El incremento de casos de coronavirus (“COVID-19”) en España ha generado -entre otras muchas cuestiones y preocupaciones- una serie de dudas sobre cómo deben tratarse los datos personales de los afectados en esta coyuntura y, en particular, los datos de salud de las personas contagiadas, así como de las que se encuentren en una situación de riesgo de contagio.
Con fecha de 12 de marzo, y después que algunas autoridades europeas de protección de datos publicaran sus respectivos criterios, la Agencia Española de Protección de Datos (“AEPD”) ha publicado su informe jurídico en el que analiza cómo deben actuar los responsables del tratamiento a la hora de recoger y tratar datos personales de salud de los interesados. Adicionalmente, la AEPD también ha hecho público un documento más breve de preguntas y respuestas, que trata de solventar las principales cuestiones surgidas.
Según la AEPD, en atención a la situación de emergencia sanitaria global -y, desde hace unos días, a nivel nacional- los responsables del tratamiento deben seguir las instrucciones de las autoridades sanitarias de las distintas Administraciones Públicas. Cuando el seguimiento de tales instrucciones suponga un tratamiento de datos personales de salud, la AEPD considera que el Reglamento General de Protección de Datos (“RGPD”) permitiría el tratamiento de datos personales de salud sin consentimiento de los interesados con base en cualquiera de las siguientes bases jurídicas del art. 6.1 RGPD:
Ahora bien, tomando en consideración que el RGPD prohíbe con carácter general el tratamiento de los datos de salud, la AEPD señala que, junto con alguna de las bases jurídicas anteriores, será necesario que concurra alguna de las siguientes excepciones previstas en el art. 9.2 RGPD:
Por último, la AEPD recuerda que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con los principios contemplados en la normativa de protección de datos personales. En este contexto, cobran especial relevancia los principios de limitación de la finalidad y de minimización de datos, de modo que el tratamiento deberá limitarse a aquellos datos personales estrictamente necesarios para cumplir con la finalidad de salvaguardar la salud de los interesados y de los terceros en riesgo de contagio.
Sergi Gálvez y Jorge Monclús