Privacidad en tiempos de pandemia

Últimamente se habla mucho sobre cómo el Gobierno quiere utilizar el big data y la inteligencia artificial para combatir la propagación del coronavirus. De hecho, ya se han puesto en marcha proyectos como por ejemplo el de la Generalitat Valenciana en colaboración con Telefónica, Orange y Vodafone, o el de la Comunidad de Madrid “coronamadrid.com”, aplicación que busca “aliviar la sobrecarga de consultas sanitarias”.

Esta última utiliza el “interés público” como base legitimadora para utilizar los datos de los usuarios y así, entre otras cosas, poder acceder a su ubicación geográfica en determinados momentos y ofrecer las mejores medidas preventivas y de evaluación. Además, utilizarán los datos para finalidades estadísticas, investigación biomédica, científica o histórica, para archivo en interés público. En todo caso, no deberían usarse para propósitos distintos a los descritos en sus términos y condiciones.

Dicho esto, todo apunta a que se acabará lanzando una aplicación a nivel nacional para combatir el coronavirus pero, ¿realmente es legal realizar este tipo de medidas sobre los ciudadanos? Pues bien, la parte legal nos la explica Felipe Herrera Herrera, del despacho de abogados especializado en protección de datos Términos y Condiciones.

En primer lugar, podemos mencionar que la propia Agencia Española de Protección de Datos, muy acertadamente, ha dicho que “la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias”.

Sea como sea, debemos tener en cuenta que la protección de datos es considerada como un derecho fundamental y se encuentra recogido en nuestra Constitución Española, por tanto, su aplicación a través del RGPD y la LOPDGDD no debe entenderse suspendida en ningún momento durante el Estado de Alarma.

A su vez, los datos de salud están catalogados como datos de categoría especial, por lo que únicamente podrán utilizarse si se cumplen las circunstancias recogidas en el art. 9.2 RGPD, entre las que se permite su tratamiento sin consentimiento del ciudadano en situaciones de interés público en el ámbito de la salud pública (art. 9.2.i) y en el cumplimiento de obligaciones legales en el ámbito laboral derivado de dichas situaciones (art. 9.2.b).

Además, el considerando 46 del RGPD nos dice que “el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

Ésta es precisamente la situación en la que nos encontramos actualmente con el coronavirus, la necesidad de controlar una epidemia y su propagación.

También hay que tener en cuenta los principios y garantías que han de observarse en todo caso en relación con el derecho fundamental a la protección de datos y los contenidos en el artículo 5 del RGPD, entre ellos el de utilizar los datos con licitud, lealtad y transparencia, de limitación de la finalidad, principio de exactitud y, por supuesto, el principio de minimización de datos.

Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento. Por ello, debe evitarse a toda costa, como advierte el Considerando 54 del RGPD, que “terceros como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.

Por tanto, los fundamentos que hacen posible dichos tratamientos son la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas. A su vez, las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo.

En conclusión, los datos personales deberán seguir siendo utilizados según lo establecido en la normativa de protección de datos, ya que estas normas ya han previsto esta eventualidad. Ahora bien, le corresponde a la administración cumplir con los principios mencionados para que los ciudadanos puedan sentir que su derecho a la protección de datos va a mantenerse intacto. Es decir, si se van a utilizar este tipo de aplicaciones lo tendrán que hacer con una gestión legal, ética y transparente de los datos personales que se recojan a través de las apps destinadas a actuar en la crisis del coronavirus.

Lo que no puede suceder bajo ningún concepto es que para abordar una crisis de este tipo, las medidas que se tomen sean a través de acciones desproporcionadas e innecesarias, y también es vital que las medidas no se extiendan una vez que ya no estemos en Estado de Alarma. Al final del día no es aconsejable que la información que se recopila a través de las apps acabe en manos de actores privados.