En este sentido, la AEPD destaca que el Reglamento 2016/679 de Protección de Datos (RGPD), recoge la prohibición general de tratamiento de los datos de salud –clasificados como una categoría especial de datos según el artículo 9-, salvo que dicho tratamiento pueda ampararse en alguna de las excepciones recogidas en el número 2 del citado precepto. En este sentido, la AEPD afirma que la protección de datos no debe utilizarse para obstaculizar o limitar la eficacia de las medidas que adopten las autoridades en la lucha contra la propagación del virus.
Teniendo en cuenta que la principal excepción a la prohibición general de tratamiento de datos de salud es el consentimiento explícito de los interesados, el informe analiza los supuestos en los que la norma permite el tratamiento de estos datos sin necesidad de contar con dicho consentimiento.
Así, en el informe se especifican una serie de ejemplos de las excepciones aplicables, como pueden ser el interés público o los intereses vitales de los interesados, tal y como recoge el considerando 46 del RGPD, para el caso de control de epidemias y su propagación; o la obligación legal que, por ejemplo, puede pesar sobre los trabajadores de informar a sus empleadores en caso de sospecha de contacto con el virus, para salvaguardar tanto su salud, como la de los demás trabajadores, a fin de que puedan adoptarse las medidas que resulten necesarias para evitar nuevos contagios.
En esta línea, se han posicionado otras autoridades de control de la Unión Europea, como es el caso, por ejemplo, de la autoridad inglesa (ICO) o la francesa (CNIL), que entienden, al igual que la AEPD, que, ante esta situación de emergencia sanitaria, debe primar el interés público de la sociedad, haciendo especial hincapié la CNIL en el hecho de que únicamente se deben recabar aquellos datos que sean necesarios para la lucha contra la epidemia o que hayan sido solicitados por las autoridades competentes con este fin.
En conclusión, se observa en las opiniones de las diferentes autoridades de control una idea clara: la protección de datos puede y debe quedar supeditada al interés público y el interés vital de evitar una propagación incontrolada del virus, intentando, en la medida de lo posible, respetar la privacidad de los interesados de acuerdo con las exigencias legales.
No podemos terminar sin referirnos al hecho de que, ante la situación de alarma social que ha generado el COVID-19, están proliferando las campañas de phishing a través de servicios de mensajería instantánea, correo electrónico y otros medios, en los cuales se suplanta la identidad de autoridades como el Ministerio de Sanidad, Consumo y Bienestar Social.
Ante esta casuística, la AEPD ha publicado en su blog un artículo que alerta a los ciudadanos a este respecto y hace especial hincapié en la necesidad de aplicar medidas preventivas ante esta clase de mensajes sospechosos, como mantenerse informado de las novedades de la epidemia a través de fuentes oficiales y confiables o verificar la dirección de correo electrónico remitente del mensaje. Se recomienda que, ante cualquier sospecha de mensajes fraudulentos, en ningún caso se acceda a los enlaces o archivos que contiene estos mensajes o se faciliten datos personales, menos aún de salud, por estas vías.
