Abans de l’estiu de l’any passat, quan estàvem encara sota l’impacte de la primera onada de la pandèmia, vaig escriure sobre l’afectació que havia tingut en el dret fonamental a la protecció de dades personals la COVID-19, particularment en alguns entorns del sector públic. L’anàlisi en aquell primer apunt el vaig dur a terme mitjançant diverses preguntes, i les respostes corresponents, sobre aspectes concrets que s’havien anat plantejant durant aquells primers mesos.
Malauradament, aquesta situació de crisi que ens ha tocat viure està durant molt més del que pensàvem inicialment. I sembla que ens acompanyarà encara durant bastants mesos, com a mínim. Així, com que l’impacte de la pandèmia en la protecció de dades manté la seva vigència, he considerat oportú fer un segon article on repassaré altres situacions problemàtiques que s’han anat donant.
Com a consideració prèvia, no està de més recordar, novament, que la vigència de la declaració de l’estat d’alarma -fins al maig de 2021- pot comportar determinades restriccions, però no pot limitar el dret fonamental a la protecció de dades personals, el qual segueix íntegrament vigent, com s’han encarregat de recordar les autoritats de protecció de dades.
En aquesta segona part de l’anàlisi de supòsits en què la pandèmia pot tenir una afectació en el dret a la protecció de dades, seguiré el mateix esquema del primer article, consistent en donar resposta a algunes preguntes que s’han plantejat o que es poden plantejar en les organitzacions del sector públic. Aquestes preguntes i respostes parteixen de pronunciaments de les autoritats de control, sobretot de l’Autoritat Catalana de Protecció de Dades (APDCAT), que al seu torn es basen en l’aplicació de la normativa de protecció de dades personals, formada essencialment pel Reglament (UE) 2016/679 (Reglament General de Protecció de Dades -RGPD-) i per la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).
Es pot comunicar la identitat de les persones contagiades en l’àmbit educatiu, entre el Departament d’Educació i el Departament de Salut?
En l’article anterior preguntava sobre la possibilitat que els centres de salut privats poguessin comunicar les dades identificatives de les persones contagiades als òrgans competents en matèria de salut. I responia afirmativament la pregunta, si tal comunicació es feia amb fins de vigilància i acció epidemiològica en la salut pública, per controlar i prevenir la propagació o incidència del virus en la població (art. 6.1.e i 9.2.j RGPD, en connexió amb la DA 17a LOPDGDD).
En la pregunta que aquí plantejo la comunicació de dades no seria entre centres de salut (privats o públics), sinó entre els centres educatius del Departament d’Educació i el Departament de Salut.
A finals de l’any passat es va sotmetre a consideració de l’APDCAT la inclusió, mitjançant un decret llei, de l’habilitació d’aquesta comunicació de dades entre els departaments esmentats, mentre es mantingués la situació de crisi sanitària per la COVID-19.
L’APDCAT es va pronunciar al respecte a través d’una nota urgent (PD 12/2020), on recordava, en primer lloc, que qualsevol tractament de dades personals que s’emparés en la base jurídica de la necessitat per al compliment d’una missió efectuada en interès públic o en l’exercici de poders públics atorgats al responsable (art. 6.1.e RGPD) ha de derivar d’una norma amb rang de llei. Així ho disposa expressament l’article 8.2 de l’LOPDGDD, el qual exigeix també que, per poder acudir al supòsit de la missió efectuada en interès públic o en l’exercici de poders públics, ha de derivar d’una competència atribuïda per una norma amb rang de llei.
Sobre l’exigència d’una noma amb rang de llei, l’APDCAT recorda que el decret llei compleix amb aquest requisit. I esvaeix qualsevol dubte sobre les limitacions que conté l’article 64 de l’Estatut d’autonomia per a aquest tipus de disposicions legislatives, com és que estan previstes per a situacions de necessitat extraordinària i urgent, i que no podrien efectuar una regulació essencial o el desenvolupament directe del dret fonamental a la protecció de dades. Al respecte, l’APDCAT precisa que la mesura legislativa esmentada només habilita un tractament determinat de dades personals, de manera que no desborda els límits dels decrets llei.
A continuació l’APDCAT subratlla que l’adequació d’un tractament al principi de licitud, pel fet de disposar d’una base jurídica, no eximeix de l’obligació de tenir en compte també la resta de principis recollits a la normativa de protecció de dades (art. 5 RGPD). I en aquest punt expressa algunes reserves, des de l’òptica del principi de minimització de les dades, que obliga a tractar només les dades que siguin adequades, pertinents i limitades al que és necessari en relació amb les finalitats perseguides.
Qualsevol mesura legislativa que habiliti un tractament de dades personals, al suposar una limitació del dret fonamental a la protecció de dades ha de resultar proporcionada, en el sentit que la restricció al dret sigui necessària i respongui a objectius d’interès general o a la necessitat de protecció dels drets i llibertats dels altres
Sobre els efectes d’aquest principi de minimització, l’APDCAT acudeix a la jurisprudència del Tribunal de Justícia de la Unió Europea i del Tribunal Constitucional, conforme qualsevol mesura legislativa que habiliti un tractament de dades personals, al suposar una limitació del dret fonamental a la protecció de dades ha de resultar proporcionada, en el sentit que la restricció al dret sigui necessària i respongui a objectius d’interès general o a la necessitat de protecció dels drets i llibertats dels altres. Això obliga a acudir al que es coneix com a “test de proporcionalitat” i que obliga a efectuar la triple anàlisi de la idoneïtat, la necessitat i la proporcionalitat en sentit estricte, a les quals ja em referia en l’article precedent, i per tant em remeto al que allà exposava.
Partint de les seves consideracions, l’APDCAT exposava que el redactat proposat podria comportar una “tramesa massiva” de dades des del Departament d’Educació al Departament de Salut, que afectaria a centenars de milers de persones, la qual cosa podria resultar contrària al principi de minimització de les dades. En efecte, com indicava l’APDCAT, el literal del precepte proposat podria no limitar-se a les persones contagiades o els seus contactes, sinó que inclouria les dades identificatives i de contacte de totes les persones de la comunitat educativa (alumnat, professorat i altre personal del centre), fins i tot de personal extern d’empreses proveïdores de serveis. I això, amb independència de si havien tingut o no contacte amb persones contagiades.
Tanmateix, la mesura normativa va tirar endavant amb el text proposat, i es va incloure en el Decret llei 48/2020, d’1 de desembre, de mesures de caràcter organitzatiu en l’àmbit sanitari, social i de salut pública per fer front a la crisi sanitària provocada per la COVID-19 i de modificació del Decret llei 30/2020, de 4 d’agost, i del Decret llei 41/2020, de 10 de novembre. En tot cas, faig notar que el precepte en qüestió faculta, però no obliga el Departament d’Educació a comunicar les dades indicades al Departament de Salut. Per tant, és de suposar que, en aplicació del principi de minimització de les dades, el Departament d’Educació no durà a terme la comunicació massiva a què facultaria la literalitat del precepte, sinó que només comunicarà les dades personals en els casos en els quals estigui justificat per fer front a la situació d’emergència sanitària, en la línia apuntada per l’APDCAT.
I els contagis de personal de residències, es poden comunicar entre aquests centres i el Departament de Salut?
També a finals de l’any 2020 es va sol·licitar a l’APDCAT l’emissió d’un informe urgent sobre la proposta d’incloure en un decret llei l’habilitació per a la comunicació de dades al Departament de Salut, del personal que treballa a centres residencials de gent gran, de persones amb discapacitat, etc., o de persones que hi col·laboren. La finalitat seria la d’assegurar la protecció de les persones residents de tots aquests centres i garantir l’efectivitat del conjunt de mesures de prevenció i protecció de la salut en entorns altament vulnerables.
L’APDCAT va emetre l’informe PD 14/2020, on es pronuncia sobre aquesta proposta normativa. Després d’efectuar unes consideracions equivalents a les que s’han indicat en la pregunta anterior, on es constata també que es compleix l’exigència d’incloure la previsió en una norma amb rang de llei, l’APDCAT considera que en aquest cas la proposta s’ajusta al principi de minimització de les dades, atesos els termes en què es formula la previsió.
Des de l’òptica d’aquest principi, l’APDCAT considera que la mesura legislativa és idònia, perquè permet assolir l’objectiu perseguit, consistent en detectar brots i monitoritzar la freqüència correcta dels cribratges entre les persones treballadores, i poder trencar les cadenes de transmissió. També accepta que es compleix el requisit de la necessitat, en el sentit que es justifica adequadament que fer proves diagnòstiques periòdiques als professionals dels col·lectius esmentats esdevé un element essencial en l’estratègia de control del virus en les residències, i per tant seria un tractament necessari.
I finalment, l’APDCAT també considera que la mesura està justificada des de l’òptica de la proporcionalitat en sentit estricte. Al respecte, en la seva argumentació es refereix a la situació de risc alt existent en aquest context residencial, no només de les persones treballadores, sinó, especialment, de les persones de qui han de tenir cura, com ho evidencien els índex de mortalitat elevadíssims en aquest àmbit. També se subratllen altres garanties, com ara que les dades només es transmetran entre les residències i el Departament de Salut, i que aquesta comunicació de dades té una vigència temporal.
Tenint en compte aquesta argumentació, l’APDCAT va informar favorablement la proposta normativa, que es va incloure també en el Decret llei 48/2020, abans referenciat.
El Departament de Salut pot elaborar un registre de persones vacunades? I de les que no s’han volgut vacunar?
Igual com en els dos casos anteriors, es va sotmetre també a consideració de l’APDCAT la possibilitat d’incloure en un decret llei la previsió a què em refereixo, relativa a la creació del Registre de Vacunació de Catalunya, del Departament de Salut, per tal d’incloure les dades relatives a la vacunació enfront de la COVID-19.
En la proposta es preveia incloure en el Registre esmentat la identificació de les persones vacunades, i també de les persones a qui no s’havia administrat la vacuna, fent constar si tal circumstància obeïa a la negativa de la persona afectada, si era per contraindicacions, o per estar en situació d’immunitat.
L’informe de l’APDCAT considerà ajustada a la normativa de protecció de dades personals la proposta normativa relativa a la creació del Registre de Vacunació de Catalunya, amb algunes observacions. En la proposta es preveia incloure la identificació de les persones vacunades, i també de les persones a qui no s’havia administrat la vacuna, fent constar si tal circumstància obeïa a la negativa de la persona afectada, si era per contraindicacions, o per estar en situació d’immunitat
L’informe de l’APDCAT sobre aquesta qüestió és el PD 15/2020, en què es pronuncià també de manera favorable a la mesura normativa proposada, sens perjudici d’efectuar algunes observacions al text proposat. Igual que en l’informe PD 14/2020, relatiu al personal de les residències, la proposta normativa del Registre de Vacunació es considerà ajustada a la normativa de protecció de dades personals i es va incloure també al Decret llei 48/2020.
Em vull referir, però, a una de les observacions efectuades per l’APDCAT. En el text aprovat -que coincideix amb el proposat i sotmès a consideració de l’APDCAT- s’indica que la informació sobre les dades de vacunació o de no-vacunació relatives de la COVID-19, que s’haguessin originat en centres sanitaris que no formessin part del sistema sanitari integral d’utilització pública de Catalunya (SISCAT) -és a dir, en el cas d’actuacions vacunals efectuada per centres privats-, s’ha d’incorporar a la història clínica compartida de Catalunya, però sempre que la persona afectada o el seu representant legal, hagués donat el seu consentiment exprés.
Al respecte, l’APDCAT feia notar en el seu informe que la informació que els centres privats facilitessin sobre la vacunació no tindria per finalitat que els centres del SISCAT prestessin assistència sanitària, de manera que la incorporació de les dades de vacunació a la història clínica compartida seria innecessària. Per això, només es podria incloure aquesta informació en la història clínica si es comptava amb el consentiment exprés de la persona afectada (art. 9.2.a RGPD).
Així les coses, cal assegurar que aquest consentiment compleixi amb tots els requisits exigits per la normativa de protecció de dades per tal de considerar-lo vàlid: lliure, informat, específic i inequívoc. En relació amb els requisits del caràcter lliure i específic del consentiment, cal tenir en compte la concurrència en el temps i en l’espai de dues accions que han de diferenciar-se clarament. La primera acció és la referent a l’administració de la vacuna, o a la seva renúncia per alguna de les circumstàncies previstes, atès que la vacunació requereix la conformitat de la persona afectada. I la segona acció es refereix a la conformitat o disconformitat de la persona afectada amb la inclusió de la informació a la seva història clínica compartida.
Davant aquesta simultaneïtat d’ambdues accions clarament diferenciades, i tenint en compte que en ambdós casos el Departament de Salut és responsable dels dos fitxers als que es remeten les dades (Registre de Vacunacions i història clínica compartida), cal assegurar que el consentiment sigui lliure i específic. En aquest sentit, d’una banda caldria informar de manera clara i precisa sobre la comunicació de les dades de vacunació o no-vacunació per a la seva inclusió al Registre de Vacunacions, tractament que no requereix el consentiment de la persona afectada. I d’altra banda, caldria informar de manera clara i diferenciada sobre la comunicació de les mateixes dades per a la incorporació a la història clínica compartida. Però en relació amb aquest segon tractament de les dades, cal informar la persona que només es comunicarà si hi dona el consentiment exprés, que ha de constar en un document específic que el centre privat ha de trametre al Departament de Salut, per tal d’incorporar-lo a la història clínica compartida.
Així, per tal de poder documentar correctament l’existència d’un consentiment vàlid, seria recomanable incloure en aquest document de consentiment que correspon signar a la persona afectada, dues caselles amb les dues opcions possibles sobre la incorporació de les dades a la història clínica compartida: a) que s’autoritza; i b) que no s’autoritza. D’aquesta manera es deixaria ben clar a la persona afectada que la vacunació no està condicionada a la prestació del consentiment o autorització per a la seva incorporació a la història clínica compartida. Com indicava abans, la simultaneïtat de les dues accions podria generar confusió a la persona afectada sobre el tractament respecte del qual presta el consentiment, per això cal exigir una diligència màxima en aquest punt, a fi d’evitar tal confusió, i assegurar que si la persona ha prestat el seu consentiment per a la incorporació de les dades a la història clínica compartida, ho ha fet de manera lliure, informada, específica i inequívoca.
Es pot comunicar la identitat d’una persona empleada contagiada a altres persones empleades de l’organització?
Quan una persona empleada resulta afectada en la seva salut, l’organització està legitimada a tractar aquesta informació, però no pot compartir-la amb altres persones treballadores. Val a dir que el concepte dada de salut té un abast molt ampli, tal com s’infereix de la definició continguda a l’article 4.15 de l’RGPD: “dades personals relatives a la salut física o mental d’una persona física, inclosa la prestació de serveis d’atenció sanitària, que revelin informació sobre el seu estat de salut”.
La informació sobre el fet que una persona ha estat contagiada de la COVID-19 o que ha estat en contacte estret amb alguna persona contagiada, seria una dada de salut, que està inclosa en les categories especials de dades. Podria ser que la persona ho comentés a les persones empleades amb les quals té una relació més directa, però el cert és que no té l’obligació de fer-ho. I en tot cas, si aquesta persona no ho comunica, en cap cas no ha de fer-ho l’organització
D’acord amb aquesta definició, la informació sobre el fet que una persona ha estat contagiada de la COVID-19 o que ha estat en contacte estret amb alguna persona contagiada, seria una dada de salut, que està inclosa en les categories especials de dades (art. 9.1 RGPD). Per tant, qualsevol tractament que es dugués a terme d’aquesta dada personal, com seria el cas de la comunicació d’aquesta dada a una altra persona empleada, requeriria que comptés amb almenys una base jurídica de les enumerades a l’article 9.2 de l’RGPD, en concurrència amb alguna de les previstes a l’article 6.1 de l’RGPD, com podria ser el consentiment exprés de la persona afectada.
Podria succeir que la persona contagiada o contacte estret ho comentés a les persones empleades amb les quals té una relació més directa, però el cert és que no té l’obligació de fer-ho. I en tot cas, si aquesta persona no ho comunica, en cap cas no ha de fer-ho l’organització. Cosa diferent seria si l’autoritat sanitària hagués ordenat que en casos com l’aquí plantejat, l’organització hagués d’informar la resta de personal del contagi d’una persona, i identificar-la, però això no s’ha ordenat en cap moment.
Per tant, si no es disposa del consentiment de la persona afectada, no es podria facilitar la seva identificació, com a persona contagiada, a d’altres persones empleades de l’organització. Al respecte d’això, per tal de protegir la salut d’altres persones empleades, podria ser necessari comunicar a aquestes l’existència d’un contagi entre el personal, però en la mesura del possible, s’hauria de facilitar sense identificació de la persona afectada.
En el marc d’un procés de selecció de personal, es pot demanar als aspirants que indiquin si han passat la COVID-19 i si tenen anticossos?
L’Agència Espanyola de Protecció de Dades (AEPD) s’ha pronunciat sobre una pràctica en l’àmbit de la contractació de personal, que s’estaria donant amb alguna freqüència en la situació de pandèmia. En concret, sembla que algunes organitzacions que han de cobrir un lloc de treball, sol·liciten a les persones interessades que informin sobre si han passat la COVID-19 i si han desenvolupat anticossos. No cal dir que aquesta informació se sol·licitaria com a requisit, o com aspecte a valorar positivament.
Tal com he indicat anteriorment, la informació esmentada es refereix a la salut d’una persona física, i per tant té la consideració de categoria especial de dades. A partir d’aquí, l’AEPD recorda que per poder recollir i tractar aquesta informació, cal poder aplicar alguna de les excepcions a la prohibició de tractament enumerades a l’article 9.2 de l’RGPD, a banda de la concurrència d’almenys una de les bases jurídiques de l’article 6.1 de l’RGPD.
L’AEPD analitza la possible concurrència de les bases jurídiques del consentiment o de l’aplicació d’un contracte o mesures precontractuals, i descarta que es pugui admetre cap de les dues. El consentiment no es podria considerar vàlid perquè no es donaria el requisit de ser lliure. Al respecte, el considerant 42 de l’RGPD precisa que el consentiment no es pot considerar lliure quan no es gaudeix d’una veritable llibertat d’elecció, o si no es pot denegar o retirar el consentiment sense patir cap perjudici. I el considerant 43 de l’RGPD posa com exemple de consentiment invàlid quan hi ha un desequilibri clar entre les parts, com seria el cas plantejat, en què el consentiment de la persona afectada estaria condicionat per la voluntat d’accedir a un lloc de treball.
El Comitè Europeu de Protecció de Dades també s’ha referit a aquesta situació de desequilibri de poder en el context de les relacions laborals, i per això adverteix de les dificultats d’admetre el consentiment de la persona que opta a un lloc de treball com a base jurídica que legitimi el tractament de les seves dades per part de l’organització.
I l’AEPD també descarta que en el present cas pogués entrar en joc la base jurídica de l’execució d’un contracte, atès que el tractament de la informació de salut esmentada (haver passat la COVID-19 i desenvolupat anticossos) no seria necessària per a la formalització o l’execució del contracte, de manera que la recollida i tractament d’aquesta dada seria excessiva i, per tant, contrària al principi de minimització de les dades (art. 5.1.c RGPD).
Per últim, en el cas que una organització que tramita un procés selectiu rebés un currículum en què la persona afectada ha inclòs voluntàriament la informació esmentada, aquestes dades s’haurien de suprimir de forma immediata, en no disposar de base jurídica que legitimés el seu tractament, de conformitat amb l’exposat anteriorment.
Carles San José
Consultor del sector públic, especialista en matèria de protecció de dades i transparència i professor col·laborador de dret administratiu a la UOC