La Agencia Española de Protección de Datos ha emitido un comunicado con fecha 31 de julio que viene a puntualizar algunas cuestiones relacionadas con la recogida de datos personales de clientes por parte de algunos establecimientos para la identificación rápida en caso de brotes de COVID-19.

El debate sobre esta cuestión ha tomado mayor protagonismo después de la puesta en marcha, el pasado jueves día 30 de julio, de algunas medidas por parte de la Comunidad de Madrid.

Aunque de inicio se planteó la posibilidad de pedir que se solicitaran datos personales en determinados tipos de locales, en especial en los de ocio nocturno y banquetes, posteriormente se dio marcha atrás en parte de estas medidas.

En todo caso, lo que la AEPD indica en su comunicado es, en primer lugar, que aunque estos datos de recojan con el objetivo de prevención y detección rápida del COVID-19, no supone que tengan la consideración de datos de “categoría especial”. Hace alusión a la importancia de contar con una norma con rango de ley que permita dar soporte legal a este llamado “registro de clientes” por parte de los establecimientos de ocio.

De no existir esta norma con rango de ley, que debería ser dictada por las autoridades sanitarias, deberíamos ir al criterio del consentimiento como base legitimadora del tratamiento. Ahora bien, para que este consentimiento fuera libre y, por tanto, válido, no tendría que tener ninguna consecuencia negativa por el hecho de no otorgarlo. Esto significa que si, por ejemplo, se impidiera la entrada al establecimiento en caso de no facilitar dicho consentimiento, estaríamos ante esa consecuencia negativa que haría que dicho consentimiento no pudiera ser otorgado de forma libre.

Por tanto, urge una norma con rango de ley que habilite este registro de clientes.

Igualmente, indica el comunicado de la AEDP, que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD (“el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”).

Es también muy importante la justificación de que no existen otras medidas más moderadas para conseguir la finalidad perseguida. Dice la Agencia que no puede tener la misma consideración, por ejemplo, una discoteca, en la que el control de las medidas de distanciamiento y otras es más complicado, que otros establecimientos, como puede ser un museo, en el que es posible coordinar sin mayores problemas una serie de protocolos que garanticen la seguridad del público en general.

Debe prestarse también especial atención al principio de minimización. Por ello, en base al objetivo que se persigue, puede ser suficiente con recoger los datos consistentes en número de teléfono junto con el dato de la fecha y hora en la que el cliente ha asistido al local. Es decir, solicitar, por ejemplo, el nombre, apellidos y DNI, como por ejemplo en principio se establecía en la Orden promulgada por la Comunidad de Madrid en principio. La Agencia estima que, en base a este principio de minimización, todo dato que no fuera el teléfono, para poder contactar con la persona, y la fecha y hora de su asistencia al local, sería excesivo para la finalidad pretendida.

Por supuesto, no cabe duda, la única finalidad de estos datos que se recojan deberá ser la de la lucha y detección de posibles brotes del virus, para ninguna otra se podrán utilizar tales datos.

Por último, el establecimiento que venga obligado a recoger estos datos será Responsable del Tratamiento de los mismos, y deberá hacerlo, o eso es al menos lo que pide la Agencia, en base a una norma con rango de ley, mientras que la Administración autonómica a la que se dé traslado de dichos datos en caso de que surja un brote será la cesionaria, con amparo en razones de interés público.

Y, por supuesto, la información a los ciudadanos sobre la finalidad, datos del Responsable y posibilidad de ejercer los derechos que la normativa de protección de datos le reconoce debe ser “clara, sencilla y accesible”.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *