Día Europeo de Protección de Datos: las lecciones de la pandemia

Por José Luis Piñar Mañas

Delegado de protección de datos de la Abogacía Española. Abogado y doctor en Derecho.

El 28 de enero de 1981 se suscribió el Convenio número 108 del Consejo de Europa sobre protección de datos de carácter personal. Se dio entonces un paso capital hacia la definición de los principios que configuran el derecho fundamental a la protección de datos personales. El Convenio, recientemente actualizado, sigue siendo referente no solo a nivel europeo, sino a nivel mundial por lo que en 2006 la Comisión Europea propuso que todos los 28 de enero se celebrase el Día Europeo de Protección de Datos. La iniciativa tuvo una gran acogida y trascendió las fronteras europeas, por lo que realmente celebramos el Día Internacional de la protección de datos.

El derecho a preservar nuestra intimidad, a poder exigir privacidad, a que se respeten nuestros datos de carácter personal es hoy, sin duda alguna, uno de los más importante para el desarrollo de una sociedad democrática avanzada en la que se respeten todos los derechos fundamentales, y muy en particular el libre desarrollo de la personalidad y la dignidad de la persona. Es lugar común exponer los riesgos que trae consigo la innovación, el desarrollo tecnológico, la implantación de la sociedad digital que es impensable sin llevar a cabo un tratamiento masivo de datos, tanto personales como no personales. Es el uso de los primeros el que sin duda afecta, directamente, a los derechos fundamentales, que se ven amenazados por la posibilidad de una vigilancia constante, de la posible manipulación de los gustos y preferencias de las personas, de su manipulación, en definitiva. Al mismo tiempo que se resaltan las innegables bondades de la digitalización de la sociedad. Hace apenas unos días se han presentado en el Consejo de Ministros tres ambiciosos planes: digitalización de las Administraciones Públicas; digitalización de las PYMES y el Plan Nacional de competencias digitales. Planes que van a requerir un enorme esfuerzo de financiación para no quedarse simplemente en buenas intenciones.

Sea como fuere, lo cierto es que la sociedad digital se hace cada vez más presente, y en este marco es imprescindible reivindicar con mayor intensidad que nunca el derecho a la protección de datos y la celebración del Día Internacional de Protección de Datos, una buena ocasión para reiterar la importancia de tal derecho y recordar el compromiso de la Abogacía con el pleno respeto a los derechos fundamentales y en particular, en lo que ahora nos interesa, con el pleno respeto a la protección de datos de carácter personal.

Los dos parámetros en los que nos movemos, sociedad digital y protección de datos, han sido y están siendo sometidos a prueba durante la ya larga e incierta pandemia que desde hace ya casi un año venimos sufriendo y que parece se va a alargar mucho más de lo que en principio podíamos imaginar.

Se ha dicho con razón que la digitalización de la sociedad se ha acelerado rápidamente durante los últimos meses. Pero también se ha constatado que la protección de datos está siendo sometida a tensiones y riesgos que tampoco era fácil imaginar.  Teniendo en cuenta además que existe la posibilidad y casi certeza de que, cuando cese la extraña situación que atravesamos, las amenazas a la privacidad van a seguir estando presentes.

Desde los primeros días de la pandemia la Agencia Española de Protección de Datos, en su Informe 0017/2020, y el Comité Europeo de Protección de Datos, en su Declaración sobre el tratamiento de datos personales en el contexto de la crisis del Covid 19, adoptado el 19 de marzo de 2020, advirtieron que la protección de datos no debía en ningún caso considerarse como obstáculo para luchar contra la pandemia. Pero también se advirtió que las medidas que en su caso se adoptasen y que pudiesen afectar a la privacidad debían ser temporales, no irreversibles. Algo que también advirtió el Supervisor Europeo de Protección de Datos.

Como sabemos, la crisis del coronavirus a raíz de las declaraciones de estado de alarma que conocemos, ha generado una producción normativa difícil de digerir, extensa como nunca antes habíamos conocido, basada en la aprobación de decretos leyes, tanto por parte del Estado como de las Comunidades Autónomas y en la adopción de innumerables decretos y órdenes que es imposible conocer en detalle. Hasta el punto que se ha llegado a cuestionar la vigencia misma del Estado de Derecho.

En el ámbito de la protección de datos las normas, guías, informes y documentos aprobados con incidencia en la privacidad son muy numerosas y afectan a muy diversos aspectos de la protección de datos. Siempre, en principio, con el objetivo de luchar contra la pandemia. Algo que se aprecia en el Real Decreto Ley 21/2020, de 9 de junio, sobre medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el covid-19. Su Título quinto establece medidas para la detección precoz, control de fuentes de infección y vigilancia epidemiológica. Para ello es imprescindible el tratamiento de datos de carácter personal, en particular referido a la comunicación de datos de los posibles infectados para evitar el contagio y este modo contener la pandemia. La base se encuentra en el artículo 22 que considera el Covid-19 como enfermedad de declaración obligatoria urgente a efectos de lo previsto en el Real Decreto 2210/1995 por el que se crea la Red Nacional de Vigilancia epidemiológica. Declaración que permite establecer la obligación de facilitar a la Autoridad de Salud Pública competente todos los datos necesarios para el seguimiento y la vigilancia epidemiológica del Covid-19 que le sean requeridos, incluidos en su caso los datos necesarios para la identificación personal. Por otro lado, el artículo 24 señala que los servicios de salud de las Comunidades Autónomas y de Ceuta y Melilla deben garantizar en todos los niveles de la asistencia, y de forma especial en la atención primaria de salud, que se realice a todo caso sospechoso de Covid-19 una prueba diagnóstica PCR u otra técnica de diagnóstico molecular tan pronto como sea posible desde el conocimiento de los síntomas, y que toda la información derivada se debe transmitir en tiempo y forma según se establezca por la autoridad sanitaria competente.

Vemos pues que se establecen obligaciones de comunicación de datos especialmente sensibles, los referidos a la salud. Categorías de datos que regula el artículo 9 del Reglamento General de Protección de Datos. Pero es que además se establece también que los establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada en los que las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos, tendrán la obligación de facilitar a las autoridades sanitarias la información de la que dispongan o que le sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas. Pocas normas, si es que alguna, se han ocupado con este alcance de la comunicación de datos personales relativos a la salud. Al menos el artículo 27 del Real Decreto Ley establece que en todo caso se deberán respetar las previsiones contenidas en el Reglamento General de Protección de Datos y en la Ley Orgánica de Protección de Datos.

Esta previsión de alcance general carece, en principio, de fecha de caducidad. El artículo 23 del Real Decreto-ley establece que las medidas serán aplicables incluso una vez finalizada la prórroga del estado de alarma, hasta que el Gobierno declare de manera motivada y de acuerdo con la evidencia científica disponible, previo informe del Centro de Coordinación de alertas y Emergencias Sanitarias, la finalización de la situación de crisis sanitaria ocasionada por el Covid-19. Es decir, dichas medidas, con gran impacto en la protección de datos, no están vinculadas a la vigencia del Estado de Alarma sino a la situación de crisis sanitaria, que puede subsistir aun finalizado aquel.

Para la justicia y la celebración de juicios telemáticos debe recordarse que la Comisión Permanente del Consejo General del Poder Judicial aprobó en mayo de 2020 una “Guía para la celebración de actuaciones y judiciales telemáticas”, al objeto de ofrecer “pautas y recomendaciones para conciliar la aplicación preferente de los medios telemáticos con el pleno respeto a los principios y garantías del proceso”. En particular se señala que En el caso de los procedimientos que se celebren de manera telemática en los que, por su relevancia social o mediática, el juez o tribunal autorice su retrasmisión íntegra o la captación puntual de imágenes y sonido por parte de los medios de comunicación, el material gráfico y/o audiovisual que se facilite a estos para su uso informativo se procurará que se atenga a la legislación de protección de datos de carácter personal y lo establecido en el Protocolo de Comunicación de la Justicia.  Que los medios tecnológicos que se utilicen para realizar actos procesales telemáticos deberán cumplir con unos requisitos mínimos de seguridad, de conformidad con lo regulado en el Esquema Judicial de Interoperabilidad y Seguridad (EJIS), asegurando que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de la información grabada y de los documentos almacenados y ajustarse a los requerimientos que garanticen la compatibilidad e interoperabilidad de los sistemas informáticos. Los datos de los usuarios del sistema de grabación de vistas quedarán sujetos a la normativa de protección de datos y se deberá garantizar el correspondiente control de trazabilidad.

Pero además de estas normas de alcance general o de especial importancia para la abogacía y la justicia, que son de una importancia innegable en materia de protección de datos, son muchos los temas que siguen planteándose con un alcance más específico.

Así, la Orden del Ministerio de Sanidad SND/297/2020, de 27 de marzo, por la que se encomendó a la Secretaría de Estado de digitalización e inteligencia artificial del Ministerio de Asuntos Económicos y Transformación Digital el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el Covid-19 que pretendía hacer frente al uso de la geolocalización y de aplicaciones de seguimiento y rastreo para combatir la propagación del virus.

Desde el principio planteó también no pocos debates la toma de temperatura, que también se consideró como una herramienta imprescindible para detectar posibles positivos por coronavirus. Al margen de la controversia que de inmediato se generó acerca de si la simple temperatura o fiebre es síntoma de Covid-19, lo cierto es que tempranamente se empezó a tomar la temperatura para el acceso no solo a establecimientos públicos sino también privados. La Agencia Española de Protección de Datos tuvo que hacer público un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos en el que expresó su preocupación por este tipo de actuaciones, que suponen, dijo, una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias. Una de las cuestiones además que se planteó con mayor virulencia fue la de quién estaría legitimado para tomar la temperatura cuestionando que pudiesen ser personas no profesionales de la salud.

Otra de las realidades que ha venido a quedarse entre nosotros durante y después de la pandemia es el teletrabajo. Las cuestiones que plantea en numerosos ámbitos y especialmente en materia de privacidad son innumerables.  Baste hacer referencia a las medidas de seguridad o de confidencialidad, la posible pérdida de información, o la aplicación de las normas que regulan las relaciones laborales. El Instituto Nacional de Ciberseguridad (INCIBE) y el Centro Criptológico Nacional (CCN) hicieron públicos determinados documentos referidos fundamentalmente a la seguridad en el tratamiento de datos. Por su parte, la Agencia Española de Protección de Datos también hizo públicas unas Recomendaciones para proteger los datos personales y situaciones de movilidad de trabajo, que contienen, por un lado recomendaciones al empleador y por otro al personal que participa en las operaciones de tratamiento en el marco del teletrabajo.

Del mismo modo, la pandemia ha generalizado la celebración de reuniones on line, utilizando para ello múltiples herramientas o plataformas. Nos hemos habituado ya a utilizar plataformas que han pasado a formar parte ya de la actividad cotidiana de nuestros días y en particular de los abogados. Hay que recordar que todos los principios que rigen en materia de protección de datos son aplicables, como por ejemplo el de información o seguridad del tratamiento. De lo que se trata es de utilizar una plataforma que ofrezca totales garantías en materia de protección de datos y que evite que los datos que en su caso vayan a ser recabados sean tratados o alojados en países ajenos a la Unión Europea sin que se adopten las medidas previstas en los artículos 44 y siguientes del Reglamento General de Protección de Datos referidos a las transferencias internacionales de datos.

Enorme alcance tuvieron, tienen y tendrán las implicaciones en materia de protección de datos en el marco de la enseñanza online y en particular en la celebración de pruebas de evaluación o exámenes.  A ello se refiere el extenso e importante Informe 0036/2020 de la Agencia Española de Protección de Datos sobre utilización del reconocimiento facial en la realización de exámenes online, expresando que el uso de técnicas de vigilancia que impliquen posibles invasiones de la privacidad requerirán del consentimiento de los afectados, en este caso de los alumnos. Para ser considerado libre deberá preverse la posibilidad de que los alumnos utilicen alternativas para la celebración de los exámenes que sean menos invasivas para la privacidad, pero igualmente garantistas para evitar el fraude en los exámenes.

Retomamos de nuevo las palabras y reflexiones que compartíamos al principio de estas líneas. La digitalización de la sociedad requiere el tratamiento masivo de datos personales. La pandemia ha producido una aceleración incontestable hacia la sociedad digital, y ha dejado al descubierto los grandes riesgos que para la protección de datos tiene el uso de tecnologías innovadoras. Por ello es imprescindible tener muy presentes los principios configuradores del derecho a la protección de datos plasmados tanto en el Reglamento General como en la Ley Orgánica de Protección de Datos. En particular, el principio de responsabilidad proactiva que exige a todos cuantos traten datos personales que apliquen medidas apropiadas a fin de garantizar y poder demostrar el pleno respeto al derecho a la protección de datos.

La celebración del Día Europeo de Protección de Datos este 28 de enero debe servir para reiterar el compromiso de la Abogacía y los abogados con el derecho fundamental a la protección de datos y para recordar que las medidas que sea necesario aplicar durante la pandemia no deben ser irreversibles sino temporales, al objeto de recuperar en su momento la plena normalidad en el disfrute de los derechos fundamentales.