Control de la privacidad por parte de las autoridades sanitarias ante situaciones de emergencia

Rodríguez Ayuso, Juan Francisco; Rodríguez Ayuso, Juan Francisco

Mi SciELO

Servicios personalizados

Servicios Personalizados

Revista

Articulo

Indicadores

Citado por SciELO
Accesos

Links relacionados

Citado por Google
Similares en SciELO
Similares en Google

Otros
Otros

Permalink

Revista de Bioética y Derecho

versión On-line ISSN 1886-5887

Rev. Bioética y Derecho no.50 Barcelona 2020 Epub 23-Nov-2020

DOSSIER CUESTIONES BIOÉTICAS DE LA PANDEMIA COVID-19

Control de la privacidad por parte de las autoridades sanitarias ante situaciones de emergencia

Control of Privacy by Health Authorities in Emergency Situations

Control de la privacitat per part de les autoritats sanitàries davant situacions d'emergència

Juan Francisco Rodríguez Ayuso^*

^{^*}Profesor Ayudante Doctor y Coordinador Académico del Máster Universitario en Protección de Datos. Universidad Internacional de La Rioja (UNIR). Logroño, La Rioja (España)

Resumen

El presente estudio ofrece una investigación sistemática, exhaustiva y actualizada del tratamiento de datos personales relativos a la salud de los ciudadanos afectados y/o potencialmente afectados por la situación excepcional derivada del COVID-19. Para ello, y tomando en consideración toda la normativa, general y sectorial, aplicable en materia de protección de datos y de sanidad, se procede al análisis de las bases legitimadoras procedentes y de las excepciones que, aplicables a situaciones de emergencia sanitaria como la actual, habilitan el tratamiento atendiendo a la naturaleza de quien intervenga como responsable, haciendo especial énfasis en el interés público perseguido por las Administraciones Públicas y en el interés vital del propio interesado.

Palabras clave: dato personal; salud; tratamiento; COVID-19; RGPD; Administraciones Públicas; autoridades sanitarias; legitimación

Abstract

This study offers a systematic, exhaustive and updated investigation of the processing of personal data relating to the health of citizens affected and/or potentially affected by the exceptional situation resulting from COVID-19. For this purpose, and taking into account all the general and sectorial regulations applicable to data protection and health issues, it analyses the legitimate bases and the exceptions that, applicable to health emergency situations such as the present one, allow the processing according to the nature of the controller, with special emphasis on the public interest pursued by the Public Administrations and the vital interest of the data subject.

Keywords: personal data; health; processing; COVID-19; GDPR; public administrations; health authorities; legitimacy

Resum

El present estudi ofereix una investigació sistemàtica, exhaustiva i actualitzada del tractament de dades personals relatives a la salut dels ciutadans afectats i/o potencialment afectats per la situació excepcional derivada de la COVID-19. Per aquest motiu i tenint en compte tota la normativa, general i sectorial, aplicable en matèria de protecció de dades i de sanitat, es procedeix a l'anàlisi de les bases legitimadores procedents i de les excepcions que, aplicables a situacions d'emergència sanitària com l'actual, habiliten el tractament atenent a la naturalesa de qui intervingui com a responsable, fent especial èmfasi a l'interès públic perseguit per les administracions públiques i en l'interès vital de la persona interessada.

Paraules clau: dada personal; salut; tractament; COVID-19; RGPD; Administracions Públiques; autoritats sanitàries; legitimació

1. Estado de alarma ante situaciones excepcionales de crisis sanitarias

El presente estudio de investigación podría comenzar con una frase, tantas veces repetida, que adquiere especial intensidad en nuestros días: "ante situaciones excepcionales, medidas excepcionales".

En efecto, como resultado del potente efecto globalizador propio de la sociedad de la información en la que nos hallamos plenamente inmersos, asistimos en la actualidad a un complejo escenario de emergencia sanitaria, hasta hace unos meses inimaginable, que ha puesto progresivamente en jaque el entramado político, institucional, económico, ético y sanitario de los Estados y que está llamado a transformar, casi definitivamente, el comportamiento relacional de los individuos y del entorno en el que se desenvuelven (^{Ministerio de Sanidad, 2020)}.

El COVID-19, excepcional en sus efectos más adversos, exige la adopción de medidas extraordinarias que permitan remediar o, cuanto menos, minorar el, ya, más que elevado número de víctimas (^{Miler, 2020}). En este punto, el ordenamiento jurídico debe articularse del modo más preciso y riguroso posible para permitir, sin resultar mermado, dar acertada respuesta a las aspiraciones propias de todo ser humano en orden a la preservación del más alto valor humano que da razón y sirve de sustento al resto: la vida (^{Martínez, 2020}).^¹

Desde un punto de vista puramente ético, en un estado de alarma de estas características, los intereses generales de la salud pública y, en general, del bien común, pueden entrar en colisión con los intereses particulares y exigir limitaciones de los derechos individuales en favor de los primeros, aun cuando tales restricciones afecten con diversa intensidad a sus derechos fundamentales y libertades públicas, siempre y cuando no comprometan el contenido esencial de estos. De este modo, la protección de los derechos fundamentales y las libertades públicas correspondientes a los ciudadanos constituye un deber prima facie, que puede confrontar con aquel consistente en proteger el mismo derecho de todos los demás ciudadanos, por lo que se establece la necesidad de priorizar. Por este motivo, en las actuaciones que se implementen deberán otorgar preeminencia, entre otros, a los principios de equidad, no discriminación por ningún motivo ajeno a la situación clínica del paciente (claramente contraria al artículo 14 de la Constitución Española^² -en adelante, CE-), solidaridad, justicia, proporcionalidad, transparencia y optimización en la planificación de los recursos asistenciales; a tal efecto, es imprescindible una constante reevaluación de los criterios orientativos o prescriptivos adoptados, a la luz de los cambios que se produzcan en la evolución de la pandemia, y recomendable recibir la orientación del comité de ética asistencial de los centros hospitalarios afectados o de otros facultativos con mayor experiencia y madurez.

Además, la limitada disponibilidad de recursos puede obligar a establecer criterios para priorizar su acceso, debiendo acudir a criterios objetivos, generalizables, transparentes, públicos y consensuados, tomando igualmente en consideración aquellos aspectos singulares e individuales que presente cada persona enferma por el COVID-19.

Por lo demás, nada obsta la configuración del escenario sanitario y post-confinamiento y del retorno paulatino al estadio anterior al coronavirus, adoptando aquellas precauciones imprescindibles que impidan rebrotes de la enfermedad, constituyendo una exigencia moral garantizar a los profesionales sanitarios el adecuado apoyo psicológico para impedir o reducir las consecuencias que, sobre su salud mental, pueda ocasionar una situación de estrés laboral como la vivida durante la mencionada crisis (CBE, 2020).

A la vista de lo anterior, la labor de todo jurista e investigador debe ser la de conseguir, con pretensiones honestas y circunscritas, por ende, a su ámbito de estudio, encontrar, de forma escalonada y suficientemente motivada, el sustento normativo que permita alcanzar tan excelso objetivo. En lo que aquí respecta, este análisis busca ahondar, desde una perspectiva teleológica, en el modo en el que la protección de datos personales, como derecho fundamental pero no absoluto que es, debe articularse para no obstaculizar la plena efectividad de las medidas que adopten las autoridades sanitarias en el, ya declarado, estado de alarma.^³

El artículo 116.1 CE establece que una ley orgánica regulará los estados de alarma, de excepción y de sitio, así como las competencias y limitaciones correspondientes^⁴. Al amparo de esta previsión, surge la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio^⁵ (en adelante, LOEAES), cuyo Capítulo II (artículos 4 a 12) regula el estado de alarma, plenamente justificado para situaciones, como la actual, provocada por "[c]risis sanitarias, tales como epidemias y situaciones de contaminación graves" [artículo 4.b) LOEAES]. Entre las medidas que puede llegar a comportar, las indicadas en el artículo 11 LOEAES, además del deber de colaboración que, siguiendo la previsión del artículo 30.4 CE, se recoge en el artículo 7 bis de la Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil.^⁶

El estado de alarma "[...] será declarado por el Gobierno mediante decreto acordado en Consejo de Ministros por un plazo máximo de quince días, dando cuenta al Congreso de los Diputados, reunido inmediatamente al efecto y sin cuya autorización no podrá ser prorrogado dicho plazo" (artículo 116.2 CE). Así ha sido. Constatada la expansión del coronavirus en nuestro país, el Gobierno ha promulgado, con aplicación en todo el territorio nacional, el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19^⁷,^⁸ (en adelante, RDDEA), que se ha visto acompañado con la aprobación de numerosas disposiciones en todos los niveles territoriales (^{Minero, 2020})^⁹ encaminadas a hacer frente al impacto ocasionado por la pandemia. La duración inicial del estado de alarma es de quince días (que se extiende desde la entrada en vigor del Real Decreto en el BOE -14 de marzo- y hasta quince días después -28 de marzo-, tal y como establecen el artículo 3 y la disposición final tercera), si bien ha sido objeto de sucesivas prórrogas que se iniciaron merced al Real Decreto 476/2020, de 27 de marzo, por el que se prorroga el estado de alarma declarado por el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19^¹⁰. En cuanto a las medidas previstas, estas quedan recogidas en los artículos 7 a 19 RDDEA (^{Presno, 2020}).

La declaración del estado de alarma no supone, en ningún caso, ni expresa ni tácitamente, la suspensión del derecho fundamental a la protección de datos; es más, tan sólo supone la adopción de determinadas medidas que traen consigo la limitación, que no suspensión, en el ejercicio de determinados derechos y libertades (^{Piñar, 2020}). Cosa distinta sucede con el estado de excepción o de sitio, que, a tenor del artículo 55.1 CE, sí que comportaría la suspensión de los derechos reconocidos en los artículos 17; 18.2 y 3; 19; 20.1, a) y d), y 5; 21; 28.2, y 37.2 CE. El derecho fundamental a la protección de datos personales emana del artículo 18.1 CE^¹¹, precepto que no se encuentra recogido en el elenco anterior y que nos permite concluir de forma taxativa que, ni en el estado de alarma, ni en el estado de excepción ni en el estado de sitio podrán adoptarse medidas que supongan una suspensión, si siquiera mínima, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE^¹² (en adelante, Reglamento general de protección de datos o RGPD), de la Ley Orgánica 3/2018, de 05 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales^¹³ (en adelante, LOPDGDD) ni de cualquier otra normativa conexa, que seguirán siendo aplicables en toda su integridad.^¹⁴

Cuestión distinta es que sea necesario amoldar este derecho fundamental para, en palabras de la ^{Agencia Española de Protección de Datos (en adelante, AEPD)}, "[...] permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general" (AEPD, 2020). Así lo ha reiterado, a nivel comunitario y de forma prácticamente simultánea, el Comité Europeo de Protección de Datos, quien subraya que, en absoluto, el respeto a la privacidad de los interesados ni al derecho que la sustenta puede suponer un escollo en la toma de decisiones que impliquen el uso de datos personales para atajar la pandemia actual, incluso cuando estemos hablando de datos sensibles, como son los datos relativos a la salud de las personas (^{European Data Protection Board, 2020}).

2. Salud y protección de datos personales

Llegados a este punto, y a la vista de la (relevante) conclusión anterior respecto del encuadre y enfoque constitucional del derecho fundamental a la protección de datos, el siguiente paso reside en articular el posible tratamiento, por parte de las Administraciones Públicas (a nivel público) y de las empresas (a nivel privado), de información personal de los ciudadanos como medida de control, prevención y solución de esta situación de emergencia sanitaria de alcance general.

Un primer aspecto, no exento de debate, reside precisamente en determinar quién puede intervenir en este contexto como responsable del tratamiento, entendido este como "[...] la persona física o jurídica, autoridad pública, servicio u otro organismo que, sólo o junto con otros, determine los fines y medios del tratamiento". Para poder responder a esta cuestión, necesitamos saber cuáles son las finalidades para las cuales se van a tratar los datos y quién determina estas finalidades y los medios para poder alcanzarlas.

En relación con la primera cuestión, parece evidente que todas las finalidades deberán estar relacionadas directamente con el control del virus y, por ende, con la salvaguarda de la vida de las personas físicas, ya sean identificadas o identificables, que, en cuanto titulares de los datos, tendrán la consideración de interesados [artículo 4.1) RGPD].

Por tanto, la clave está en determinar quién debe alcanzar la consecución de estas finalidades e implementar, en su correspondiente ámbito de actuación, los instrumentos necesarios para su obtención. A mi juicio, y pese a la opinión contraria de organismos tan procedentes y relevantes como las autoridades de control italiana (GPDP, 2020) y francesa (CNIL, 2020), considero que el RGPD habilita plenamente en estos casos tanto a las Administraciones Públicas (personificadas en el Ministerio de Sanidad o el Instituto Nacional de Estadística) como a las empresas a tratar, en su condición de responsables del tratamiento, datos personales de personas infectadas o susceptibles de llegar a estarlo, con el fin de evitar la propagación del coronavirus y procurar la defensa de sus vidas (^{Marzo, 2020}). Ninguna interpretación distinta de la anterior consideraría coherente con el espíritu de la norma, cual es, repito, atender a una medida excepcional como la actual, con recursos limitados, donde todos tenemos la obligación de colaborar y donde es preciso defender la privacidad de los ciudadanos, sí, pero sin que ello suponga, de manera alguna, una merma de su integridad física, ya que, huelga decirlo, difícilmente podremos garantizar la privacidad de quien no vive para disfrutarla.

Un segundo elemento vendrá determinado por la naturaleza de los datos personales a tratar con ocasión de esta crisis sanitaria, que, en su mayor parte, se encuadrarán dentro de lo que se conoce como categorías especiales de datos personales (artículo 9 RGPD)^¹⁵. En concreto, y en lo que aquí interesa, serán datos relativos a la salud "[...] aquellos datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud" [artículo 4.15) RGPD].

2.1 Legitimación del tratamiento de datos relativos a la salud

Un primer estadio en el análisis de la licitud del tratamiento de datos personales relativos a la salud de sus titulares nos lleva a las bases jurídicas del artículo 6.1 RGPD. Y es que, contrariamente a lo que pudiera pensarse, será preciso, primero, establecer si concurre alguna justificación de las previstas en la normativa para determinar si el tratamiento es lícito como condición sine qua non para, sólo después, determinar si, además, existe alguna circunstancia excepcional del artículo 9.2 RGPD que permita superar la regla general que prohíbe tratar datos especialmente protegidos (^{Minero, 2020}).^¹⁶

Para un mejor entendimiento de cuanto se expone, parece más didáctico o clarificador exponerlas conjuntamente, estableciendo la concordancia de cada una de las bases jurídicas habilitantes con su correspondiente excepción.

a. Consentimiento del interesado

Siguiendo el orden que marca la normativa (que no predispone prelación alguna, pues todas cumplen el mismo fin y lo hacen en la misma medida), hemos de acudir, en primer lugar, al consentimiento del interesado para el tratamiento de sus datos personales [artículo 6.1.a) RGPD], consentimiento que deberá ser explícito para poder superar la prohibición general del tratamiento de datos de salud [artículo 9.2.a) RGPD].

De acuerdo con el artículo 4.11) RGPD, el consentimiento consiste en "[...] toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen". De este modo, de las posibles modalidades que habilita la normativa, únicamente será posible la declaración, y no la clara acción afirmativa, para entender prestado válidamente el consentimiento para el tratamiento de categorías especiales de datos personales.

Con fecha de 27 de marzo, el Ministerio de Sanidad ha promulgado la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19^¹⁷, desarrollando diversas actuaciones que persiguen contribuir a mejorar la gestión de la crisis^¹⁸. Entre estas actuaciones, esta orden prevé el desarrollo de soluciones tecnológicas y aplicaciones móviles para la recopilación de datos con el fin de mejorar la eficiencia operativa de los servicios sanitarios, así como la mejor atención y accesibilidad por parte de los ciudadanos. En concreto, establece la necesidad de implementar una aplicación informática que permitirá realizar al usuario la autoevaluación, con base en los síntomas médicos que comunique, de la probabilidad de que esté infectado por el COVID-19, ofrecerle información al respecto y proporcionarle consejos prácticos y recomendaciones a seguir según la evaluación, además de posibilitarle la geolocalización para verificar que se encuentra donde declara estar (^{Martínez, 2020}). Estas funcionalidades serán voluntarias, de modo que todo interesado que quiera someterse a ellas habrá de prestar su consentimiento explícito. El responsable del tratamiento será el Ministerio de Sanidad.

También prevé el desarrollo de un asistente conversacional/chatbot para ser utilizado mediante aplicaciones de mensajería instantánea y que proporcionará información oficial, siendo necesario, igualmente, el consentimiento de quien plantee las dudas o consultas relacionadas con la crisis sanitaria. El responsable del tratamiento será también el Ministerio de Sanidad.

En el ámbito privado, también se están produciendo iniciativas tecnológicas que tienen por finalidad el seguimiento de contactos para identificar y alertar a las personas que han estado en contacto con alguien infectado por coronavirus y que se harán depender del consentimiento de los interesados. Es el caso, entre otras, de la solución conjunta llevada a cabo conjuntamente por Apple y Google (^{Cotino, 2020}).

Por último, también podrán verse amparadas en el consentimiento del interesado las investigaciones científicas que, sobre datos personales de salud de los interesados, pueden implementarse para luchar contra la pandemia. Así lo establece, al amparo del artículo 9.2.j) RGPD, la disposición adicional decimoséptima, apartado 2.a), LOPDGDD (EDPB, 2020). Este precepto comunitario permite el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89.1 RGPD, sobre la base del Derecho nacional o comunitario, que deberá ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado

b. Cumplimiento de una obligación legal aplicable al responsable del tratamiento

Una segunda base jurídica que concurre en los datos de salud en el contexto del COVID-19 es la necesidad del tratamiento para el cumplimiento de obligaciones del responsable del tratamiento (el empleador) o el ejercicio de derechos específicos del interesado en el ámbito del Derecho laboral y de la seguridad y protección social [artículos 6.1.c) y 9.2.b) y h) y 9.3, ambos del RGPD].^¹⁹

De acuerdo con el artículo 6.1.c) RGPD, será legítimo el tratamiento de datos con el fin de cumplir una obligación legal aplicable al responsable del tratamiento. Esta previsión encuentra continuidad, en el caso analizado, en el artículo 9.2, letras b) (que alude al tratamiento para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del Derecho laboral y de la seguridad y protección social) y h) (que, en el ámbito específico sanitario, regula el tratamiento para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho nacional o comunitario o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el artículo 9.3 RGPD).^²⁰

En este caso, el empresario tiene un deber de protección de los trabajadores frente a los riesgos laborales, motivo por el que deberá garantizar la seguridad y salud de todos los que estén a su servicio en los aspectos relacionados con el trabajo. Así lo impone el artículo 20 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores^²¹ (en adelante, ET) y los artículos 2.1 y 14 y ss. de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (en adelante, LPRL). Centrados en el tratamiento específico de datos de salud, y merced a la habilitación prevista en la disposición adicional decimoséptima LOPDGDD^²², también resultará aplicable el artículo 33 de la Ley 33/2011, de 4 de octubre, General de Salud Pública (en adelante, LGSP)^²³, que regula la actuación sanitaria de forma coordinada con los empresarios y los representantes de los trabajadores.

Por su parte, el artículo 21.c), al igual que el artículo 29 LPRL (que transpone el artículo 13 de la Directiva del Consejo, de 12 de junio de 1989, relativa a la aplicación de medidas para promover la mejora de la seguridad y de la salud de los trabajadores en el trabajo^²⁴), hace recaer en el empleado una serie de obligaciones en materia de prevención de riesgos laborales. Más concretamente, le obliga a:

"[...] informar de inmediato a su superior jerárquico directo, y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores; contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo y cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores. En el ámbito de la situación actual derivada del COVID-19 ello supone que el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo, para que se puedan adoptar las medidas oportunas" (AEPD, 2020).

c. Interés vital del interesado o de otra persona física

Sobre la base del considerando 46 RGPD, surgen los artículos 6.1.d) y 9.2.c), ambos del RGPD, que aluden a la necesidad del tratamiento por parte de las Administraciones Públicas cuando sea preciso para proteger intereses vitales del interesado o de otra persona física, si bien el último de ellos exige, además, que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento. En este caso, no tendrá que ampararse en norma alguna de carácter nacional o comunitario [a diferencia de las letras c) y e) del artículo 6.1 RGPD], pues así lo establece el artículo 6.3 RGPD.

Esta extensión del tratamiento a terceros supone, en palabras de la propia AEPD (2020), que:

"[...] dicha base jurídica del tratamiento (el interés vital) puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados".

d. Interés público

Además del considerando anterior, conviene añadir, a este supuesto de legitimación, el considerando 54 RGPD. En consecuencia, deberemos aludir a los artículos 6.1.e) y 9.2.g) e i), todos ellos del RGPD, respaldados, además, por la precitada disposición adicional decimoséptima. El primero alude al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a las Administraciones Públicas en su condición de responsables del tratamiento, mientras que, el segundo, en sendas letras y haciéndose eco de esta previsión, alude, respectivamente, al tratamiento por razones de un interés público esencial (propias de la urgencia derivada del coronavirus) y al tratamiento por razones de interés público en el ámbito de la salud pública (característica de la crisis sanitaria actual).

En estos casos, será necesario contar con una base normativa que ampare estos tratamientos y que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado. Pues bien, esta normativa emana:

En primer lugar, de los artículos 1 a 3 LMESP, que aluden a las actuaciones desarrolladas por los poderes públicos, a fin de controlar las enfermedades transmisibles, sobre los enfermos y quienes estén o hayan estado en contacto con ellos.

En segundo lugar, el artículo 26 de la Ley 14/1986, de 25 de abril, General de Sanidad^²⁵, que atribuye competencias a los servicios sanitarios ante la existencia de un riesgo inminente y extraordinario para la salud.

En tercer lugar, ligado también con el tratamiento de datos de salud, el artículo 7 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica^²⁶, que establece el derecho de toda persona a que se respete la confidencialidad de sus datos de salud y a que nadie pueda acceder a ellos sin previa autorización legal.

En cuarto lugar, el artículo 33 de la Ley 33/2011, de 4 de octubre, General de Salud Pública^²⁷, que regula la actuación sanitaria de forma coordinada con los empresarios y los representantes de los trabajadores.

En quinto y último lugar, de los artículos 5 y 9 LGSP, que establecen el derecho y el deber de todas las personas de participar de forma efectiva en las actuaciones de salud pública y de comunicar aquello que pudiera constituir un riesgo o peligro grave para la salud, respectivamente. La colaboración con los servicios competentes resulta esencial para el logro de los objetivos del Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.^²⁸

De este modo, y conjugando esta base de legitimación con la dispuesta en la letra anterior, aludimos al tratamiento de datos de salud de personas físicas cuando:

"[...] por indicación de las autoridades sanitarias competentes, sea necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública)."^²⁹

3. Conclusiones

A lo largo del presente estudio hemos podido concluir que la declaración del estado de alarma como consecuencia de la crisis sanitaria actual derivada del COVID-19 no supone, ni directa ni indirectamente, la suspensión del derecho fundamental a la protección de datos, aun cuando sí que trae consigo la implementación de determinadas actuaciones que pueden llegar a limitarlo. Resulta necesario, por tanto, determinar las bases éticas y jurídicas que permiten que los tratamientos de datos llevados a cabo tanto por organismos públicos como por empresas privadas sean lícitos.

Entre las causas de legitimación que, habiendo de ser combinadas con las excepciones propias y precisas para levantar la prohibición general en el tratamiento de datos de salud de los interesados, resultan aplicables, se encuentran:

En primer lugar, el consentimiento del propio interesado, que experimentando una renovación ciertamente más exigente con la nueva normativa en materia de protección de datos, permite el tratamiento para: a) el desarrollo de soluciones tecnológicas y aplicaciones móviles, b) el seguimiento de contactos para identificar y alertar a las personas que han estado en contacto con alguien infectado por coronavirus y c) la realización de investigaciones científicas que, sobre datos personales de salud de los interesados, pueden implementarse para luchar contra la pandemia.

En segundo lugar, el cumplimiento de una obligación legal aplicable al responsable del tratamiento, derivada de la normativa en materia de prevención de riesgos laborales.

En tercer lugar, el interés vital del afectado por la enfermedad del coronavirus o de un tercero, siempre que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento. Esta extensión del tratamiento a terceros comporta que la legitimación pueda ser suficiente cuando el tratamiento se dirija también a proteger a aquellas personas susceptibles de ser contagiadas en la propagación del virus.

Finalmente, el interés público perseguido por el responsable del tratamiento, siendo necesario disponer de una base normativa que ampare estos tratamientos y establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado. En este supuesto se encontraría el tratamiento de datos de salud de interesados cuando sea necesario comunicar a otros individuos con los que dicha persona física ha estado en contacto la circunstancia del contagio, y, de otro, la realización de estudios científicos, siempre que la excepcionalidad, relevancia y gravedad de la situación así lo aconseje.

Referencias bibliográficas

♦ Agencia Española de Protección de Datos (2016). Guía para el cumplimiento del deber de informar. Madrid: AEPD. [ Links ]

♦ Agencia Española de Protección de Datos (2020). Informe del Gabinete Jurídico núm. 0017/2020. Madrid: AEPD . [ Links ]

♦ Comité de Bioética de España (2020). Informe del Comité de Bioética de España sobre los requisitos ético-legales en la investigación con datos de salud y muestras biológicas en el marco de la pandemia de COVID-19. [ Links ]

♦ Commission Nationale de l'Informatique et des Libertés (2020). Coronavirus COVID-19: les rappels de la CNIL sur la collecte de données personnelles. Disponible en: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles[Consulta: 27 de mayo de 2020]. [ Links ]

♦ Cotino L. (2020.) Inteligencia Artificial y vigilancia digital contra el Covid-19 y contra la privacidad. El diablo está en los detalles. Instituto Español de Estudios Estratégicos, 36. [ Links ]

♦ European Data Protection Board (2020). Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak. Bruselas: EDPB. [ Links ]

♦ European Data Protection Board (2020). Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak. [ Links ]

♦ Garante per la protezione dei dati personali. Coronavirus: No do-it-yourself (DIY) data collection, says the Italian DPA. Disponible en: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117#1 [Consulta: 15 de mayo de 2020]. [ Links ]

♦ Ministerio de Sanidad (2020). Informe del Ministerio de Sanidad sobre los aspectos éticos en situaciones de pandemia: El SARS-CoV-2. Madrid. [ Links ]

♦ Martínez R. (2020). Los tratamientos de datos personales en la crisis del COVID-19: un enfoque desde la salud pública. Diario La Ley, 38, 1. [ Links ]

♦ Martínez R. (2020). A la muerte por protección de datos. LOPD y seguridad. Disponible en: http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/ [Consulta: 25 de mayo de 2020]. [ Links ]

♦ Marzo A. (2020). La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19. Hay Derecho. Disponible en: https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/#comments. [Consulta: 13 de abril de 2020]. [ Links ]

♦ Miler R. (2020). The Wuhan Coronavirus: survival manual and concise guide to COVID-19 (symptoms, outbreak and prevention in 2020). Toronto: University of Toronto Press. [ Links ]

♦ Minero G. (2020). COVID-19 y protección de datos personales. Quo vadis? Blog de la Facultad de Derecho. Disponible en: https://www.blog.fder.uam.es/2020/03/27/covid-19-y-proteccion-de-datos-personales-quo-vadis/ [Consulta: 12 de abril de 2020]. [ Links ]

♦ Ministerio de Sanidad (2020). Informe del Ministerio de Sanidad sobre los aspectos éticos en situaciones de pandemia: El SARS-CoV-2. [ Links ]

♦ Piñar JL. (2020). La protección de datos durante la crisis del coronavirus. Consejo General de la Abogacía Española. Disponible en: https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/ [Consulta: 27 de mayo de 2020]. [ Links ]

♦ Presno MÁ. (2020). "Estado de alarma y sociedad del riesgo global". En Atienza E, Rodríguez JF (drtores.). Las respuestas del Derecho a las crisis de salud pública (p. 16). Madrid: Dykinson. [ Links ]

♦ Universidad de Valencia (2020). Observatorio de Derecho Público y Constitucional y COVID-19 en España. [ Links ]

¹La razón estriba en el acomodo de todo el conjunto de previsiones constitucionales concurrentes, como el principio de dignidad, el valor supremo de la vida y a la integridad física y moral, el derecho a la seguridad en términos de seguridad pública, el derecho a la protección de la salud y, en lo que aquí interesa, el derecho a la privacidad y a la protección de datos personales".

²Boletín Oficial del Estado (en adelante, BOE) núm. 311, de 29/12/1978.

³Sobre el carácter limitado y necesariamente ponderable de los derechos fundamentales, vid. Sentencias del Tribunal Constitucional núm. 11/1981, de 08/04/1981, FF. JJ. 7º y 10º; 2/1982, de 29/01/1982, F. J. 5º; 62/1982, de 15/10/1982, F. J. 5º; 110/1984, de 26/11/1984, F. J. 5º; 13/1985, de 31/01/1985, F. J. 2º; 53/1986, de 05/05/1986, F. J. 3º; 196/1987, de 11/12/1987, FF. JJ. 4º, 5º y 6º; 197/1987, de 11/12/1987, F. J. 11º; 37/1989, de 15/02/1989, F. J. 7º; 120/1990, de 27/06/1990, F. J. 5º.

⁴Recuérdese que, de acuerdo con el artículo 81.1 CE, corresponde a las leyes orgánicas el desarrollo de los derechos fundamentales y de las libertades públicas, las que aprueben los Estatutos de Autonomía y el régimen electoral general y las demás previstas en la Constitución.

⁵BOE núm. 134, de 05/06/1981.

⁶BOE núm. 164, de 10/07/2015.

⁷BOE núm. 67, de 14/03/2020.

⁸En España, el único precedente lo encontramos en el Real Decreto 1673/2010, de 4 de diciembre, por el que se declara el estado de alarma para la normalización del servicio público esencial del transporte aéreo (BOE núm. 295, de 04/12/2010), promulgado con objeto de garantizar el derecho de todos los españoles a la libre circulación por todo el territorio nacional, tras las circunstancias extraordinarias acaecidas tras el cierre del espacio aéreo español como consecuencia de la situación desencadenada por el abandono de sus obligaciones por parte de los controladores civiles de tránsito aéreo.

⁹Como acertadamente indica la autora, las disposiciones creadas para atender los efectos de la crisis sanitaria presentan un carácter excepcional que, como tal, impide cualquier interpretación amplia o extensiva de las mismas. Por lo demás, se puede consultar, de forma actualizada, el conjunto de disposiciones aplicables en relación con la crisis sanitaria del COVID-19 en el Observatorio de la Universidad de Valencia.

¹⁰BOE" núm. 86, de 28/03/20.

¹¹Así lo declaró la Sentencia del Tribunal Constitucional (Pleno) núm. 292/2000, de 30/11/2000.

¹²Diario Oficial de la Unión Europea (en adelante, DOUE) L 119/1, de 05/05/2016.

¹³BOE núm. 294, de 06/12/2018.

¹⁴Debe tenerse en cuenta que, merced a la disposición derogatoria única de la LOPDGDD, se deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD -BOE núm. 298, de 14/12/1999-), el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (BOE núm. 183, de 30/07/2018) y cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD. De este modo, y así lo ha ratificado, entre otros, la Autoridad Catalana de Protección de Datos, sigue en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RDLOPD -BOE núm. 17, de 19/01/2008-) en todo aquello que no se oponga o resulte incompatible con el RGPD y la LOPDGDD.

¹⁵Dentro de este artículo quedarían incluidos todos aquellos datos personales que, de un modo más palpable o con efectos más evidentes, inciden en la esfera privada de los interesados, como son aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida u orientación sexual del interesado.

¹⁶En este punto, discrepo con la autora cuando sostiene que: "[...] cuando hablamos de datos de la salud, al tratarse de una categoría especial de datos, el precepto aplicable para identificar las bases jurídicas del tratamiento de estos datos no es el artículo 6 del RGPD, sino una norma de protección reforzada, el artículo 9 del RGPD, que prevé una serie de circunstancias que permiten no aplicar la regla general del tratamiento basado en el consentimiento del interesado". En primer lugar, y así lo ha establecido la AEPD (2016), "[...] cuando la legitimación para la finalidad principal no encuentre acomodo en ninguna de las bases jurídicas anteriores". En segundo lugar, porque, tal y como reitera la propia AEPD (2020), las bases jurídicas del artículo 6 RGPD deberán concurrir siempre, ya que son las que permiten cumplir el principio de licitud del tratamiento [artículo 5.1.a) RGPD]; si, además, concurren datos sensibles, tendremos que buscar salvar la prohibición general del tratamiento que establece el artículo 9 RGPD, que actuará como una especie de segundo requisito o exigencia adicional pero que, en ningún caso, podrá sustituir o reemplazar la concurrencia de una base legal.

¹⁷BOE núm. 86, de 28/03/20.

¹⁸Esta orden acoge el mandato emanado de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (en adelante, LMESP -BOE núm. 102, de 29/04/1986-), modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública (BOE núm. 62, de 11/03/2020); del RDDEA, y de la Orden SND/234/2020, de 15 de marzo, sobre adopción de disposiciones y medidas de contención y remisión de información al Ministerio de Sanidad ante la situación de crisis sanitaria ocasionada por el COVID-19 (BOE núm. 68, de 15/03/2020), modificada por la Orden SND/267/2020, de 20 de marzo, por la que se modifica la Orden SND/234/2020, de 15 de marzo, sobre adopción de disposiciones y medidas de contención y remisión de información al Ministerio de Sanidad ante la situación de crisis sanitaria ocasionada por el COVID-19 (BOE núm. 78, de 21/03/2020).

¹⁹Informe 0017/2020 de la AEPD.

²⁰Este apartado dispone que los datos de salud podrán ser tratados cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad o por cualquier otra persona sujeta también a la obligación de secreto, habilitando, pues, la realización, por empresas de seguridad privada y en virtud del artículo 31.10 de la Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada (BOE núm. 42, de 18/02/2011), de pruebas de los trabajadores de la empresa en el marco de la prevención del riesgo de contagio).

²¹BOE núm. 255, de 24/10/2015.

²²Esta disposición adicional ampara en las letras g), h), i) y j) RGPD los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las leyes y disposiciones de desarrollo en ella contempladas.

²³BOE núm. 240, de 05/10/2011.

²⁴BOE núm. 240, de 05/10/2011.

²⁵BOE núm. 102, de 29/04/1986.

²⁶BOE núm. 274, de 15/11/2002.

²⁷BOE núm. 240, de 05/10/2011.

²⁸BOE núm. 21, de 24/01/1996.

²⁹Informe 0017/2020 de la AEPD.

Recibido: 09 de Abril de 2020; Aprobado: 03 de Junio de 2020

Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons