INDICE
La Agencia Española de Protección de Datos (“AEPD”) emitió el pasado 30 de abril de 2020 un comunicado en el que muestra su preocupación por el hecho de que el reinicio de la actividad por parte de las empresas conlleve la generalización de medidas especialmente intrusivas como la toma de temperatura a empleados y clientes.
La AEPD recuerda que la toma de temperatura afecta a datos relativos a la salud de las personas, en un doble sentido. Por un lado, la temperatura corporal de una persona es, en sí misma, un dato de salud, pero, por otro, a partir de este dato se puede asumir que una persona puede tener una determinada enfermedad.
También resalta que, de acuerdo con la información facilitada hasta la fecha, las personas asintomáticas que no presentan fiebre pueden ser transmisoras del COVID-19. Por ello, hay que plantearse en qué casos la toma de temperatura resulta de utilidad y justificarlo debidamente. Como norma general, la aplicación de esta medida, y el correspondiente tratamiento de datos, debe ser determinado con carácter previo por la autoridad sanitaria competente; en este caso, el Ministerio de Sanidad, que evaluará su necesidad y adecuación.
En caso de que se implante finalmente esta medida, se deberá informar adecuadamente a los afectados y fijar plazos para la conservación de los datos que, en su caso, se recojan. La base legitimadora no debería ser el consentimiento, puesto que en muchos supuestos no se prestaría libremente (es decir, las personas afectadas no pueden negarse a que se tome su temperatura sin perder, al mismo tiempo, la posibilidad de acceso a estos establecimientos). Sin embargo, se señala como posible base de legitimación de esto tratamientos la obligación de un empresario de mantener la seguridad y la salud de los trabajadores en los lugares de trabajo.
La AEDP no prohíbe la realización de estos tratamientos. Sus recomendaciones se centran en la necesidad de adoptar esta medida de forma proporcional y justificada, cuando tenga sentido hacerlo y/o se recomiende así por las autoridades sanitarias. De hecho, la toma de temperatura se está efectuando como resultado de las pautas marcadas por algunas Administraciones. Por ejemplo, desde hace más de un mes, el Gobierno de Canarias, para evitar la propagación del Coronavirus en las islas, estaba controlando la temperatura a los pasajeros procedentes de la Península. El Gobierno publicó recientemente un decreto (accesible en el este enlace [1]) en el que extiende dicho control a todos aquellos que se desplacen por vía aérea o marítima en el ámbito de la Comunidad Autónoma de Canarias, con independencia de su procedencia.
Puede acceder al comunicado de la AEPD a través del siguiente enlace [2].
La AEPD publicó el pasado 7 de mayo 2020 un análisis en forma de guía sobre el uso de las tecnologías en la lucha contra el COVID 19. De una manera esquemática, se describen los riesgos que supone para la privacidad determinados tratamientos de datos relacionados con el uso de tecnologías. En particular, la guía se refiere a:
En relación a estas últimas, cuya instalación se están planteando muchas empresas privadas, la AEPD argumenta lo siguiente:
“La AEPD ya ha manifestado su preocupación sobre el uso de estos dispositivos y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. El uso de cámaras u otros dispositivos para registrar la temperatura de los individuos supone un tratamiento de categorías especiales de datos que debe respetar los principios de legalidad, limitación de finalidad y exactitud.
La cámara térmica y la recogida del dato solo puede entenderse como parte de un tratamiento mayor, y no se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios. En estos casos, tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud. Todo ello se puede agravar con el riesgo de fugas de información sensible y el conflicto con aquellas personas entienden la medida como una agresión a sus derechos.
En algunos entornos, como el de la normativa de prevención de riesgos laborales, la toma de la temperatura podría ser de utilidad dentro del marco de un tratamiento más extenso del que formen parte otras comprobaciones y garantías adicionales que, en todo caso, respeten los derechos y libertades establecidos en el RGPD."
Puede consultar el documento completo aquí [3].
Durante los últimos dos meses los debates de protección de datos se han centrado en aspectos relacionados con la toma de medidas para el control del COVID 19, bien por parte de los gobiernos (aplicaciones de control, estudios que utilizan datos facilitados por las operadoras, etc.), bien por parte de las entidades particulares, en relación con medidas de prevención como la toma de temperatura de los trabajadores.
Sin embargo, la AEPD no ha limitado su actividad a estos aspectos. Así, el pasado 4 de mayo publicó su Memoria de Actividad (la “Memoria”) correspondiente al año 2019.
En dicha Memoria, además de resaltar distintos aspectos organizativos y estructurales internos de la autoridad de control, se aportan datos estadísticos sobre las principales tareas realizadas por la AEPD durante el año pasado. En este sentido se indica, por ejemplo, que al cierre del citado ejercicio se habían notificado un total de 50.326 delegados de protección de datos (44.069 del sector privado y 6.257 del sector público). Llama la atención que, en el apartado de la Memoria dedicado a hacer un repaso de las consultas resueltas por el Gabinete Jurídico, varias de ellas se refieran al nombramiento de la figura del Delegado de Protección de Datos y se señala específicamente que “este Gabinete Jurídico ha resuelto varias consultas sin analizar el fondo del asunto planteado, pues éstas no acompañaban el criterio del delegado de protección de datos (…)”. Es decir, la AEPD requiere que las consultas que se remitan por parte de entidades obligadas a nombrar un delegado de protección de datos (o que lo hayan nombrado voluntariamente) incluyan el dictamen emitido por este.
También se aportan estadísticas a reclamaciones presentadas y procedimientos sancionadores abiertos. Durante 2019, se han presentado 11.590 reclamaciones, lo que supone un 11% menos que el año anterior. Sin embargo, como se explica, en este descenso hay que tener en cuenta que en 2018 se produjo un aumento importante de reclamaciones con respecto a años anteriores coincidiendo con el comienzo de la aplicación del Reglamento (UE) 2016/679 (“RGPD”).
La AEPD resalta que el RGPD ha puesto en funcionamiento un sistema de traslado de reclamaciones al responsable del tratamiento o al delegado de protección de datos para su resolución amistosa. La aplicación de este trámite ha implicado, por su parte, una reducción importante de los procedimientos sancionadores.
El segundo escenario novedoso introducido por el RGPD es el de los casos transfronterizos, en los que ya ha trabajado la AEPD durante el año 2019: “Con la aplicación efectiva del RGPD los ciudadanos pueden presentar reclamaciones ante cualquier autoridad del Espacio Económico Europeo, y las autoridades intercambiarán las reclamaciones recibidas para que sean atendidas adecuadamente. El sistema de información que soporta este intercambio es el IMI”.
Por último, destacaremos que se ha producido un incremento considerable de las notificaciones de brechas de seguridad notificadas a la AEPD y trasladadas a inspección (en 2018 fueron 16, y en 2019, 79; es decir, se ha producido un aumento de aproximadamente un 400%).
El texto completo de la Memoria de 2019 de la AEPD se encuentra disponible en este enlace [4].
El pasado 5 de febrero de 2020, la AEPD publicó una entrada en su blog relacionada con los datos que deben ser entregados al interesado cuando este ejerce el derecho a la portabilidad de sus datos.
La publicación analiza la resolución R/00552/2019 [5] que sienta un precedente en esta materia al determinar qué debe entenderse por datos “facilitados” por el usuario, concepto que delimita el alcance del derecho a la portabilidad de los datos y al que hace referencia el artículo 20 del RGPD.
La AEPD, a través de la resolución mencionada, establece que el derecho a la portabilidad de los datos incluye los datos entregados directamente por el interesado, pero también aquellos otros datos resultantes del uso del servicio contratado, como lo son los datos de consumo, tráfico y localización en el supuesto analizado por la AEPD.
No obstante, debemos resaltar que la autoridad de control española no reconoce el derecho a la portabilidad de los datos referidos a las visitas web.
Puede consultar la entrada del blog de la AEPD en el siguiente enlace [6].
El antiguo Grupo de Trabajo del artículo 29[1] había adoptado, el 28 de noviembre de 2017, las “Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 [7]”, que fueron revisadas por última vez el 10 de abril de 2018 (en adelante, las “Directrices”).
El objeto de estas Directrices era proporcionar un análisis exhaustivo de la noción de consentimiento que figura en el RGPD.
El Comité Europeo de Protección de Datos (en adelante, “CEPD”), órgano que sustituyó al Grupo de Trabajo del artículo 29 en sus funciones tras la entrada en vigor del RGPD, publicó las “Guidelines 05/2020 on consent under Regulation 2016/679” el pasado 4 de mayo, documento que actualiza las Directrices ante la necesidad de aclarar dos cuestiones relacionadas con el consentimiento en entornos digitales:
Está última cuestión, entra en contradicción con el criterio adoptado por la AEPD en su “Guía sobre el uso de las cookies [8]” publicada el pasado noviembre de 2019. En el referido documento, la AEPD consideraba como claras acciones afirmativas la navegación por parte del usuario a una sección distinta de la web, deslizar la barra de desplazamiento o incluso cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio.
Ante esta disparidad de criterios, es evidente que la AEPD deberá aclarar su posición. Desde el Departamento de Tecnologías de la Información de Ramón y Cajal Abogados, le mantendremos informado sobre las novedades que se produzcan al respecto.
Puede consultar la última versión de las Directrices en el siguiente enlace [9].
[1] El Grupo de Trabajo del artículo 29 era un órgano consultivo independiente de la UE en materia de protección de datos e intimidad. Sus funciones, entre las que se encontraba la de promover la aplicación de la normativa en materia de protección de datos en todos los estados miembros, se describían en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE.
Los dominios <.org> son dominios de primer nivel genérico administrado desde 2003 por la organización Public Interest Register (“PIR”), entidad creada por la Internet Society (“ISOC”), ambas organizaciones no gubernamentales y sin ánimo de lucro.
El registro de un dominio <.org> está abierto a todo el mundo y no se exige ningún requisito específico para su registro. Con estas características, actualmente hay más de 10 millones de registros con este dominio, sirviendo a organizaciones que no se clasifican adecuadamente en otros dominios como por ejemplo, asociaciones sin ánimo de lucro, organizaciones no gubernamentales y proyectos de software libres.
El pasado noviembre de 2019, Internet Society anunció la venta de PIR, y con ella la transmisión del dominio <.org>, a la entidad privada Ethos Capital, un fondo de inversión privado.
El hecho anterior constituye un cambio de control en el dominio <.org>. De acuerdo con los Acuerdos de Registro [10] de la Corporación de Internet para la Asignación de Nombre y Número (en adelante, “ICANN”)[1], cualquier cambio de control de un dominio de primer nivel genérico debe ser notificado y aprobado por la ICANN.
De conformidad con lo anterior, la ICANN publicó la resolución de 30 de abril de 2020 en la que rechazó la transacción en aras del interés público. Entre los principales factores que la ICANN tuvo en cuenta para rechazar el cambio de control del dominio <.org> se encuentra que Ethos Capital es una entidad privada destinada a servir sus propios intereses y que, además, no cuenta con un plan significativo para proteger o servir a la comunidad del .org.
Asimismo, la transacción supone la gestión del dominio <.org> por parte de una entidad totalmente diferente a PIR, que incluía entre su misión y su condición de entidad sin ánimo de lucro, la protección de los intereses de la comunidad del dominio <.org>.
[1] ICANN es una organización pública benéfica sin fines de lucro fundada en 1998. Su personal opera en el Sistema de Nombres de Dominio de Internet, coordina la asignación y adjudicación de los identificadores únicos de Internet, como las direcciones del Protocolo de Internet, acredita registradores de nombres de Dominios Genéricos de Alto Nivel (gTLD) y ayuda a dar voz a voluntarios de todo el mundo que se dedican a mantener la seguridad, la estabilidad y la interoperabilidad de Internet. ICANN fomenta la competencia en el espacio de nombres de dominio y ayuda a elaborar políticas de Internet.
En el BOE de ayer, de 12 de mayo de 2020, se publicó la Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad (la “Orden”). Esta disposición establece la obligación de transmisión de determinada información relacionada con posibles casos positivos de contagio de COVID-19 para aquellas las entidades públicas y privadas implicadas en el proceso de detección y atención de dichos casos. El objetivo de las comunicaciones reguladas es realizar un adecuado seguimiento del nivel de transmisión de la epidemia contrastando datos obtenidos por los diferentes agentes intervinientes en el proceso.
Según determina en el artículo 3 de la Orden, los sujetos incluidos dentro de su ámbito de aplicación son “las Administraciones Públicas, así como a cualquier centro, órgano o agencia dependiente de estas y a cualquier otra entidad pública o privada cuya actividad tenga implicaciones en la identificación, diagnóstico, seguimiento o manejo de los casos COVID-19. En particular, será de aplicación a todos los centros, servicios y establecimientos sanitarios y sociosanitarios, tanto del sector público como del privado, así como a los profesionales sanitarios que trabajan en ellos”.
La Orden prevé que se lleven a cabo distintas comunicaciones al Ministerio de Sanidad por parte de las unidades de salud pública de las comunidades y ciudades autónomas, que a su vez deberán obtener la información necesaria de los agentes intervinientes. Estas comunicaciones se efectuarán a través de la herramienta de vigilancia SiViEs que gestiona el Centro Nacional de Epidemiología del Instituto de Salud Carlos III, de acuerdo a los modelos que figuran en los anexos de la orden. En este sentido, se diferencian dos tipos de comunicaciones:
Sin embargo, la Orden no regula de forma expresa la forma en la que las unidades de salud pública recabarán la información necesaria para cumplir con las informaciones anteriores por parte de las entidades incluidas en su ámbito de aplicación. El artículo 6 de la disposición se limita a señala que las unidades de salud pública “deberán obtener diariamente información sobre los casos sospechosos y confirmados de COVID-19 de los servicios de atención primaria y hospitalaria, tanto del sistema público como del privado, así como de los servicios de prevención de riesgos laborales”.
También se establece la obligación de comunicación directa al Ministerio de Sanidad de los laboratorios autorizados en España para la realización de pruebas diagnósticas para la detección de SARS-CoV-2, que habrán de reportar, por una parte, sus datos identificativos (incluyendo persona de contacto) un buzón de correo electrónico con el formato señalado en el anexo III de la Orden, y por otra, información relativa a los pacientes a los que hayan realizado pruebas siguiendo el modelo que figura en el anexo IV.
Llama la atención el hecho de que, aparentemente, de acuerdo a la tabla que figura en dicho anexo IV se solicitará información de todos los pacientes sometidos a análisis, puesto que uno de los campos a completar es el resultado de la prueba (algo que no sería necesario si solo se hubiera de remitir pacientes infectados).
El artículo 9 de la Orden, dedicado a protección de datos, configura al Ministerio de Sanidad como responsable del tratamiento. Este artículo establece expresamente que, por lo que se refiere al deber de informar, se aplicará el artículo 14 del Reglamento (UE) 2016/679, teniendo en cuenta las excepciones y obligaciones previstas en su párrafo 5. Este precepto regula la información que se ha de facilitar al afectado cuando los datos no se obtienen directamente de él, determinando que no será preciso informarle entre otros supuestos excepcionales cuando:
“b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado”.
No obstante lo anterior, consideramos que las entidades que recogen los datos objeto de comunicación directamente del afectado (laboratorios, centros de salud, servicios de prevención propios, ajenos o mancomunados, etc.) deberían, como buena práctica, informar de la comunicación que se efectuará a las autoridades competentes como resultado del cumplimiento de esta Orden.
El texto completo de la Orden, que entra en vigor el día siguiente a su publicación, se encuentra disponible en el siguiente enlace [11].
Links
[1] http://www.gobiernodecanarias.org/boc/2020/086/002.html
[2] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos
[3] https://www.aepd.es/sites/default/files/2020-05/analisis-tecnologias-COVID19.pdf
[4] https://www.aepd.es/sites/default/files/2020-05/memoria-AEPD-2019.pdf
[5] https://www.aepd.es/es/documento/td-00195-2019.pdf
[6] https://www.aepd.es/es/prensa-y-comunicacion/blog/que-datos-deben-entregarme-cuando-ejerzo-mi-derecho-la-portabilidad
[7] https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
[8] https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf
[9] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
[10] https://newgtlds.icann.org/sites/default/files/agreements/agreement-approved-31jul17-en.html#article7.5
[11] https://www.boe.es/boe/dias/2020/05/12/pdfs/BOE-A-2020-4933.pdf
[12] mailto:nheckh@ramoncajal.com
[13] mailto:mlgonzalez@ramoncajal.com
[14] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[15] https://twitter.com/RamonyCajalAbog
[16] https://www.ramonycajalabogados.es/es/search
