protección datos

This post is also available in: English

El contexto actual de emergencia sanitaria, derivado de la extensión del coronavirus a nivel global, está obligando a interpretar el marco normativo sobre tratamiento de datos personales con mayor flexibilidad, hasta el punto de que el Comité Europeo de Protección de Datos (“CEPD”) ha tenido que replantearse su estrategia en materia de protección de datos para los próximos años (2020-2024).   

En esta coyuntura, con fecha de 19 de marzo, el CEPD ha publicado una Declaración en la que manifiesta de forma contundente que la normativa de protección de datos y, en particular, el Reglamento General de Protección de Datos (“RGPD”), no debe suponer un obstáculo para la lucha global contra el coronavirus. En opinión del CEPD, el tratamiento de datos personales, incluso mediante el uso de nuevas tecnologías, encontraría una justificación legal en la normativa europea de protección de datos.

Junto a esta primera afirmación general, el CEPD establece varias consideraciones que deben tener en cuenta los responsables del tratamiento cuando adopten medidas dirigidas a combatir el coronavirus que impliquen un tratamiento de datos personales. En particular, el CEPD indica lo siguiente:

  • Base jurídica del tratamiento: el CEPD reconoce tanto el interés público como la preservación de intereses vitales como bases que legitiman los tratamientos de datos personales (incluso datos de salud) para hacer frente al coronavirus.
  • Utilización de los datos relativos a la ubicación móvil: el CEPD hace referencia a la medida planteada por algunos Estados Miembros consistente en la utilización de los datos de localización móvil de los ciudadanos para controlar o mitigar la propagación de coronavirus. Al respecto, el CEPD señala que las autoridades deberían procesar los datos de forma anonimizada y, sólo cuando ello no sea posible, tales datos podrían tratarse de forma excepcional. A estos efectos, el CEPD subraya que la Directiva (UE) sobre privacidad y comunicaciones electrónicas permite que los Estados Miembros implementen medidas legislativas temporales para salvaguardar la seguridad pública, que en todo caso habrán de cumplir con el principio de proporcionalidad, optando por aquellas soluciones menos intrusivas para el derecho fundamental a la protección de datos.
  • Tratamiento de datos en el ámbito laboral: el CEPD declara que el tratamiento de datos por parte del empleador resulta necesario para el cumplimiento de determinadas obligaciones legales y, en particular, las relativas a la necesidad de garantizar la seguridad y salud de los trabajadores. Con respecto a la posibilidad de que la empresa pueda solicitar información sobre su estado de salud a los empleados (o visitantes) o realizar exámenes médicos, el CEPD se remite a la normativa nacional de cada Estado Miembro. El CEPD considera no debería comunicarse al resto de empleados la identidad de las personas contagiadas por el virus, salvo en aquellos casos en que sea estrictamente necesario para que la empresa pueda adoptar las medidas oportunas para garantizar la salud de los trabajadores, en cuyo caso deberá informarse previamente a los empleados afectados acerca de la comunicación de sus datos.  
  • Cumplimiento del principio de responsabilidad proactiva: naturalmente, los interesados han de ser informados sobre las actividades de tratamiento que se realicen en esta coyuntura, de conformidad con el RGPD. En este contexto, el CEPD subraya que el responsable del tratamiento debe extremar las medidas de seguridad para evitar brechas de seguridad y, en particular, de cara a evitar el acceso no autorizado a los datos personales de los afectados. Además, el responsable del tratamiento debe documentar las medidas implementadas para gestionar esta situación de emergencia sanitaria, así como el proceso de toma de decisiones sobre el tratamiento de datos personales.

En todo caso, el CEPD recuerda que el tratamiento de datos personales en el contexto del coronavirus debe cumplir con los principios esenciales contemplados en la normativa de protección de datos y, en particular, con el principio de minimización de datos, de modo que la recogida y el tratamiento de datos deberá limitarse a la finalidad de prevenir el contagio del virus.

Autor: Sergi Gálvez

This post is also available in: English

Autores:

Asociado

41 artículos

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas. Participa en el asesoramiento recurrente en materia de protección de datos y contratación tecnológica de compañías nacionales e internacionales, especialmente en la configuración jurídica de evaluaciones de impacto, transferencias internacionales de datos personales, contratos de encargo de tratamiento y en el asesoramiento durante violaciones de seguridad. Además de prestar asesoramiento continuado a clientes en los ámbitos mencionados, tiene experiencia en asesorar a empresas de diferentes sectores en la configuración legal de proyectos que implementan tecnologías disruptivas, tales como el Big Data, Internet of Things, artificial intelligence y smart robots.

sergi.galvez@cuatrecasas.com