La pandèmia que ens acompanya des del mes de març ens ha portat molts canvis en les nostres vides. Més enllà de l’afectació evident en l’àmbit de la salut, la COVID-19 i totes les mesures adoptades amb motiu de la declaració de l’estat d’alarma han provocat un impacte formidable en molts altres terrenys. En aquest article em centraré en l’afectació en el dret fonamental a la protecció de dades personals, particularment en alguns entorns del sector públic.
Com a punt de partida, faig una consideració prèvia sobre els efectes de la declaració de l’estat d’alarma i les pròrrogues successives. De conformitat amb l’article 116.2 de la Constitució espanyola i la Llei 4/1981, dels estats d’alarma, excepció i setge, la declaració de l’estat d’alarma pot comportar, entre d’altres, limitacions a la llibertat de circulació o de reunió. Però el dret fonamental a la protecció de dades personals segueix íntegrament vigent, tal com recorden en informes emesos durant la pandèmia l’Autoritat Catalana de Protecció de Dades (APDCAT) (CNS 18/2020) i l’Agència Espanyola de Protecció de Dades (AEPD) (17/2020).
Per tant, en les noves realitats i maneres de fer que ens ha portat aquesta situació d’emergència sanitària, s’han de seguir respectant plenament els principis i garanties recollits a la normativa de protecció de dades personals, la qual certament ja legitima determinats tractaments que poden resultar necessaris per a finalitats de salut pública o de salut laboral en situacions excepcionals com l’actual. En tot cas, si l’adequació a dret del tractament deriva precisament del moment excepcional que ens ha tocat viure, tal licitud es podria esvair quan es pogués tornar a una certa normalitat.
Com anunciava, en aquest article abordaré l’impacte en la protecció de dades d’alguns d’aquests canvis i noves realitats amb les quals ens trobem i que, en alguns casos, sembla que forçosament ens acompanyaran encara durant un temps. Aquesta anàlisi el faré donant resposta a algunes preguntes que han sorgit o que poden sorgir en organitzacions del sector públic.
Podem controlar la temperatura corporal a les persones que accedeixen als edificis públics?
Són moltes les entitats que en els plans de desconfinament que elaboren de cara a l’escenari de la “nova normalitat”, per tal de preservar les persones treballadores del risc de contagi, es plantegen, entre altres mesures de salut laboral, la presa de la temperatura a l’entrada de les dependències, ja sigui només de les persones empleades o també de persones alienes.
Sembla evident que conèixer la temperatura corporal d’una persona es tracta d’un impacte directe en la seva vida privada. Caldria aplicar aquí la doctrina del triple judici de proporcionalitat, idoneïtat i necessitat
Sembla evident que conèixer la temperatura corporal d’una persona es tracta d’una mesura d’un impacte directe en la vida privada de les persones. Per tant, caldria avaluar bé la proporcionalitat d’aquesta mesura, així com estudiar la possibilitat d’optar per altres alternatives menys intrusives en l’esfera privada dels individus. Així, atès que estem davant la possible restricció d’un dret fonamental, caldria aplicar aquí la doctrina del triple judici de proporcionalitat, idoneïtat i necessitat per a l’adopció d’aquesta mesura, doctrina a la qual acudeix sovint el Tribunal Constitucional davant eventuals limitacions de drets fonamentals, i en el cas del dret a la protecció de dades personals en particular (per totes, STC 186/2000). Segons té declarat el TC, la constitucionalitat de qualsevol mesura restrictiva de drets fonamentals ve determinada per l’estricta observança del principi de proporcionalitat, i al respecte escau comprovar si la mesura en qüestió compleix els tres requisits o condicions següents:
a) Primerament, si la mesura és susceptible d’aconseguir l’objectiu proposat (judici d’idoneïtat). Al respecte, no es pot negar que la detecció d’un cas de temperatura corporal elevada constitueix un símptoma de la COVID-19, però també podria obeir a altres causes. Així mateix, també és conegut el percentatge significatiu de persones portadores del virus però que són asimptomàtiques, o que poden tenir altres símptomes diferents de la temperatura corporal. A més, existeix una variabilitat en la temperatura corporal habitual de cada persona, a banda que es pot alterar per determinades circumstàncies (cicle menstrual, etc.). En definitiva, que sorgeixen dubtes sobre la idoneïtat de la mesura, ja que podria servir per a uns casos, però no per a d’altres.
b) En segon lloc, si la mesura és necessària, en el sentit que no existeixin altres mesures més moderades per a la consecució del propòsit perseguit amb una eficàcia igual (judici de necessitat). Aquí cal apuntar la possibilitat d’establir altres mesures alternatives, com ara reforçar el distanciament entre persones o establir altres mesures de protecció amb el mateix objectiu de preservar la salut laboral de les persones treballadores.
c) I finalment, si la mesura és ponderada o equilibrada, pel fet que de la seva implantació se’n deriven més beneficis o avantatges per a l’interès general que perjudicis per a altres béns jurídics o valors en conflicte (judici de proporcionalitat en sentit estricte). Aquest requisit exigeix, doncs, efectuar una ponderació adequada entre els béns jurídics i interessos que potencialment poden col·lidir, i el resultat de la ponderació —que pot variar segons les circumstàncies de cada cas— és el que finalment hauria de decantar l’adopció de la decisió final, en un sentit o un altre.
Sobre aquesta qüestió de la presa de la temperatura s’ha pronunciat l’APDCAT en el dictamen CNS 18/2020, emès amb motiu de la consulta elevada per una empresa pública. En aquest dictamen l’APDCAT parteix de la consideració que “l’establiment de controls de temperatura corporal previs a l’entrada al centre de treball a què es refereix la consulta constitueix un tractament de dades personals, en concret, de dades relatives a la salut (article 4.15 RGPD), que resta sotmès a la legislació de protecció de dades personals”. Entén, doncs, l’APDCAT que existeix un tractament de dades personals pel sol fet d’establir el control de temperatura, amb independència de si s’enregistra o no en algun fitxer el resultat obtingut del dit control, al marge dels positius detectats. Amb aquest pronunciament l’APDCAT rebutja el criteri defensat per algunes veus, conforme si no s’enregistra el resultat no hi hauria tractament i, per tant, no seria d’aplicació l’RGPD.
Per l’APDCAT seria lícita la presa de temperatura del personal propi a l’entrada al centre de treball, en base a la Llei de prevenció de riscos laborals, però no així en el cas de persones alienes a l’organització que visiten les dependències administratives per fer algun tràmit o gestió
Com dic, l’APDCAT parteix de l’existència d’un tractament de dades personals, que com a tal ha de complir amb els principis de l’article 5 de l’RGPD, i en particular amb el de licitud. En aquest sentit, l’APDCAT conclou que seria lícita la presa de la temperatura del personal propi a l’entrada al centre de treball, sempre que tal mesura provingués del servei de prevenció de riscos laborals de l’organització. La base jurídica d’aquest tractament estaria en els articles 6.1.c i 9.2.h de l’RGPD, en relació amb les previsions de la Llei 31/1995, de prevenció de riscos laborals, en la qual s’imposa a l’empresari l’obligació de garantir la seguretat i la salut del personal al seu servei.
Per contra, l’APDCAT no avala la presa de temperatura de personal aliè, mesura que hauria d’establir el servei de prevenció de riscos de la seva organització. D’aquest pronunciament es podria inferir, doncs, que l’APDCAT no legitima tampoc la presa de temperatura de les persones alienes a l’organització que visiten les dependències administratives per tal d’efectuar algun tràmit o gestió. Això, tret que aquesta mesura fos adoptada per les autoritats competents en matèria de salut pública, a l’empara dels articles 6.1.c i 9.2.i de l’RGPD. En efecte, aquest darrer precepte habilita el tractament de dades de salut si és necessari per raons d’interès públic en l’àmbit de la salut pública, les quals només poden ser apreciades per l’autoritat sanitària competent.
Podem gravar les classes o activitats formatives?
Aquesta pregunta afecta l’àmbit educatiu en tots els seus nivells, i totes les organitzacions en general, en allò referent a les activitats formatives que puguin dur a terme a través de videoconferència, modalitat que s’ha generalitzat en aquests darrers mesos.
L’enregistrament de les activitats pot resultar necessari i estaria justificat, per tal que les persones que no han pogut assistir-hi les puguin consultar, inclús amb la finalitat que els qui les han seguides en directe, puguin repassar-ne després el contingut, a través de sistemes d’accés restringit. Ara bé, en aplicació del principi de minimització de les dades (art. 5.1.c RGPD), abans d’activar la gravació caldria recomanar a les persones assistents que desconnectessin la seva càmera i micròfon, de manera que només es mantingués activada la de la persona docent, sens perjudici que si una persona assistent vol participar pogués connectar el micròfon —i càmera si ho considera necessari.
En qualsevol cas, en la mesura que amb la gravació s’obtindrien dades personals (la mera assistència, participacions al xat, amb veu, etc.), caldria informar dels punts previstos a l’article 13 de l’RGPD, o si més no de la informació bàsica seguint l’opció que brinda l’article 11 de l’LOPDGDD.
En activitats formatives per videoconferència caldria recomanar als assistents que desconnectessin la seva càmera i micròfon i en cas justificat d’activació que tinguessin cura sobre l’àmbit de visió de la càmera
En casos determinats podria estar justificat exigir als assistents a una videoconferència l’activació de la càmera (treballs en equip, desenvolupament d’exàmens o proves, etc.), però en aquests supòsits caldria recomanar que es tingués cura sobre l’àmbit de visió de la càmera i la possible captació d’informació personal de l’assistent o d’altres persones, així com evitar l’enregistrament, i restringir-lo només a supòsits que estiguessin totalment justificats. També caldria limitar la divulgació de l’enregistrament només a les persones assistents, i únicament si resultés estrictament imprescindible.
Podem establir sistemes de reconeixement facial per fer exàmens o proves equivalents?
Aquesta qüestió s’ha plantejat en l’àmbit universitari, tot i que ha estat desaconsellada per l’associació Crue Universidades Españolas en la guia que ha elaborat amb el títol Guía sobre la protección de datos personales en el ámbito universitario en tiempos del COVID-19, i en la qual s’indica que en tot cas caldria efectuar una avaluació d’impacte relativa a la protecció de dades.
Aquesta guia es va sotmetre a consideració de l’APDCAT, i en el dictamen corresponent (CNS 17/2020) s’ha referit expressament a aquesta qüestió —entre d’altres— de la possibilitat d’utilitzar el reconeixement facial de cara als exàmens universitaris. Al respecte, l’APDCAT recorda que la utilització de la imatge facial per tal d’identificar l’alumne o alumna mitjançant sistemes tècnics de reconeixement, esdevé un tractament d’una dada biomètrica que encaixa en la definició de l’article 4.14 RGPD. Estem, doncs, davant d’una dada de categoria especial, sotmesa a un règim més restringit, ja que l’article 9.1 de l’RGPD estableix d’entrada una prohibició general de tractament. Per tant, per tal que el seu tractament sigui lícit no només ha de concórrer una base jurídica de l’article 6 de l’RGPD, sinó també alguna excepció de l’article 9.2 de l’RGPD, tal com s’infereix dels considerants 51 i 52 de l’RGPD.
A criteri de l’APDCAT, no sembla clar que pugui entrar en joc alguna de les excepcions de l’article 9.2 de l’RGPD que permeten aixecar la prohibició general de tractament. En aquest sentit, la que potencialment seria aplicable (raons d’interès públic essencial, art. 9.1.g) exigiria una previsió específica a una norma amb rang de llei o del dret de la Unió que inclogués a més certes garanties, previsió legal que a hores d’ara no existeix. Això porta a descartar la licitud d’aquest tractament, a banda de posar de manifest que hi ha altres alternatives amb una eficàcia similar a la del reconeixement facial, com seria la identificació directa a través del rostre i la veu dels alumnes, o inclús l’opció de requerir l’exhibició del DNI.
Podem comunicar al Departament de Salut les dades de persones infectades per la COVID-19?
S’ha plantejat també la possibilitat de comunicar als òrgans competents en matèria de salut les dades identificatives de persones infectades per la COVID-19. Al respecte, els articles 6.1.e i 9.2.j de l’RGPD, en connexió amb la disposició addicional 17ª de l’LOPDGDD, legitimarien aquesta comunicació i el posterior tractament de les dades de salut, amb fins de vigilància i acció epidemiològica en la salut pública, per tal de controlar i prevenir la propagació o incidència del virus en la població.
Així ho ha considerat l’APDCAT en el dictamen CNS 14/2020, i a una conclusió similar arriba l’AVPD (Agència Basca de Protecció de Dades) en el seu dictamen 6/2020, en el qual legitima específicament la comunicació de dades de persones infectades, per part de centres de salut privats als òrgans competents en matèria de salut pública.
Podem divulgar a les xarxes socials imatges per evidenciar l’incompliment del confinament o altres mesures sanitàries imposades per combatre la COVID-19?
Durant el confinament han proliferat per les xarxes socials les imatges que haurien captat particulars amb els seus telèfons mòbils, de persones que presumptament incomplien el confinament o altres mesures imposades per les autoritats, la qual cosa ha portat a l’AEPD a recordar que la captació i la difusió d’imatges en les quals fos possible identificar persones físiques podria suposar un tractament indegut de dades personals.
No estaria permès divulgar a les xarxes socials imatges de persones que incomplien el confinament o altres mesures imposades per les autoritats, especialment si les persones fossin identificades o identificables i no comptéssim amb el seu consentiment
Cal deixar clar que tota persona que presencia o té coneixement d’uns fets que podrien ser constitutius d’infracció, estaria legitimada per enregistrar les imatges que servirien com a prova, amb la finalitat d’aportar-les a l’òrgan competent per conèixer d’aquella presumpta infracció (art. 62 Llei 39/2015). Per contra, no estaria permès utilitzar aquestes imatges amb altres finalitats, i en cap cas seria lícita la seva divulgació a les xarxes socials, la qual cosa desbordaria el que l’RGPD denomina com un tractament efectuat en l’àmbit personal o domèstic. En conseqüència, la persona que contribuís a tal divulgació sense el consentiment de la persona afectada, podria esdevenir responsable d’un tractament il·lícit.
En consonància amb l’anterior, tampoc no s’ajustaria a la normativa de protecció de dades que un ajuntament o qualsevol altra entitat divulgués a través del seu perfil a les xarxes socials, imatges que es poguessin vincular a persones identificades o identificables, amb la finalitat de censurar públicament uns suposats comportament incívics.
Es poden publicar les dades identificatives de les persones mortes per la COVID-19?
En aquesta última pregunta em refereixo a una polèmica generada a les xarxes socials, arran de la publicació a la portada del The New York Times del 24 de maig de 2020, d’una llista de persones mortes a causa de la COVID-19. En relació amb aquesta publicació, alguns missatges es preguntaven perquè el Departament de Salut no feia el mateix, potser per tal d’evitar alguns balls en les xifres de persones mortes pel virus.
Certament, la legislació aquí aplicable no permetria una publicació equivalent a l’efectuada pel diari americà. I val a dir que l’impediment legal no prové de la normativa de protecció de dades personals, la qual amb caràcter general no s’aplica a les persones difuntes. La norma que impediria tal publicació seria la Llei catalana 10/2001, d’arxius i gestió documental, i concretament el seu article 36. Aquest precepte es refereix a la vigència temporal de les exclusions de consulta o accés a documents de les entitats del sector públic, i estableix una regla específica per al cas que els documents a consultar continguin dades personals que puguin afectar la seguretat, l’honor, la intimitat o la imatge de les persones. En tal cas, aquestes dades només poden consultar-se amb el consentiment dels afectats o quan hagin passat 25 anys d’ençà de la seva mort o, si no se’n conegués la data, 50 anys d’ençà de la producció del document.
Encara que en la publicació s’inclogués únicament el nom i cognoms, és evident que al vincular-se a la mort per la COVID-19 estaríem davant d’una dada personal de salut, que encaixaria en el concepte de dades de la intimitat per a les quals s’amplia la protecció a 25 anys més enllà de la seva mort. Val a dir que la Comissió de Garantia del Dret d’Accés a la Informació Pública (GAIP) ha esgrimit aquesta regla continguda a l’article 36 de la Llei 10/2001 per fonamentar la denegació de reclamacions d’accés a documents que contenien dades de categories especials, com seria el cas. Per tant, si no és possible consultar aquesta informació que conté dades personals relatives a la salut, encara menys seria procedent la seva divulgació, a la qual s’apliquen els mateixos límits establerts per al dret d’accés a la informació pública (art. 7.1 Llei 19/2014).
Carles San José
Consultor del sector públic, especialista en matèria de protecció de dades i transparència i professor col·laborador de dret administratiu a la UOC
[…] personals la COVID-19, particularment en alguns entorns del sector públic. L’anàlisi en aquell primer apunt el vaig dur a terme mitjançant diverses preguntes, i les respostes corresponents, sobre aspectes […]