| |
La Agencia Española de Protección de Datos (AEPD) ha publicado un informe jurídico relativo al tratamiento de datos personales en España, inclusive datos relativos a salud, en el contexto de la expansión del coronavirus COVID-19.
La nota de prensa publicada por la AEPD está disponible en el siguiente enlace.
El informe íntegro puede consultarse en este enlace.
La AEPD destaca:
- Base legítima para el tratamiento de datos personales. El considerando 46 del RGPD reconoce tanto el interés público (art. 6.1.e RGPD) como la preservación de intereses vitales (art. 6.1.d RGPD). En relación con este último aspecto, la AEPD enfatiza que la protección de intereses vitales no solo se refiere a la protección de los intereses vitales del propio interesado, siendo también lícito el tratamiento dirigido a proteger los intereses vitales de otros particulares.
Asimismo, otras bases legítimas del tratamiento reconocidas en el RGPD pueden permitir el referido tratamiento, incluyendo la obligación de cumplir con mandamientos legales, como el deber de los empleadores de observar la normativa en materia de seguridad y salud en el entorno laboral.
Todas las bases legítimas del tratamiento descritas arriba permiten el tratamiento de datos personales sin necesidad de obtener el consentimiento del interesado.
- Tratamiento de datos de salud. La AEPD destaca en su informe que, si el tratamiento de datos de carácter personal dentro del contexto de la enfermedad por coronavirus (COVID-19) requiere que el responsable del tratamiento trate datos relativos a salud, este tratamiento debe estar amparado por cualquiera de las circunstancias establecidas en el artículo 9 RGPD (relativo a categorías especiales de datos personales). Esto significa que las condiciones detalladas tanto en el apartado 1) anterior como en este apartado 2) deben tenerse en cuenta si se procesan datos relativos a salud.
Según la AEPD, el tratamiento de datos de salud es legítimo:
- Si es necesario para el cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b RGPD). En este contexto, el informe de la AEPD no analiza la licitud (o no) de la adopción de medidas proactivas concretas por parte del empleador para proteger la salud y la seguridad en el trabajo, pero destaca el deber del empleado de informar al empleador de sus sospechas de haber estado en contacto con el virus para garantizar la salud de otros trabajadores en el lugar de trabajo.
- El informe también analiza la posible aplicación al tratamiento de datos de salud de otras circunstancias reguladas en el artículo 9 del RGPD, tales como cuando el tratamiento es necesario (i) para proteger los intereses vitales del interesado o de otra persona física cuando el interesado es física o legalmente incapaz de prestar su consentimiento (art. 9.2.c RGPD); (ii) por razones de interés público en el área de la salud pública, como la protección contra amenazas transfronterizas graves para la salud (art. 9.2.i RGPD), que en este caso se considera un interés público sustancial (art. 9.2. g RGPD); o (iii) para un diagnóstico médico (art. 9.2.h RGPD).
- El informe establece que la protección de los intereses vitales ha sido atribuida por la legislación española a las autoridades sanitarias competentes, por lo que estas autoridades son las que tienen derecho a adoptar medidas para dicha protección. Los responsables del tratamiento deben seguir las instrucciones dadas por las referidas autoridades, incluso si esto implica el tratamiento de los datos relacionados con la salud de las personas.
Finalmente, el informe enfatiza que, incluso dentro del contexto de emergencias sanitarias, el tratamiento de datos debe cumplir con los requisitos establecidos en la legislación aplicable en materia de datos, incluidos los principios de licitud, lealtad y transparencia, limitación de la finalidad, exactitud y minimización de datos.
|
|
