AEPD: Nuevas advertencias sobre la recogida de datos personales en establecimientos

La Agencia Española de Protección de Datos (AEPD) conocedora de la proliferación de diversas iniciativas públicas y técnicas en determinados lugares de comercio u ocio que tratan de fomentar una reacción rápida ante síntomas o posibles nuevos brotes de COVID-19, ha publicado un comunicado “sobre la recogida de datos personales por parte de los establecimientos”.

Ya desde el inicio puntualiza, “que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como «categorías especiales»”.

¿Registro de clientes?

Para poder promover este tipo técnicas, “tratándose de una medida para la contención del coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad”. Asimismo, “si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa” es decir, por ejemplo, “que no se impidiera la entrada al establecimiento”.

Rango de ley e interés público

Como ya no está vigente el estado de alarma, “la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley”. En tal caso, la base jurídica sería el 6.1.c) RGPD, que avisa que “el tratamiento sólo será lícito si se cumple al menos una de las siguientes condiciones: c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

“El hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD; es decir, “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.

Como suele avisar la AEPD a la hora de la recogida de datos especialmente sensibles, es necesario “justificar” que no existen “otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por ello deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas (no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos). A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse”.

Por otro lado, la recogida y la cesión de datos debería organizarse, según la AEPD, de una forma que “el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria”, ejemplifica el comunicado.

Minimización y anonimización

“Adicionalmente, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes”, recomienda la AEPD.

Advierte la misma, que no sería ni siquiera necesario “solicitar el nombre y los apellidos”, y en ningún caso, “la identificación mediante el DNI” al considerarse esta ultima “desproporcionada”, ya que tales datos resultarían inútiles para “la finalidad de avisar a los posibles contactos”.

Límites: finalidad y plazo de conservación

Por último, “debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación”.

En definitiva, y de acuerdo con estos criterios, “los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria”.

“Por su parte, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas”, advierte y zanja el comunicado emitido el pasado viernes 31 de julio.