Privacidad en estado de alarma y normal aplicación de la Ley
Valorar situaciones de excepcionalidad desde la lógica de la normalidad es absurdo y tergiversa cualquier debate o conclusión. Desde la reinstauración de la democracia nunca se ha declarado el estado de excepción o sitio y sólo en dos ocasiones se ha declarado el de alarma, sin que entre ellas haya relación en cuanto a los motivos y medidas adoptadas. Cada circunstancia requiere respuestas diferentes, acordes con la realidad a la que ha de hacerse frente. Pero pretender que una situación de excepcionalidad permite una aplicación excepcional de la Ley no es de recibo. Las situaciones inusuales, como lo es el estado de alarma, han de afrontarse con la normalidad de la aplicación de la Ley.
Como he tenido ya ocasión de recordar (véase aquí), la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el artículo 11 de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio. En ningún caso, además, pueden suspenderse derechos, sino tan sólo adoptar medidas que condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aun así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos deriva del artículo 18.4 de la Constitución de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma.
Ya se ha discutido si en las circunstancias que ahora vivimos la libertad de circulación ha sido o no suspendida. Sin perjuicio de que las medidas adoptadas sobre todo a partir del confinamiento generalizado y la suspensión de actividades no esenciales pueden estar en el límite de lo que puede acordarse en casos de estados de alarma, lo cierto es que por el momento no se han suspendido derechos fundamentales, aunque sí se ha limitado notabilísamente su ejercicio. Este puede ser el caso, parece, con la protección de datos de carácter personal.
Ante todo hemos de recordar de nuevo, como se ha puesto de manifiesto ya en varias ocasiones, que, como no puede ser de otro modo, tanto el Reglamento General de Protección de Datos de la Unión Europea (RGPD) como la Ley Orgánica de Protección de Datos (LOPDGDD) permiten el tratamiento de datos, incluidos datos de salud, sin el consentimiento de los afectados cuando sea necesario para atajar el coronavirus [1]. La legislación sectorial en materia de sanidad y salud pública también lo permiten, como la de prevención de riesgos laborales. Con todo este marco normativo ha de ponerse de relieve una vez más que la protección de datos ni es ni puede ni debe ser un obstáculo para la más efectiva de las luchas contra el coronavirus dentro del Estado de Derecho. Una vez más insisto en que la protección de datos apenas prohíbe hacer nada, sino que marca la línea que indica cómo deben hacerse las cosas.
Ahora se ha dado un paso más con la puesta en marcha de lo que se ha denominado “DataCOVID”, que -según informa el Gobierno- constituye un estudio de movilidad de la población para contribuir a la toma de decisiones ante el coronavirus [2]. Incluso se ha aprobado por el Ministerio de Sanidad (autoridad competente delegada con carácter general para el ejercicio de las funciones que sean necesarias para la efectividad del estado de alarma[3]) la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Esta, en definitiva, viene a poner de manifiesto que se van a utilizar masivamente las posibilidades que la geolocalización puede ofrecer a partir de los datos de los teléfonos móviles. Se trata, por un lado, de “verificar que [el usuario] se encuentra en la comunidad autónoma en que declara estar”, y por otro de analizar “la movilidad de las personas en los días previos y durante el confinamiento”. Ya se ha estudiado en detalle el contenido de dicha orden [4], por lo que no es necesario hacerlo de nuevo. Pero sí parece oportuno proponer algunas reflexiones de alcance más general.
Desde luego, como ya he puesto de manifiesto en otras ocasiones, no creo que, en estos momentos, podamos pensar que el derecho fundamental a la protección de datos esté vaciándose de contenido. Ni siquiera tras la citada Orden SND/297/2020[5]. Pero hay que ser extraordinariamente cauto para evitar cualquier riesgo de impacto irreversible en la protección de datos. Las pistas ya las dio la Agencia Española de Protección de Datos en su relevante Informe 0017/2020 [6] y el Comité Europeo de Protección de Datos lo ha advertido en su Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, adoptada el pasado 19 de marzo [7].
La cuestión, sobre el papel, no es difícil: si no es en ningún caso posible suspender el derecho a la protección de datos (recuerdo que ello tampoco sería posible ni en un estado de excepción ni de sitio), sino sólo limitar su ejercicio en lo imprescindible para combatir la situación que ha dado lugar al estado de alarma (“afrontar la situación de emergencia sanitaria provocada por el coronavirus COVID-19”, según el art. 1 del Real Decreto 463/2020); si ello es así, decía, los principios esenciales que configuran el contenido esencial del derecho a la protección de datos en ningún caso pueden violarse y la situación ha de volver a una total normalidad una vez concluido el estado de alarma. Aunque hay que advertir que la aplicación de las medidas que sean necesarias, siempre que respeten tales principios esenciales, ha de considerarse dentro de la normalidad, pues es normal que la Ley (en nuestro caso, sobre todo, el RGPD) prevea tratamientos en escenarios inusuales.
Esto es importante, pues de lo contrario podría considerarse que son admisibles medidas extraordinarias ante situaciones que también lo son. Me explico: sólo si partimos de que la Constitución prevé, con normalidad democrática, que pueden tomarse medidas para hacer frente a las situaciones no usuales que puedan llegar a producirse, podremos concluir que tales medidas han de ser tomadas en el marco de la más absoluta normalidad democrática y del más normal respeto al Estado de Derecho. Ni la democracia ni el Estado de Derecho están restringidos ni limitados por el estado de alarma. Una y otro operan con todo su rigor, como con normalidad prevé el art. 116 de la Constitución. Aplicado esto a la protección de datos, procede concluir que es normal que pueda limitarse el ejercicio del derecho a la protección de datos, pues sólo de este modo podrán analizarse desde la lógica de la normalidad democrática y jurídica las medidas que se adopten y que, al no ser extraordinarias, sino normales en el entorno en que han de aplicarse, pueden y deben ser juzgadas desde la normalidad, sin que por tanto sean justificables medidas que pretendan ampararse en una suerte de excepcionalidad que justificaría también excepcionalmente restringir los principios configuradores del derecho fundamental. Restricción que, por moverse en la lógica de la excepcionalidad, podría ser analizada y juzgada desde la excepcionalidad y, por tanto, admitiría limitaciones que sin embargo deben ser considerados inadmisibles. La excepcionalidad fáctica sólo puede y debe ser combatida desde la normalidad jurídica y democrática, lo que permite tomar medidas que, en el marco del respeto absoluto al Estado de Derecho, estén dirigidas a acabar cuanto antes con aquélla situación fáctica. Por tanto los derechos (en plural) pueden estar sujetos a las limitaciones que sean imprescindibles, pero nunca el Derecho, con mayúsculas y en singular, porque precisamente el Derecho es lo que permite hacer frente, con normalidad jurídica, la situación de anormalidad que ha de afrontarse.
En este escenario, las medidas que se adopten en materia de protección de datos para acabar cuanto antes con la pandemia han de ser las que con normalidad jurídica y democrática pueden e, incluso, deben adoptarse en tales circunstancias. Respetando en todo caso los principios que enumera el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva. Ninguno de estos principios cede en el estado de alarma. Y todo ello bajo la supervisión de las autoridades de protección de datos; en particular, de la Agencia Española de Protección de Datos, cuyas competencias en este ámbito, por lo demás, en ningún caso pueden ser sustraídas ni ejercidas por las autoridades competentes delegadas a que se refiere el Real Decreto 463/2020, pues la existencia misma de una autoridad de control independiente forma asimismo parte del contenido esencial del derecho a la protección de datos, tal como se desprende del artículo 8.3 de la Carta delos derechos fundamentales de la Unión Europea.
Por cierto, es llamativo y difícilmente comprensible que ante una situación como el estado de alarma, que por definición afecta al ejercicio de los derechos fundamentales, el Ministerio de Justicia no sea una de las autoridades competentes según el artículo 4.2 del citado Real Decreto 463/2020. Artículo que, como digo, no puede en ningún caso interpretarse en el sentido de entender que el Ministerio de Sanidad asume las funciones de la Agencia, pues, pese a que dicho precepto dispone que este Ministerio será autoridad competente delegada “en las áreas de responsabilidad que no recaigan en la competencia” de alguno de los Ministerios de Defensa, Interior o Transportes, lo cierto es que la protección de datos no es responsabilidad del Ministerio de Justicia (como he dicho, no incluido en esta breve relación, y por tanto sujeto a la asunción residual de competencias en favor del de Sanidad), sino de la Agencia, sin perjuicio de que ésta se relacione con el Gobierno a través del Ministerio de Justicia (art. 44.1 LOPDGDD).
Lo anterior es totalmente trasladable a los tratamientos de datos previstos en la Orden SND/297/2020. Que por lo demás no es que sean autorizados por dicha Orden (que tiene la naturaleza de acto administrativo y no de disposición de carácter general) sino que son preexistentes a la misma, pues en definitiva lo que en ella se hace no es autorizar o regular una serie de tratamientos que permitan la geolocalización o estudiar la movilidad de, parece, cualquier cliente de operadores móviles, sino establecer una relación de responsable-encargado en los tratamientos a que se refiere. En un caso (geolocalización) el responsable es el Ministerio de Sanidad y el encargado la Secretaria General de Administración Digital; en el otro (estudio de movilidad de la población), el responsable es el Instituto Nacional de Estadística y los encargados “los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo”.
Pues bien, la situación de excepcionalidad no admite una aplicación excepcional o incluso inaplicación de la Ley, sino la más normal de sus aplicaciones. Y en este sentido, los tratamientos a que se refiere la Orden han de basarse en un título habilitante que los haga lícitos (título que sin duda puede encontrarse en el artículo 6.1.d) y e) y en varios apartados del artículo 9.2, ambos del RGPD) y deben respetar el resto de principios de la protección de datos que antes he recordado. Entre otros los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación. Y en particular el principio de responsabilidad proactiva, que a su vez exige tener en cuenta la protección de datos desde el diseño y por defecto (especialmente importante cuando se trata de desarrollar una aplicación informática para el apoyo en la gestión de la crisis sanitaria), la realización de una evaluación de impacto a la protección de datos (pues se dan sin duda las condiciones previstas en el artículo 35 del RGPD) y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 del RGPD, que además debe hacerse público, según el art. 31.2 de la LOPDGDD. Por otra parte es imprescindible informar a los interesados en los términos previstos, según los casos, en los artículos 13 y 14 del RGPD salvo que se acredite que se dan algunas de las circunstancias que prevén los apartados 4 y 5, respectivamente, de ambos artículos. Por otra parte, deberán aplicarse las previsiones del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones[8]. Todas estas circunstancias han de ser tenidas en cuenta y hemos de suponer que así ha sido. La supervisión de la Agencia Española de Protección de Datos pasa a ser de nuevo capital. Así como, por supuesto, el acceso a la vía judicial en su caso, como ha advertido el Comité Europeo de Protección de Datos precisamente en relación con el posible uso de datos de geolocalización a partir del uso de los móviles [9].En este sentido es muy relevante el Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus [10], hecho público días antes de la aprobación de la orden, en el que se admite la posibilidad de su desarrollo y uso, pero con estricto respeto a los principios del derecho a la protección de datos.
Dicho lo anterior, que se trate de soluciones, las previstas en la Orden de 27 de marzo, que parecen haber resultado positivas en otros países, es un elemento muy a tener en cuenta, sin duda, pero no definitivo. Hay que tener en cuenta varias circunstancias.
Por un lado, es imprescindible conocer la situación real en la que tales medidas van a ser aplicadas. No sólo por parte de los poderes públicos que van a ponerlas en marcha, sino también por todas las personas que vamos a ser destinatarios de las mismas. En este sentido, la transparencia en cuanto a la transmisión de la información por parte de las autoridades competentes en los términos del Real Decreto 463/2020 es imprescindible. Los datos han de ser reales, sean los que sean. Y en este sentido debería aclararse cuanto antes el alcance de la preocupante Nota del Presidente del Tribunal Superior de Justicia de Castilla-La Mancha hecha pública el 6 de abril, en la que, de forma muy bien motivada y documentada, advierte que los enterramientos por coronavirus en esa Comunidad Autónoma superan en mucho a los datos oficiales, tal como se desprende de los datos recogidos de los Registros Civiles y en particular de los certificados de defunción[11], lo que incluso ha llevado a iniciar un expediente gubernativo (Expediente 49/2020) “dirigiendo prevención a los Jueces Encargados de los Registros Civiles para que, en lo sucesivo, se vele por que se haga una identificación lo más precisa posible de la causa inicial o fundamental de la muerte en todos aquellos casos en los que aparezcan procesos patológicos o causas o intermedias que puedan considerarse compatibles o sospechosos con el Coronavirus Covid”.
Por otra parte, es seguro que ya se han debido realizar las evaluaciones necesarias para concluir qué tipo de aplicación, qué tratamiento de datos basado en las técnicas de big data y qué medidas se han adoptado o deben adoptarse para garantizar plenamente el derecho a la privacidad de las personas. La propia orden en su punto cuarto se remite a la legislación de protección de datos, cuya plena aplicación, en los términos de normalidad que he apuntado, ha de darse por descontada [12]. Pero no podemos olvidar que hay voces que, incluso fuera de nuestras fronteras y referidas a experiencias semejantes a la nuestra, han expresado sus cautelas frente a las técnicas basadas en la geolocalización. Me refiero por ejemplo al interesantísimo Libro Blanco sobre “Decentralized Privacy-Preserving Proximity Tracing”, elaborado por investigadores de diversos centros europeos, con una destacada intervención de la investigadora española Carmela TRONCOSO [13], incluyendo un detallado estudio de las medidas de seguridad que deben implantarse[14]. Documentos que apenas se han hecho públicos el pasado día 3 de abril. Por su parte el Supervisor Europeo de Protección de Datos ha abogado por el uso de la tecnología para acabar con el virus y ha instado a poner en marcha una pan-Europea “COVID-19 mobile application”, coordinada a nivel de la Unión Europea, al objeto de evitar las posibles diferencias que puedan existir entre las aplicaciones que vayan desarrollándose en cada país.
En fin, una última consideración que no es necesario resaltar: cualquier medida adoptada para hacer frente a la crisis del coronavirus ha de cesar en cuanto la situación excepcional en la que se enmarca desaparezca. También esto encaja dentro de la normal aplicación de la Ley y el Derecho. Las sucesivas prórrogas del estado de alarma traen consigo, en lo que sea necesario, la ampliación de la vigencia de las medidas adoptadas en su aplicación, pero, como advierten con carácter general en relación con las medidas adoptadas con ocasión de los estados de alarma, excepción y sitio GARCIA DE ENTERRIA y Tomás Ramón FERNANDEZ, justificadas “precisamente por las circunstancias excepcionales que tratan de resolver, pierden todo sentido cuando estas circunstancias desaparecen. Restablecida la normalidad, no es necesario siquiera proceder a su derogación formal y expresa para que tal derogación se estime producida” [15].
Al recuperarse la normalidad fáctica, volverá por tanto a restablecerse el pleno ejercicio de los derechos y entre ellos el de la protección de datos. Pero habremos de estar especialmente atentos y cautelosos, y aquí los prestadores de servicios y sobre todo los poderes públicos deberán ser especialmente responsables, al objeto de garantizar que en efecto las limitaciones al derecho han quedado sin efecto y que por tanto, por ejemplo, ya no están siendo geolocalizados masivamente nuestros móviles. Porque mientras que la recuperación del resto de los derechos podrá y deberá ser evidente, la de la privacidad puede pasar desapercibida porque su violación pasa asimismo desapercibida. Esa es la gran diferencia entre el derecho a la privacidad y el resto de derechos: pueden estar vulnerando nuestra privacidad sin que para nada seamos conscientes de ello; lo seremos cuando se produzcan en su caso las consecuencias de la violación, pero no antes. Y será difícil que pueda demostrarse que ya no estamos sometidos a una vigilancia constante que por lo demás en cualquier caso es posible. Y que incluso en un estado de alarma puede ser hasta necesario para conseguir la finalidad requerida: acabar con la pandemia.
Se trata, en definitiva, de garantizar que cualquier medida que se adopte y que pueda afectar a la protección de datos no sitúe a este derecho en estado de alarma, sino que permita acabar cuanto antes con el estado de alarma. Para lo cual, como ha advertido el Supervisor Europeo [16], tales medidas han de ser temporales, para finalidades determinadas, que impliquen el acceso limitado a los datos que sean imprescindibles y, muy importante, siendo conscientes de que volveremos a la normalidad. Lo que en definitiva no es más que la aplicación normal del marco jurídico que regula el derecho fundamental a la protección de datos de carácter personal.
NOTAS
[1] Entre otros, MARZO PORTERA, Ana, “La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19” en Expansión-Hay Derecho, 18 de marzo de 2020. Puede consultarse en https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/; MARTINEZ, Ricard, “A la muerte por protección de datos”, en http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/; Yo mismo en “La protección de datos durante la crisis del coronavirus”, Newsletter del Consejo General de la Abogacía Española: https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/.
[3] Art. 4 del Real Decreto 463/2020, pro el que se declara el estado de alarma. Corresponden al Ministerio de Sanidad todas las funciones que no correspondan a los Ministerios de Defensa, Interior y Transportes, Movilidad y Agenda Urbana.
[4] MARTINEZ, Ricard, “Protección de datos y geolocalización en la Orden SND/297/2020”, https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/
[5] Ricard MARTINEZ considera que “Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría”.
[6] https://www.aepd.es/es/documento/2020-0017.pdf
[8] De él me he ocupado en “Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones”, en Revista Derecho Digital e Innovación, Wolters Kluwer, nº 3.
[9] Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, citada más atrás.
[11] http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunales-Superiores-de-Justicia/TSJ-Castilla-La-Mancha/En-Portada/El-numero-de-licencias-de-enterramiento-expedidas-por-los-registros-civiles-de-Castilla-La-Mancha-en-marzo-de-2020-aumenta-un-96-3—respecto-al-mismo-mes-del-ano-anterior
[12] Aunque lo cierto es que no parece que lo más adecuado sea afirmar, como hace el citado punto cuarto, que “lo dispuesto en esta orden se entiende sin perjuicio de la aplicación del régimen previsto” en el RGPD y la LOPDGDD. Esta afirmación sólo puede ser interpretada en el sentido de que la aplicación de la orden se someterá totalmente y sin excepción alguna a la normativa sobre protección de datos. Quiero pensar que se trata tan sólo de una redacción propia de la urgencia en aprobar la orden.
[13] https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf
[14] https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Data%20Protection%20and%20Security.pdf
[15] Curso de Derecho Administrativo, Vol. I, Thomson Reuters-Civitas, Cizur Menor, 18 edición, 2017.
[16] EU Digital Solidarity: a call for a pan-European approach against the pandemic, citado más atrás.
Catedrático de Derecho Administrativo. Ha sido Director de la Agencia Española de Protección de Datos entre 2002 y 2007.