudadanos que hayan dado positivo en la prueba del COVID-19 a través del teléfono móvil que hayan facilitado previamente, cabe preguntarse sobre la base legal que sustenta tal intromisión, y si es suficiente la fundamentación jurídica de la exposición de motivos de la Orden Ministerial.  En nuestra opinión, la única justificación sería la situación excepcional, como es la epidemia ocasionada por el COVID-19, que ampara limitar la libertad de circulación de las personas.

¿Y qué sucedería con los datos de movilidad de las personas, en los días previos y durante el confinamiento, que se solicitarán a las compañías telefónicas, a través del cruce de datos, de manera agregada y anonimizada?

A este respecto, la OrdenSND/297/2020 no establece la duración del tratamiento de estos datos, ni cómo se realizará la agregación y anonimización de los datos. Esta indeterminación es objeto de críticas. Como indica la AEPD en el citado Informe, el tratamiento de datos debe ajustarse a los principios de licitud, lealtad y transparencia, de limitación de la finalidad y de minimización de datos. Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad.

Además, cuando se pretenda obtener y tratar datos de la población, la información que se proporcione debe ser clara, accesible y comprensible; lo cual en este caso no se da.

En la próxima entrada trataremos como se ha abordado en otros países la protección de datos en época de COVID-19. 

Bibliografía y fuentes consultadas:

1. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
2. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales  (BOE-A-2018-16673)
3. Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.(BOE-A-2020-4162)
4. Informe Jurídico 0017/2020 sobre los tratamientos de datos en relación con el COVID-19. AEPD. https://www.aepd.es/es/documento/2020-0017.pdf
5. Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. AEPDhttps://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-de-la-aepd-en-relacion-con-webs-y-apps-que-ofrecen
6. Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus. AEPDhttps://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad
7. Tratamientos de datos personales en situaciones de emergencia. AEPD. https://www.aepd.es/es/prensa-y-comunicacion/blog/tratamientos-datos-personales-situaciones-emergencia

1. https://www.abc.es/opinion/abci-jose-soler-martinez-proteccion-intimidad-personal-202004122312_noticia.html

Clara García Prieto 

Línea de Menores y Uso de Internet de la Clínica Jurídica de Acción Social

Grado en Derecho, Universidad de Salamanca 

16 de abril de 2020