En suma, la normativa de protección de datos permite que el responsable del tratamiento adopte las decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas.
La Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, […], podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
Ello nos lleva, necesariamente, a plantearnos si el Estado Español estaría legitimado para geolocalizar a los ciudadanos durante el período de estado de alarma para prevenir la propagación del COVID-19. A pesar de que la legislación europea impide aplicar estas medidas de vigilancia de la población, el estado de alarma decretado en algunos países podría empujar a los gobiernos a emplear la tecnología de big data pare evitar la propagación.
El mecanismo utilizado podría consistir en una aplicación móvil que los ciudadanos instalarían en sus smartphones a través de la cual el Estado podría geolocalizar a aquellas personas infectadas o con riesgo de ser infectadas.
A través de estas apps, a la vez que el usuario, aportando sus datos personales (domicilio, edad, sexo, teléfono o correo electrónico) y realizando el autodiagnóstico oportuno podría tener acceso a información general sobre la enfermedad, el Estado podría observar la distribución de los infectados en el mapa, mejorar la gestión de las acciones sanitarias, optimizar los recursos asistenciales o incluso, en última instancia, advertir a las autoridades si un usuario ha abandonado su domicilio infringiendo las normas gubernamentales limitativas de la libertad deambulatoria.
Tal y como hemos visto en el punto anterior, el artículo 9.2 del RGPD permite tratar los datos personales cuando, o bien el ciudadano presta su consentimiento, o bien cuando los sistemas de prevención médica o sanitaria lo determinen. En ese caso se cumple la legalidad y además es posible que los ciudadanos cedan sus datos a dichas aplicaciones, no solo para obtener un diagnóstico sobre su situación médica sino también para intentar eliminar el riesgo que conlleva esta “crisis sanitaria” para la sociedad.
Sin embargo, y tal como remarcábamos en el punto anterior, es esencial que se sigan respetando los principios recogidos en el RGPD, garantizando que los datos personales:
Por todo ello, le corresponde a la administración cumplir con el principio de información, seguridad y transparencia para que de esta manera los ciudadanos puedan sentir que sus derechos van a mantenerse intactos. El estado de alarma decretado en España permite al Gobierno limitar ciertos derechos y libertades de los ciudadanos. La limitación de nuestra libertad de movimiento consistente en no permitir a los ciudadanos, salvo en casos excepcionales, salir de su casa, durará de momento 15 días, mientras que la utilización de los datos de los ciudadanos limita la privacidad, que se puede ver afectada durante mucho más tiempo.
Por otra parte, las iniciativas de teletrabajo que se están promoviendo, y que en gran medida han de contribuir a dar continuidad al negocio, deben adoptarse con las debidas garantías para asegurar la confidencialidad y la seguridad de los sistemas y, a nivel organizativo, articular los correspondientes protocolos que prevean un adecuado control y monitorización, y se adapten las fórmulas de medición del desempeño y de cumplimiento de la jornada laboral.
Asimismo, es necesario establecer unas pautas de actuación cuando se utilicen no solo las herramientas corporativas, sino en particular cuando se contemple la posibilidad de trabajar desde dispositivos personales (BYOD), previendo eventuales incidencias, y situaciones de mayor exposición de la información confidencial de la compañía.
Todo ello, de acuerdo con lo establecido, entre otros, en los arts. 87.2 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y 32 del RGPD, esto es, que el acceso por parte de la compañía a los contenidos de los medios digitales facilitados deberá limitarse al control del cumplimiento de las obligaciones laborales o estatutarias, así como que éste deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado garantizando la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas.
Conviene tener en cuenta que la situación de alerta generada a nivel mundial abre la puerta a multitud de ataques de phishing a través de servicios de mensajería instantánea, correos electrónicos y otros medios. Los ciberdelincuentes aprovechan situaciones de miedo y alarma colectiva para sacar provecho, y nada indica que esta vaya a ser una excepción.
Los ciberdelincuentes tratarán de suplantar organizaciones legítimas con información relevante sobre el COVID-19 simulando prestar ayuda, acompañamiento y consejo: en la mayoría de los casos se solicitará que se abra un archivo o que se acceda a un enlace de internet para obtener información del usuario. Por ello es muy importante seguir las recomendaciones facilitadas por la AEPD, que reproducimos a continuación:
Artículo de Periscopio Fiscal & Legal : https://periscopiofiscalylegal.pwc.es/emergencia-sanitaria-proteccion-de-datos-geolocalizacion-y-teletrabajo/
Socia responsable de Regulación Digital
Directora en el área de Regulación Digital
