La protección de datos durante la crisis del coronavirus

Por José Luis Piñar Mañas, delegado de Protección de Datos del Consejo General de la Abogacía Española. Catedrático de Derecho Administrativo de la Universidad CEU San Pablo de Madrid y Of Counsel de CMS Albiñana&Suárez de Lezo

El artículo 116 de la Constitución dispone que una ley orgánica regulará los estados de alarma, de excepción y de sitio, y las competencias y limitaciones correspondientes. Precisa que el estado de alarma será declarado por el Gobierno mediante decreto acordado en Consejo de Ministros por un plazo máximo de quince días, dando cuenta al Congreso de los Diputados, reunido inmediatamente al efecto y sin cuya autorización no podrá ser prorrogado dicho plazo. El decreto determinará el ámbito territorial a que se extienden los efectos de la declaración. La Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio regula en los artículos 4 a 12 el estado de alarma, que, según el art. 4, podrá ser decretado cuando, entre otras alteraciones graves de la normalidad, se produzcan “crisis sanitarias, tales como epidemias y situaciones de contaminación graves”. En aplicación de lo que establece la Constitución y la citada Ley Orgánica el Gobierno ha debido adoptar el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el Covid-19. Más recientemente ha sido aprobado el Real Decreto-Ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del Covid-19. Asimismo se han aprobado ya numerosas disposiciones por parte del Estado[1], de las Comunidades Autónomas y de diversas Entidades Locales con medidas que pretenden hacer frente a las consecuencias derivadas de la pandemia global en que ya se ha convertido la crisis del coronavirus.

Tras el estado de alarma declarado por Real Decreto 1673/2010, de 4 de diciembre, para la normalización del servicio público esencial del transporte aéreo paralizado “como consecuencia de la situación desencadenada por el abandono de sus obligaciones por parte de los controladores civiles de tránsito aéreo”, esta es la segunda vez  que se declara el estado de alarma en España, con efecto, en ambos casos, en todo el territorio nacional. La situación ahora, sin embargo, es exponencialmente más grave que la que se produjo en 2010. Pero lo que resulta mucho más preocupante es que no se vislumbra por ahora el momento en que todo esto pueda concluir o al menos pueda considerarse razonablemente superado. La reacción de la sociedad, en cualquier caso, está siendo ejemplar, así como el funcionamiento de las instituciones y servicios públicos, sobre todo en lo que se refiere al sistema, público y privado, de sanidad, sometido a un estrés hasta ahora desconocido.

El escenario, desde luego, presenta una gravedad que no debe subestimarse, pero con el convencimiento de que la colaboración de todos, incluidos quienes pueden ver en riesgo su trabajo o lo que es peor, su salud, va a ser, como ya lo está siendo, ejemplar, y va a permitir superar la situación en que nos encontramos. Una situación que necesariamente impone la limitación de la plena efectividad de ciertos derechos y libertades. El artículo 11 de la Ley Orgánica 4/1981 permite acordar en el estado de alarma las medidas siguientes: “a) Limitar la circulación o permanencia de personas o vehículos en horas y lugares determinados, o condicionarlas al cumplimiento de ciertos requisitos. b) Practicar requisas temporales de todo tipo de bienes e imponer prestaciones personales obligatorias. c) Intervenir y ocupar transitoriamente industrias, fábricas, talleres, explotaciones o locales de cualquier naturaleza, con excepción de domicilios privados, dando cuenta de ello a los Ministerios interesados. d) Limitar o racionar el uso de servicios o el consumo de artículos de primera necesidad. e) Impartir las órdenes necesarias para asegurar el abastecimiento de los mercados y el funcionamiento de los servicios de los centros de producción”. Y en aplicación de tal precepto, los artículos 7 a 19 del Real Decreto 463/2020 han previsto una serie de medidas dirigidas a “proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública”, además de “prevenir y contener el virus y mitigar el impacto sanitario, social y económico”.

DERECHO A LA PROTCCIÓN DE DATOS

Conviene insistir en que la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el citado artículo 11 de la Ley Orgánica 4/1981. Es más, en ningún caso pueden suspenderse derechos, sino tan sólo adoptar medidas que, con la imitación señalada, condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aún así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos deriva del artículo 18.4 de la Constitución, como declaró ya hace tiempo el Tribunal Constitucional en su Sentencia 292/2000 (y ya antes), de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma.

Ya con carácter general la presidencia del Comité Europeo de Protección de Datos hizo pública el pasado 16 de marzo una declaración sobre el tratamiento de datos personales en el contexto de la crisis del Covid-19[2], en la que resalta que la normativa sobre protección de datos y en particular el Reglamento (UE) 2016/679, no impiden tomar medidas en la lucha contra la pandemia del coronavirus, pero advierte que incluso en estas excepcionales circunstancias quienes traten datos personales deben asegurar su protección. Sin perjuicio de que el propio Reglamento y la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas (Directiva e-Privacy) prevén reglas que pueden aplicarse al tratamiento de datos que se lleve a cabo en un contexto como el actual, que permitiría incluso obviar en ciertos casos el consentimiento de los afectados.

Las Autoridades de Protección de Datos de varios países han hecho públicos también informes u opiniones sobre el tema, que para algunos suponen una “inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19”[3]. Incluso se ha llegado a afirmar que podemos llegar “a la muerte por protección de datos”[4] Por su parte la Agencia Española de Protección de Datos ha hecho público el pasado 12 de marzo (antes pues del Real Decreto 463/2020, publicado en el BOE del 14 de marzo) el importante Informe 0017/2020 de su Gabinete Jurídico, sobre tratamientos de datos resultantes de la actual situación derivada de la extensión del virus Covid-19[5] y unas “Preguntas Frecuentes” sobre el Coronavirus, centradas en el tratamiento de datos en el ámbito laboral[6]. Asimismo la Autoridad Catalana de Protección de Datos ha publicado una “Nota en relación con los tratamientos de datos personales relacionados con las medidas para hacer frente al COVID-19”[7]. De entre estos documentos me parece especialmente relevante el Informe de la AEPD, sin perjuicio de la notable utilidad que tienen tanto la respuesta a esas preguntas frecuentes como la Nota de la Autoridad Catalana.

El citado Informe 0017/2020 parte de la base de que “la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada”. En efecto, tras el Real Decreto 463/2020 no se ha suspendido el derecho a la protección de datos (que por lo demás, como antes vimos, ni en los estados de excepción o sitio puede suspenderse), y su ejercicio, por el mero hecho de declarar el estado de alarma, no queda limitado. Ahora bien, como también advierte el Informe, “la propia normativa de protección de datos personales [RGPD] contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general”. La advertencia de la Agencia es totalmente acertada, como también lo es la que recoge a continuación: “Por ello, al aplicarse dichos preceptos previstos para estos casos en el RGPD, en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”. Especialmente relevante me parece la afirmación de que la protección de datos no debe utilizarse para obstaculizar o limitar las medidas que deban tomarse para luchar contra la epidemia. No puedo estar más de acuerdo con tal afirmación. En numerosas ocasiones, constantemente mejor dicho, vengo afirmando que la protección de datos no es un derecho impertinente que “prohíba” sin más “hacer cosas”; más bien marca el camino que indica “cómo deben hacerse las cosas”. Ni en situaciones de pandemia global como la que estamos sufriendo, aún conscientes de que como parece ser lo peor está por llegar, podemos poner en entredicho un derecho fundamental como es el de la protección de datos. Muchas fueron las voces que reclamaban poco menos que acabar con la protección de datos tras los atentados del 11S. La seguridad, se decía, estaba por encima de la privacidad. Hubo que luchar, y no poco, para hacer ver que la seguridad y la privacidad no son contradictorias sino complementarias. Es decir, y volviendo a la crisis del coronavirus: la protección de datos en ningún caso va a ser un obstáculo para luchar con todas las armas que en nuestras manos estén contra el coronavirus. Y estoy seguro de que esta es la posición de las autoridades de protección de datos.

INFORME DE LA AEPD

Así debe entenderse el reiterado informe de la Agencia. Que parte claramente de la realidad incontestable de que el derecho a la protección de datos no es un derecho absoluto. Y de que tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) contienen previsiones que, junto lo que establecen otras normas sectoriales, permiten en situaciones excepcionales el tratamiento de datos de salud incluso sin necesidad de contar con el consentimiento de los afectados. Recuerda el Informe el Considerando 46 del RGPD: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”. Esta es cabalmente la situación en la que nos encontramos: la necesidad de controlar una epidemia y su propagación.

Teniendo en cuenta que el interés vital que puede estar en juego no es sólo el propio del afectado, sino de un tercero: “de otra persona física”. Partiendo de esta base la Agencia analiza asimismo la legislación sectorial que permite el tratamiento de datos de salud sin consentimiento de los afectados. La Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales; la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada por el Real Decreto-Ley 6/2020, de 10 de marzo) o la Ley 33/2011, de 4 de octubre, General de Salud Pública. A las que habría que añadir ahora el Real Decreto 463/2020, de 14 de marzo, de declaración del estado de alarma. Por tanto ningún obstáculo al tratamiento de datos de salud con la finalidad de luchar contra la pandemia.

La Agencia lo deja claro: “el RGPD ha pretendido dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable”. Y añade que en consecuencia, en una situación de emergencia sanitaria como la que vivimos “es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable. Cuáles sean dichas decisiones, (desde el punto de vista de la normativa de protección de datos personales, se reitera) serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales ya tan reiterados. Pero los responsables de tratamientos, al estar actuando para salvaguardar dichos intereses, deberán actuar conforme a lo que las autoridades establecidas en la normativa del Estado miembro correspondiente, en este caso España, establezcan”.

Y aún más: “Serán estas autoridades sanitarias competentes de las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Lo anterior hace referencia, expresamente, a la posibilidad de tratar los datos personales de salud de determinadas personas físicas por los responsable de tratamientos de datos personales, cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública). Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo”.

Dicho lo anterior, lo que de ningún modo cabe es ignorar los principios y garantías que han de observarse en todo caso en relación con el derecho fundamental a la protección de datos. También lo señala la Agencia: deben respetarse los principios contenidos en el artículo 5 del RGPD, “y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos. Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que, como se ha dicho, la propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria”. Por ello debe evitarse a toda costa, como advierte el Considerando 54 del RGPD, que “terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.

Una lectura sosegada de la opinión de la AEPD y de la declaración de la Presidencia del Comité Europeo de Protección de Datos nos lleva a la conclusión de que la protección de datos en absoluto puede ser un obstáculo en la lucha contra el coronavirus. Como por lo demás se desprende de las preguntas frecuentes que ha publicado la propia Agencia, en las que por cierto no se exige que en todo caso y en exclusiva sea sólo y nada más que personal sanitario quien puede tomar la temperatura a los trabajadores con el fin de detectar casos de coronavirus. Lo que sí se exige en todo caso es que se respeten los principios de protección de datos, y especialmente el de finalidad (sólo contener la propagación del coronavirus y no otras distintas) y conservar los datos no más del tiempo necesario para tal finalidad.

Por tanto, es un exceso alarmista pretender que estamos ante posiciones inoportunas o, menos aún, que vamos a llegar a la muerte por protección de datos. El RGPD y la LOPDGDD, la legislación sectorial y la normativa que declara, regula y desarrolla el estado de alarma legitiman tratamientos de datos de salud sin consentimiento de los afectados. Es más, permiten legítimamente cualquier tratamiento que sea imprescindible (pero solo el que sea imprescindible) para luchar contra la pandemia global que sufrimos. Pero del mismo modo esas normas exigen que tales tratamientos sean escrupulosos con los principios que fundamentan el derecho a la protección de datos. Dejemos ya de afirmar, ni siquiera insinuar, que el derecho fundamental a la protección de datos es un obstáculo para el desarrollo de otras libertades y otros derechos fundamentales. No tengamos que recordar de nuevo la conocida, y a veces sacada de contexto[8], frase de Bejamin Franklin: “aquellos que renunciarían a la libertad esencial, para comprar un poco de seguridad temporal, no merecen ni la libertad ni la seguridad”..

[1] Que se recogen en el Código electrónico Crisis Sanitaria COVID-19 editado por el BOE: https://www.boe.es/biblioteca_juridica/codigos/codigo.php?id=355_Crisis_Sanitaria_COVID-19&tipo=C&modo=2

[2] https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_es

[3] MARZO PORTERA, Ana, “La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19” en Expansión-Hay Derecho, 18 de marzo de 2020. Puede consultarse en https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/. El punto central de la crítica gira en torno al hecho de que se exija que deba ser personal sanitario en exclusiva el que pueda llevar a cabo tratamientos de datos de salud, tales como la tomar la temperatura de los posibles afectados, sin dar pie a la posibilidad de que otras personas (por ejemplo personal de seguridad) pueda llevar a cabo tales controles en una situación tan excepcional como la del coronavirus. No creo, sin embargo, que sea la única interpretación posible del documento de la Agencia.

[4] MARTINEZ, Ricard, “A la muerte por protección de datos”, en http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/

[5] https://www.aepd.es/es/documento/2020-0017.pdf

[6] https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID_19.pdf

[7] https://apdcat.gencat.cat/es/actualitat/noticies/noticia/Nota-en-relacio-amb-els-tractaments-de-dades-personals-relacionats-amb-les-mesures-per-fer-front-al-COVID-19

[8] Vid VOLOKH, Eugene: “Liberty, safety, and Benjamin Franklin”, Washington Post, 11 de noviembre de 2014: https://www.washingtonpost.com/news/volokh-conspiracy/wp/2014/11/11/liberty-safety-and-benjamin-franklin/