La AEPD ha tenido constancia de la proliferación de diversas iniciativas públicas que tratan de fomentar una reacción rápida ante posibles nuevos brotes de COVID–19, como registrar determinados datos de los clientes que acuden a locales de ocio. A este respecto, es necesario puntualizar que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.
La Agencia Española de Protección de Datos
(AEPD) ha publicado en su web un comunicado donde señala que ha tenido
constancia de la proliferación de diversas iniciativas públicas que
tratan de fomentar una reacción rápida ante posibles nuevos brotes de
COVID-19, como registrar determinados datos de los clientes que acuden a
locales de ocio.
(AEPD) ha publicado en su web un comunicado donde señala que ha tenido
constancia de la proliferación de diversas iniciativas públicas que
tratan de fomentar una reacción rápida ante posibles nuevos brotes de
COVID-19, como registrar determinados datos de los clientes que acuden a
locales de ocio.
A este respecto, es necesario puntualizar que los datos que se
recogen, aunque estén relacionados con el control de la pandemia y su
tratamiento sea al objeto de poder identificar posibles infectados, no
son datos catalogados en el Reglamento General de Protección de Datos
(RGPD) como «categorías especiales».
recogen, aunque estén relacionados con el control de la pandemia y su
tratamiento sea al objeto de poder identificar posibles infectados, no
son datos catalogados en el Reglamento General de Protección de Datos
(RGPD) como «categorías especiales».
Para poner en marcha el registro de clientes que acuden a locales de
ocio, tratándose de una medida para la contención del coronavirus, debe
acreditarse su necesidad por las autoridades sanitarias y tiene que ser
obligatoria, ya que si fuera voluntaria perdería efectividad.
Adicionalmente, si se acudiera a la base jurídica del consentimiento,
para poder apreciar un consentimiento libre, sería necesario que no se
derivara ninguna consecuencia negativa, es decir, que no se impidiera la
entrada al establecimiento.
ocio, tratándose de una medida para la contención del coronavirus, debe
acreditarse su necesidad por las autoridades sanitarias y tiene que ser
obligatoria, ya que si fuera voluntaria perdería efectividad.
Adicionalmente, si se acudiera a la base jurídica del consentimiento,
para poder apreciar un consentimiento libre, sería necesario que no se
derivara ninguna consecuencia negativa, es decir, que no se impidiera la
entrada al establecimiento.
Teniendo en cuenta que ya no está vigente el estado de alarma, la
obligatoriedad de tomar datos por parte de los establecimientos tiene
que establecerse por una norma con rango de ley. En tal caso, la base
jurídica sería el 6.1.c) («el tratamiento es necesario para el
cumplimiento de una obligación legal aplicable al responsable del
tratamiento»).
obligatoriedad de tomar datos por parte de los establecimientos tiene
que establecerse por una norma con rango de ley. En tal caso, la base
jurídica sería el 6.1.c) («el tratamiento es necesario para el
cumplimiento de una obligación legal aplicable al responsable del
tratamiento»).
En todo caso, debe señalarse que el hacer un seguimiento adecuado de
la evolución de los contagios y de la obligación de tomar datos y
cederlos a las autoridades sanitarias tiene su fundamento en la garantía
de un interés público de controlar la pandemia, por lo que la base
jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD
(«el tratamiento es necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos
conferidos al responsable del tratamiento»).
la evolución de los contagios y de la obligación de tomar datos y
cederlos a las autoridades sanitarias tiene su fundamento en la garantía
de un interés público de controlar la pandemia, por lo que la base
jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD
(«el tratamiento es necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos
conferidos al responsable del tratamiento»).
A estos efectos, debe hacerse especial incidencia en la necesidad de
justificar que no existan otras medidas más moderadas para la
consecución del propósito perseguido con igual eficacia. Por ello
deberían identificarse bien y limitarse a aquellos sitios en los que
exista una mayor dificultad para el cumplimiento de estas medidas (no es
lo mismo una discoteca, en la que las personas quieren estar cerca, que
un museo, en el que se pueden habilitar espacios adecuados para que
circule la gente y limitar mucho los contactos). A tal efecto, deberían
ser las autoridades sanitarias quienes valoren motivadamente en qué
lugares sería obligatorio identificarse.
justificar que no existan otras medidas más moderadas para la
consecución del propósito perseguido con igual eficacia. Por ello
deberían identificarse bien y limitarse a aquellos sitios en los que
exista una mayor dificultad para el cumplimiento de estas medidas (no es
lo mismo una discoteca, en la que las personas quieren estar cerca, que
un museo, en el que se pueden habilitar espacios adecuados para que
circule la gente y limitar mucho los contactos). A tal efecto, deberían
ser las autoridades sanitarias quienes valoren motivadamente en qué
lugares sería obligatorio identificarse.
Por otro lado, la recogida y la cesión de datos debería organizarse
de una forma que el registro permita identificar los posibles contactos
(es decir, que exista una probabilidad de que hayan coincidido, al estar
en la misma hora, en el mismo sitio, etcétera). En otro caso, como
podría suceder en un museo, si hay un infectado y se avisa a las miles
de personas que ese día lo pudieron haber visitado, aparte de ser un
tratamiento excesivo, podrían producirse dificultades o incluso un
colapso en la asistencia sanitaria. Cuestión que también tienen que
valorar las autoridades sanitarias de las Comunidades Autónomas.
de una forma que el registro permita identificar los posibles contactos
(es decir, que exista una probabilidad de que hayan coincidido, al estar
en la misma hora, en el mismo sitio, etcétera). En otro caso, como
podría suceder en un museo, si hay un infectado y se avisa a las miles
de personas que ese día lo pudieron haber visitado, aparte de ser un
tratamiento excesivo, podrían producirse dificultades o incluso un
colapso en la asistencia sanitaria. Cuestión que también tienen que
valorar las autoridades sanitarias de las Comunidades Autónomas.
Adicionalmente, debe cumplirse con el principio de minimización, en
virtud del cual podría ser suficiente con obtener un número de teléfono,
junto con los datos del día y la hora de asistencia al lugar. Este
criterio, junto con el de la anonimización de los titulares del
dispositivo, ha sido el asumido por el Comité Europeo de Protección de
Datos en la Recomendación sobre el uso de datos de localización y
aplicaciones de seguimiento de contactos en el contexto de la pandemia;
criterio que puede extrapolarse a esta situación con las adaptaciones
pertinentes.
virtud del cual podría ser suficiente con obtener un número de teléfono,
junto con los datos del día y la hora de asistencia al lugar. Este
criterio, junto con el de la anonimización de los titulares del
dispositivo, ha sido el asumido por el Comité Europeo de Protección de
Datos en la Recomendación sobre el uso de datos de localización y
aplicaciones de seguimiento de contactos en el contexto de la pandemia;
criterio que puede extrapolarse a esta situación con las adaptaciones
pertinentes.
En consecuencia, no sería necesario solicitar el nombre y los
apellidos, que serían innecesarios para la finalidad de avisar a los
posibles contactos, y en ningún caso es necesaria la identificación
mediante el DNI por ser desproporcionada.
apellidos, que serían innecesarios para la finalidad de avisar a los
posibles contactos, y en ningún caso es necesaria la identificación
mediante el DNI por ser desproporcionada.
Asimismo, debe aplicarse estrictamente el principio de limitación de
la finalidad, de forma que los datos sólo deben poder utilizarse para la
finalidad de lucha contra el virus, excluyendo cualquier otra, así como
el principio de limitación del plazo de conservación.
la finalidad, de forma que los datos sólo deben poder utilizarse para la
finalidad de lucha contra el virus, excluyendo cualquier otra, así como
el principio de limitación del plazo de conservación.
De acuerdo con estos criterios, los establecimientos serían
responsables de la recogida de datos en virtud de una obligación legal
establecida por una norma con rango de ley y la administración
autonómica sería la cesionaria de esos datos por razones de interés
público previstos en la ley. La administración autonómica deberá
establecer criterios sobre la forma en la que se recogen y comunican
esos datos personales a la Administración sanitaria.
responsables de la recogida de datos en virtud de una obligación legal
establecida por una norma con rango de ley y la administración
autonómica sería la cesionaria de esos datos por razones de interés
público previstos en la ley. La administración autonómica deberá
establecer criterios sobre la forma en la que se recogen y comunican
esos datos personales a la Administración sanitaria.
Por su parte, los ciudadanos deben recibir una información clara,
sencilla y accesible sobre el tratamiento antes de la recogida de los
datos personales. En todo caso, la información debe tratarse con las
medidas de seguridad adecuadas.
sencilla y accesible sobre el tratamiento antes de la recogida de los
datos personales. En todo caso, la información debe tratarse con las
medidas de seguridad adecuadas.
Fuente: AEPD
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi