Est-il légal de publier des données sur les personnes vaccinées contre Covid?: Les experts répondent

Ces derniers jours, plusieurs responsables politiques ont demandé que, « par souci d'hygiène démocratique », les ministères de la Santé et de la Défense publient la liste complète des fonctionnaires ayant « bénéficié » de leur fonction pour accéder à la première dose du vaccin contre la Covid-19, « en contournant le protocole ». Certains ont même demandé à l'Agence de protection des données l'autorisation de publier la liste des personnes vaccinées, affirmant qu'il s'agissait d'un « exercice de transparence ». Est-il légal de publier la liste des personnes vaccinées ? Dans quels cas précis pourrait-elle être rendue publique ? Sinon, quelles réformes seraient nécessaires pour ce faire ? Où se situe la frontière entre protection des données et liberté d'information ? Plusieurs experts du domaine nous apportent des réponses à cette question d'actualité, à l'occasion de la Journée européenne de la protection des données.

La publication d'une liste de personnes implique un traitement des données relatives à la santé dans un but différent pour lequel elles ont été collectées et, par conséquent, ne relève pas de la loi. Pour Verónica Alarcón, avocate spécialisée en droit des nouvelles technologies et protection des données, «La publication des données des vaccinés est un traitement de données personnelles, et à ce titre doit respecter la réglementation en matière de protection des données, qui dans ce cas est double: d'une part, le règlement général sur la protection des données (RGPD), et sur l'autre, la loi organique 3/2018, sur la protection des données personnelles et la garantie des droits numériques ». En outre, il précise que «la réglementation européenne en matière de protection des données repose sur une interdiction du traitement des données relatives à la santé (article 9.1 du RGPD), à la seule exception du consentement de l'intéressé».

Le droit à la transparence dérivé de la loi 19/2013 sur l'accès à l'information publique et la bonne gouvernance ne peut pas non plus être invoqué, «d'abord pour une question formelle, il faut recourir à la procédure légalement établie à l'article 17 de la loi sur la transparence, et ensuite , car cette éventuelle demande d'accès sera limitée par l'article 15 de cette loi, qui établit que l'accès à ce type de données ne peut être autorisé qu'avec un consentement exprès », précise-t-il.

MODIFICATION DU REGLEMENT EUROPEEN ET SANITAIRE

Alarcón précise que si nous n'avons pas le consentement, il serait nécessaire de modifier la réglementation sur la protection des données, mais pas seulement la réglementation nationale, mais aussi européenne et sanitaire "pour pouvoir communiquer ces données à des fins d'inspection sur l'utilisation et la destination de ressources ou créer une nouvelle loi organique qui permet la publication de ces données, si cette loi est susceptible de dépasser les canons de constitutionnalité, puisque le droit à la protection des données est un droit fondamental ».

Du même avis est Leandro Núñez, associé chez Audens et avocat spécialisé en droit numérique. «Pour qu'une administration publique puisse traiter ou publier des données, il faut une autorisation légale et cela doit être une norme ayant force de loi et spécifique. Cette loi, pour être approuvée, devrait passer par les principes de pondération établis par la Cour constitutionnelle, avec les jugements d'aptitude et d'équilibre nécessaires pour atteindre les objectifs poursuivis. A première vue, c'est un traitement qui semble difficile », ajoute-t-il.

«La loi sur la transparence ne permet pas d'accéder à des données aussi sensibles que la vaccination d'une personne, et cette - plainte - peut conduire à une discrimination à l'encontre de la personne qui risque de perdre son emploi ou de ne pas se présenter à un entretien personnel pour se faire vacciner».

PROTECTION DES DONNÉES / LIBERTÉ D'INFORMATION

Au cas où certains noms seraient publiés dans les médias, expliquez qu'ici la liberté d'information a été mise en balance avec la protection des données. «En cas de collision entre les droits, il s’agit d’établir un équilibre entre les deux et s’il s’agit d’une actualité qui peut être d’intérêt public, aussi personnelle soit-elle, elle peut être publiée. Cela ne veut pas dire qu'une liste de tous les hauts fonctionnaires vaccinés soit publiée ».

Ignacio Suárez, avocat expert en protection des données, droit Internet et nouvelles technologies, déclare qu '«on pourrait revendiquer l'intérêt public essentiel (article 9.2 RGPD) des citoyens à connaître cette liste de personnes vaccinées ou le droit à l'information - article 20 de la Constitution - sur le droit à la protection des données - article 18.4 de la Constitution -, mais c'est un décision selon laquelle la Cour constitutionnelle devrait décider quand deux droits constitutionnels s'affrontent ». Et cela va plus loin, en précisant que "ce qui devrait être changé, ce serait la Constitution espagnole, car il y a un conflit juridique lorsque ces deux droits se heurtent".

Avec le cadre réglementaire actuel, si les données des personnes vaccinées sont rendues publiques, les personnes concernées peuvent engager des poursuites judiciaires pour violation de leur droit à la protection des données et à la vie privée. Dans le cas où ils sont publiés avec le risque juridique exposé, les citoyens peuvent se défendre avec le principe de légalité. «Ce traitement doit être fondé sur une cause légitime de celles prévues dans la législation sur la protection des données pour des catégories particulières de données (articles 6.1 et 9.2 du RGPD) et pourrait déposer une réclamation auprès de l'Agence espagnole de protection des données. De son côté, le futur détenteur de la liste de vaccination peut saisir le tribunal - le tribunal constitutionnel - pour statuer sur le conflit entre deux droits soulevés ici », explique Suárez. .

Ils soulignent également tous que les fonctions de l'Agence espagnole de protection des données n'autorisent pas la publication de telles données, comme l'ont compris certains responsables politiques. "En cas de doute sur la conformité ou non de cette divulgation à la loi, le citoyen peut soumettre une consultation préalable, sur la base de l'article 36 du RGPD, à l'Agence, qui ne délivrera qu'un rapport juridique, mais jamais une autorisation », disent-ils.