Protección de datos en el Real Decreto-Ley de la “Nueva Normalidad”


Hoy se ha publicado en el BOE el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, ese Real Decreto-Ley que va regir la llamada “Nueva normalidad” “hasta que el Gobierno declare de manera motivada y de acuerdo con la evidencia científica disponible, previo informe del Centro de Coordinación de Alertas y Emergencias Sanitarias, la finalización de la situación de crisis sanitaria ocasionada por el COVID-19”, una vez que el Estado de Alarma decaiga o los diferentes territorios superen la fase III del Plan para la Transición hacia una Nueva Normalidad.

En el texto de este Real Decreto-Ley, además de las ya conocidas obligaciones de uso de la mascarilla en las vías o espacios públicos cuando no sea posible mantener la distancia de seguridad de 1,5 metros y en los medios de transporte de cualquier tipo, las obligaciones de seguridad e higiene en los centros de trabajo o los centros, servicios y establecimientos sanitarios, o en los centros docentes o en los establecimientos comerciales, entre otros, también existe una regulación específica de protección de datos en el “desarrollo y aplicación del presente real decreto-ley”. Se trata del artículo 27 que señala lo siguiente:

1. El tratamiento de la información de carácter personal que se realice como consecuencia del desarrollo y aplicación del presente real decreto-ley se hará de acuerdo a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en lo establecido en los artículos ocho.1 y veintitrés de la Ley 14/1986, de 25 de abril, General de Sanidad. En particular, las obligaciones de información a los interesados relativas a los datos obtenidos por los sujetos incluidos en el ámbito de aplicación del presente real decreto-ley se ajustarán a lo dispuesto en el artículo 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, teniendo en cuenta las excepciones y obligaciones previstas en su apartado 5.

2. El tratamiento tendrá por finalidad el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas al amparo de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Los datos recabados serán utilizados exclusivamente con esta finalidad.

3. Los responsables del tratamiento serán las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad, en el ámbito de sus respectivas competencias, que garantizarán la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.

4. El intercambio de datos con otros países se regirá por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, teniendo en cuenta la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58.ª Asamblea Mundial de la Salud celebrada en Ginebra el 23 de mayo de 2005″.

Como se puede observar, las cuestiones más relevantes de este artículo son:

  • Específicamente se establece que los tratamientos de datos como consencuencia del desarrollo y la aplicación del Real Decreto-Ley deberán cumplir la normativa vigente de protección de datos (tanto el el Reglamento (UE) 2016/679 como nuestra Ley Orgánica 3/2018 y particularmente el cumplimiento del derecho de informacion cuando los datos personales no se hayan obtenido de la persona interesado (parece que para el Real Decreto-Ley 21/2020 como que el derecho de información cuando los datos se obtengan directamente de la persona interesada no es tan importante)
  • Una de las bases jurídicas del tratamiento de datos se encontrarán en la Ley 14/1986, de 25 de abril, General de Sanidad. Concretamente en sus artículos 8.1 (realización de los estudios epidemiológicos para la prevención de los riesgos y la planificación y evaluación sanitaria) y 23 (Creación de Registros y análisis de información necesarios para conocer las distintas situaciones de las que puedan derivarse acciones de intervención de la autoridad sanitaria).
  • La finalidad de los tratamientos de datos EXCLUSIVAMENTE será el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, por razones de interés público de salud pública, y para la protección de intereses vitales de las personas afectadas.
  • Los responsables del tratamiento de los datos serán únicamente las ADDmnistarciones Públicas, en función de sus competencias (básicamente Comunidades Autónomas y Ministerio de Sanidad).
  • Estas Administarciones Públicas deben aplicar en el tratamiento de los datos las medidas de seguridad correspondientes, tras el pertinente análisis de riesgos y teniendo en cuenta el Esquena Nacional de Seguridad.
  • El intercambio de datos con otros paises deberá regirse por el Reglamento (UE) 2016/679 y específicamente por la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58.ª Asamblea Mundial de la Salud celebrada en Ginebra el 23 de mayo de 2005

De la lectura de esta regulación específica de protección de datos de acuerdo al Real Decreto-Ley de “Nueva Normalidad”, me surgen varias preguntas : ¿es que acaso las entidades privadas no pueden tratar datos como consecuencia del desarrollo y aplicación del presente real decreto-ley?, ¿el tratamiento de datos que realicen las entidades privadas no tiene ninguna especificidad en esta “Nueva normalidad” y por tanto, se aplicarían las reglas generales?, ¿en desarrollo y aplicación de este Real Decreto-Ley se pueden realizar tratamientos que antes del COVID-19 no estarían legitimados como el control de temperatura en el acceso a recintos públicos?

Sin duda, a lo largo de estos meses (y esperemos que no sean años) de “Nueva normalidad”, estas cuestiones sobre protección de datos se irán solventando o no…

Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .