,,

¿Qué conviene saber sobre la recogida de datos personales por parte de los establecimientos?

La Agencia Española de Protección de Datos ha hecho público un comunicado , al tener constancia de la proliferación de diversas iniciativas públicas que pretenden registrar determinados datos de los clientes que acuden a locales de ocio , como reacción rápida ante posibles nuevos brotes de COVID–19. 

 

 

Fuente: AEPD.

La AEPD en su comunicado puntualiza que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.

Para poner en marcha el registro de clientes que acuden a locales de ocio, tratándose de una medida para la contención del coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Adicionalmente, si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.

Teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el 6.1.c) (“el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”).

En todo caso, debe señalarse que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD (“el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”).

A estos efectos, debe hacerse especial incidencia en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por ello deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas (no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos). A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.

 

Por otro lado, la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria. Cuestión que también tienen que valorar las autoridades sanitarias de las Comunidades Autónomas.

Adicionalmente, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes.

En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.

Asimismo, debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación.

De acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria.

Por su parte, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas.

Share on facebook
Facebook
Share on twitter
Twitter

Puedes contactarnos en

Tel (+34) 912 656 067

Tel (+34) 923 270 043

SALAMANCA

C/ Toro 13, 4° D · 37002

Tel (+34) 923 270 343

MADRID

C/ Cedaceros 11, 5°A  28014

Tel (+34) 91 265 60 67

Patrocinadores de Fundación FUNDANEED

SAMANIEGO & TIEDRA CONSULTING. Todos los derechos reservados | Aviso Legal

Puedes contactarnos en

Tel (+34) 912 656 067

Tel (+34) 923 270 043

SALAMANCA

C/ Toro 13, 4° D · 37002

Tel (+34) 923 270 343

 

MADRID

C/ Cedaceros 11, 5°A  28014

Tel (+34) 91 265 60 67

Patrocinadores de Fundación FUNDANEED

SALAMANCA

C/ Toro 13, 4° D · 37002

Tel (+34) 923 270 343

MADRID

C/ Cedaceros 11, 5°A  28014

Tel (+34) 91 265 60 67

SAMANIEGO & TIEDRA CONSULTING. Todos los derechos reservados | Aviso Legal

Desarrollo OnPlexo 

Abrir chat
1
Escríbenos un whatsapp y te asesoramos
Hola
¿En qué podemos asesorarte?