Entradas

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (IV)

Este es el cuarto y último post de esta serie sobre el uso del reconocimiento facial en los estadios de fútbol. En el primero, que puede leerse AQUÍ, se analizaron las cuestiones más generales acerca del reconomiento facial. En el segundo, disponible AQUÍ, se abordó la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que se analizó el caso danés. En el tercero, AQUÍ, se presentó la regulación francesa sobre la cuestión. Pasamos finalmente a analizar el caso de Países Bajos, el de Italia y el de España, tras lo que podrán encontrarse unas conclusiones.

10) Ajax (Países Bajos)

El Ajax Football Club ha recurrido a la tecnología de autentificación facial para verificar la identidad de los compradores de entradas y mejorar la seguridad de sus aficionados.

El club de fútbol holandés implantó hace unos años Mobile Verify, un sistema de verificación que desarrolló y que requiere que los clientes presenten una foto de su documento de identidad, además de un selfie. A continuación, el software utiliza la inteligencia artificial para analizar el documento de identidad presentado y asegurarse de que es un documento auténtico. También utiliza algoritmos de coincidencia biométrica para verificar que la identificación presentada es utilizada por su legítimo propietario.

Si leemos la política de privacidad del estadio de fútbol Johan Cruijff Arena (Ajax) hay una mención expresa al tratamiento realizado por reconocimiento facial. A saber:

«Para su seguridad y la nuestra, el Johan Cruijff Arena utiliza una cámara de vigilancia. No almacenamos las imágenes por más tiempo que el requerido por la ley. Conservamos las imágenes de las cámaras para cumplir con las obligaciones legales, como las órdenes judiciales relativas a la detección y persecución de delitos. Podemos transferir estos datos personales a las autoridades competentes para proteger nuestros derechos y propiedades. No es posible eliminarlos. En algunos casos, las imágenes de la cámara pueden ser procesadas para obtener servicios adicionales. Por ejemplo, el Arena puede darle acceso al estadio a través del reconocimiento facial. Esto sólo se hace si usted lo autoriza explícitamente. Además, durante los eventos que se celebran en el Johan Cruijff Arena, se toman fotos y vídeos del público para que tenga un recuerdo duradero de su visita. A continuación, puede ver y guardar estas imágenes para su uso personal. Estas tomas se retiran 48 horas después del evento. El Johan Cruijff Arena basa este servicio en el interés legítimo» [1].

En este caso, la base jurídica utilizada en el estadio del Ajax para autorizar el uso del reconocimiento facial parece ser el consentimiento del interesado. Y con respecto a las fotos y vídeos tomados por el público durante el partido, la base legal es el interés legítimo. Por lo tanto, a falta de más información, deducimos que estas fotos y vídeos no forman parte de un sistema de reconocimiento facial.

Por otro lado, el ayuntamiento de Ámsterdam está experimentando con tecnología de reconocimiento facial en el Johan Cruijff Arena y sus alrededores, en colaboración con la policía nacional. Este proyecto consiste en el reconocimiento automático de personas buscadas por la policía.

Pero, ¿por qué se realizan estos experimentos en torno al Johan Cruijff Arena?

El Johan Cruijff Arena quiere ser uno de los estadios de fútbol más seguros. El objetivo de la policía, el ayuntamiento y el Johan-Cruijff Arena es que, a partir de esta demostración, el debate sobre el uso y los riesgos del reconocimiento facial pueda llevarse a cabo mejor, sobre todo con más información práctica y que, en consecuencia, el reconocimiento facial en la esfera pública pueda utilizarse en situaciones específicas y tras una cuidadosa consideración y análisis. En este cuidadoso estudio la subsidiariedad es un principio importante. Esto significa que el reconocimiento facial no debe utilizarse si el uso de un medio menos intrusivo produce un resultado equivalente. Por lo tanto, este estudio también pretende examinar indirectamente esas posibles alternativas menos invasivas a nivel tecnológico.

11) Udinese y el caso Balotelli (Italia)

Un sistema de reconocimiento facial que permite identificar y bloquear en espacios de acceso al estadio a los aficionados que tienen prohibida la entrada al mismo fue probado por el Udinese con motivo de la final del Campeonato Europeo Sub-21.

En Italia el reconocimiento facial ha sido parte de un largo debate con voces que, para combatir el racismo dentro del mundo del fútbol, han apoyado el uso de esta tecnología, y opiniones que, en cambio, han sido mucho más críticas o cautelosas. El asunto estaba en el punto de mira de los medios de comunicación, principalmente por los reiterados cánticos e insultos racistas proferidos en 2019 y 2020 por aficionados del Verona, la Lazio y otros equipos contra Mario Balotelli.

Entre los críticos del uso de esta tecnología, en referencia a un caso aplicado a la Premier League, está Guido Scorza: una voz autorizada dado que hoy es miembro del Colegio del Garante para la protección de datos personales en Italia, que el 20 de agosto de 2019 escribió un artículo en L’Espresso criticando el uso de esta tecnología en los estadios de fútbol. «Nuestra identidad personal vale más que una tarde sin cola en el estadio» (…). En Manchester estarían pensando en usar la cara como entrada (ticket) cuando la tecnología pone ahora a disposición decenas de soluciones más respetuosas con la privacidad pero capaces de garantizar el mismo resultado o casi».

Por otro lado, Antonello Soro, ex presidente de la Garante per la protezione dei dati personali italiano, en una entrevista efectuada por parte de AlgorithmWatch cuando aún estaba en el cargo reconoció que «el contexto absolutamente peculiar de un estadio [de fútbol] es uno… en el que… el uso extensivo de tecnologías biométricas… es]… más evidente». Por ello, las protecciones son aún más importantes. Y, dado que los «peculiares peligros» de la vigilancia biométrica – «especialmente cuando es instrumental para la toma de decisiones algorítmicas»-, Soro pidió «precauciones adicionales» antes de implantar estos sistemas. En particular, deben hacerse “de acuerdo con la ley y requerir una DPIA”, expresó.
En contraste con estas opiniones, el mundo del fútbol e incluso la política han defendido otras posiciones (al menos antes de que estallara la pandemia). En febrero de 2020, el ministro de Políticas de Juventud y Deportes, Vincenzo Spadafora, anunció que el gobierno italiano iba a probar y desplegar «nuevas tecnologías para apoyar el trabajo de las fuerzas policiales» en los estadios de fútbol de todo el país.

Spadafora no especificó a qué «nuevas tecnologías» se refería. Pero otros lo hicieron. Luigi De Siervo, director general de la Lega Serie A, la principal liga de fútbol italiana, dijo: «Tenemos que atrapar uno por uno a los que están arruinando este maravilloso deporte. Con el reconocimiento facial es posible: este es el trabajo silencioso que se está haciendo».
El director de la Federación Italiana de Fútbol (FIGC), Gabriele Gravina, también se refirió a la misma idea: «Gravina también expresó el posible uso de la tecnología en la lucha contra el racismo en los estadios de la Serie A: «Puede ser un medio muy importante a medio-corto plazo. Nuestro proyecto a largo plazo implica un proceso de educación y formación en las escuelas, y el uso de la tecnología conducirá a un reconocimiento facial de alta definición de los individuos culpables de estos actos.»

12) Real Madrid (España)

Por otro lado, hay otros casos de grandes clubes de fútbol como el Real Madrid que, al parecer, o al menos ello se colige de su política de privacidad, todavía no utilizan el reconocimiento facial en el estadio. Tal es el caso del Santiago Bernabéu (se menciona la palabra videovigilancia, sin especificar el tipo de tecnología que lleva este dispositivo). Desconocemos si la proyección del nuevo estadio conllevará el uso de nuevas tecnologías que deberán cumplir, en caso de que se implanten realmente, con la normativa vigente en materia de protección de datos personales en España.
Compartimos por el momento el fragmento relacionado con el termino videovigilancia incluido en la política de privacidad de la web del Real Madrid, relativo a los adquirentes de entradas para eventos o partidos y asistentes. A saber:

“Control de cumplimiento y seguridad, lo que incluye el asesoramiento y defensa jurídica al Club, control de cumplimiento normativo, seguridad en nuestras instalaciones, incluso por medio de videovigilancia, así como seguridad en partidos fuera de nuestras instalaciones (incluida la realización de un listado de afición local), encontrándonos legitimados para ello por el interés legítimo que ostenta el Club en garantizar el correcto desarrollo y seguridad en nuestras actividades, así como por ser necesario para asegurar el interés público y el cumplimiento de normativa a la que estamos sujetos (entre otras, la Ley 19/2007 contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte y la normativa que la desarrolla)”

13) Conclusiones

La declinación concreta en cada nación europea del RGPD y la diferente cultura y sensibilidad a la hora de interpretar el trade off entre seguridad y privacidad puede dar lugar, aun compartiendo los mismos principios regulatorios, a diferentes interpretaciones sobre un tema que no podemos negar que es especialmente delicado porque protege dos derechos fundamentales esenciales en una sociedad democrática, que deben equilibrarse adecuadamente y aplicarse respetando todas las garantías constitucionales y normativas.

La tecnología de reconocimiento facial ofrece muchas posibilidades para el control de acceso al estadio, pero dicha tecnología está sujeta a requisitos especialmente estrictos en virtud del RGPD, ya que implica el tratamiento de datos biométricos y, como tal, entra en el ámbito del artículo 9 para categorías especiales de datos. El establecimiento de una base jurídica válida puede variar un poco de un país a otro dentro de la UE debido a las diferencias en la aplicación de las leyes y reglamentos nacionales. El uso de la DPIA y la consulta previa a través de la Autoridad Nacional de Protección de Datos es de suma importancia en estos casos. Pero no sólo eso, también será imprescindible que el club de fútbol se asegure de que el tratamiento de los datos personales es absolutamente necesario para las actividades que realiza, y que no existen otros métodos disponibles para lograr esta finalidad que no impliquen el tratamiento de datos personales, sensibles o especiales. Además, será fundamental documentar las decisiones relativas al uso del reconocimiento facial. Si el club decide que su tratamiento es legítimo y legal, debe justificar su decisión y las otras opciones que ha explorado para demostrar que ha explorado otras vías y que cree que su tratamiento sigue siendo legal.

Asimismo, utilizar las medidas técnicas y de seguridad adecuadas. Es esencial que, si el club de fútbol decide procesar datos personales, estos datos se mantengan organizados y seguros y se eliminen tan pronto como ya no sean necesarios.

Por otro lado, es interesante subrayar que existen contrastes y opiniones divergentes -por ejemplo, en Italia y Francia- sobre el uso de la tecnología en los estadios de fútbol entre, por un lado, los miembros del gobierno, los clubes de fútbol y/o los directivos de fútbol y, por otro, las autoridades de protección de datos.

El debate igualmente abierto a nivel técnico, además. ¿Es necesario utilizar el reconocimiento facial o hay otras tecnologías o procedimientos menos invasivos que pueden producir resultados similares? De hecho, la última resolución del Parlamento Europeo (21 de enero de 2021) pide a la Comisión que evalúe las consecuencias de una moratoria en el uso de sistemas de reconocimiento facial por parte de las autoridades estatales en lugares públicos y espacios semipúblicos, como los aeropuertos, hasta que se considere que las normas técnicas son plenamente conformes con los derechos fundamentales.

Finalmente, no podemos olvidar que un estadio de fútbol, aunque pueda ser de propiedad y gestión privada, acoge eventos abiertos al público, expuestos a riesgos colectivos. Entonces, ¿cuál es el coste que queremos pagar para entrar en el estadio? ¿Nuestra privacidad o nuestra seguridad?

NOTAS

[1] For both your and our own safety, the Johan Cruijff Arena uses camera surveillance. We do not keep the images longer than the legally required period. We keep these camera images to comply with legal obligations such as court orders regarding the detection and prosecution of criminal offenses. We may transfer this personal data to the competent authorities to protect our rights and property. It is not possible to unsubscribe from this. In some cases, camera images may be processed for additional services. For example, the Arena can give you access to the stadium by facial recognition. This only happens when you explicitly authorize it. In addition, photos and videos are made of the public during events in the Johan Cruijff Arena to give you a lasting memory of your visit. Later, you can view and save these images for personal use. This footage is removed 48 hours after the event. Hereby the Johan Cruijff Arena bases this service on legitimate interest.

 

LEA EL RESTO DE POST DE LA SERIE:

 

 

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (III)

Este es el tercer post de esta serie sobre el uso del reconocimiento facial en los estadios de fútbol. En el primero, que puede leerse AQUÍ, se analizaron las cuestiones más generales acerca del reconomiento facial. En el segundo, disponible AQUÍ, se abordó la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que se analizó el caso danés. Pasamos ahora a presentar la regulación francesa sobre la cuestión.

9) Metz (Francia)

Recientemente, una herramienta de análisis de vídeo dotada de inteligencia artificial y aprendizaje automático desató una gran polémica en Francia. Sin ser nombrado específicamente, el FC Metz recibió una advertencia de la CNIL (Commission Nationale del’Informatique et des Libertés). En su comunicado, la CNIL explica cómo la práctica puesta en marcha por el club francés contraviene la legislación vigente, afirmando que el sistema de reconocimiento facial para identificar automáticamente a los aficionados en el estadio de fútbol no cumple la legislación sobre protección de datos.

Según informó el club FC Metz en Twitter «para hacer cumplir las prohibiciones del estadio, se ha probado una solución de coincidencia facial[1] (“comparaison faciale »). Por lo tanto, sólo se aplica a los que no pueden acceder al estadio».

El debate se volvió aún más espinoso cuando el ministro de deportes francés comentó el 31 de enero de 2021 que «Estos experimentos [de reconocimiento facial] se quieren potenciar en  grandes eventos deportivos que organice Francia y en otros eventos deportivos en los que Francia pueda exportar sus conocimientos.»

¿Cuál es el marco normativo en Francia?

Además del GDPR y de las leyes francesas de protección de datos, aplica el código deportivo francés.

El artículo L. 332-1 del Código del Deporte establece que los organizadores de eventos deportivos pueden rechazar o anular la emisión de entradas para dichos eventos o negar el acceso a quienes hayan infringido las disposiciones de las condiciones generales de venta o de los reglamentos internos relativos a la seguridad de dichos eventos.

El mismo artículo autoriza a los organizadores de eventos deportivos a aplicar «el tratamiento automatizado de datos personales relativos a las infracciones» para garantizar la seguridad de los eventos deportivos. Este tratamiento debe estar previsto en las condiciones generales de venta o en el reglamento interno.

Estas prohibiciones de acceso a los estadios de fútbol, que tienen por objeto contribuir a la seguridad de los acontecimientos deportivos impidiendo el acceso a determinadas personas y que son decididas por los organizadores de los acontecimientos deportivos, deben distinguirse de las prohibiciones judiciales o administrativas de acceso a los estadios, que sólo pueden ser impuestas por las autoridades judiciales.

En la práctica, el registro de una persona en un proceso de prohibición en un estadio de fútbol permitirá que el sistema de venta de entradas del estadio se niegue automáticamente a emitir una entrada en su nombre. Además, los guardias de seguridad pueden negar el acceso a la instalación deportiva a una persona inscrita en este tratamiento, aunque tenga una entrada válida.

En particular, las condiciones de aplicación de estos tratamientos se especifican en las disposiciones de los artículos L. 332-1 y R. 332-14 y siguientes del Código del Deporte, en particular en lo que respecta a:

  • La finalidad de dicho tratamiento;
  • Las categorías de datos que pueden tratarse
  • La duración de estos datos
  • Las categorías de destinatarios de estos datos;
  • Así como las normas aplicables a la información de los particulares (mediante la publicación o la entrega de un documento concreto).

A este respecto, si bien el artículo R. 332-15 del Código del Deporte francés prevé que la fotografía asociada de una persona puede ser tratada para la gestión de las prohibiciones de acceso a los estadios de fútbol, no permite expresamente la implantación de un dispositivo biométrico basado, en particular, en estas fotografías.

Veamos qué dice el artículo R332-15 citado anteriormente:

«En el tratamiento previsto en el artículo R. 332-14 sólo podrán registrarse los siguientes datos e informaciones personales:
1° Datos identificativos: apellidos; nombre; fecha y lugar de nacimiento; dirección o lugar de residencia; dirección de correo electrónico; número de teléfono; número de tarjeta de suscripción y fotografía asociada, si procede;
2° Los motivos de inscripción que constituyan una violación de las disposiciones de las condiciones generales o de los reglamentos internos relativos a la seguridad de los acontecimientos deportivos, en particular los que se deriven de los siguientes hechos:

a) Un acto que pueda provocar el odio o la violencia en los campos deportivos o en sus inmediaciones;

b) Un acto que pueda poner en peligro la seguridad de las personas y los bienes en el recinto deportivo o en las inmediaciones del evento deportivo;

c) Entrar en el recinto deportivo en estado de embriaguez o bajo la aparente influencia de las drogas; introducir y consumir bebidas alcohólicas y/o drogas en el recinto deportivo;

d) Introducir en el recinto deportivo cualquier objeto que pueda constituir un arma o poner en peligro la seguridad de personas o bienes;

3° Decisiones tomadas:

a) Naturaleza de la medida: suspensión, anulación o imposibilidad de suscribir un nuevo abono; negativa a vender una entrada; anulación de dicha entrada; denegación de acceso a un recinto deportivo;

b) Fecha de la decisión;

(c) Duración de la medida».

Estos datos son registrados por las personas encargadas de la seguridad bajo la autoridad del organizador de eventos deportivos con animo de lucro.

Por último, el artículo R. 332-18 del Código del Deporte indica explícitamente que los interesados no pueden oponerse al tratamiento de los datos en estos casos.

A saber: Artículo R332-18 «El responsable del tratamiento informará a los interesados por correo, mediante el envío o entrega de un documento, o por cualquier otro medio equivalente, indicando la identidad del responsable del tratamiento, la finalidad del mismo, la obligatoriedad de las respuestas, las posibles consecuencias de la falta de respuesta, los destinatarios de los datos, el plazo de conservación y los procedimientos para el ejercicio de los derechos de los interesados

El derecho de oposición previsto en el artículo 38 de la Ley de 6 de enero de 1978 no se aplica a los tratamientos contemplados en el artículo R. 332-14.

Los derechos de acceso y rectificación previstos en los artículos 39 y 40 de la Ley de 6 de enero de 1978 se ejercen directamente ante el responsable del tratamiento.»

Por lo tanto, según la CNIL, «en ausencia de una disposición legislativa o reglamentaria especial, la implementación de dicho esquema por parte de un club deportivo con fines antiterroristas es ilegal«, ya que la recopilación y el uso de dichos datos biométricos están prohibidos, con excepciones, por el Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos (Loi Informatique et Libertés). En otras palabras, «en lo que respecta al marco jurídico, el tratamiento previsto no puede aplicarse legalmente».

En este sentido, la CNIL ha advertido al club que si decide implantar su sistema de reconocimiento facial, «se expondrá a una o varias de las medidas correctoras previstas en el Reglamento de Protección de Datos y en la Ley de Protección de Datos y Libertades Civiles, incluida una sanción económica».

NOTAS

[1] (…), uniquement afin de faire respecter les interdictions commerciales de stade, une solution de comparaison faciale a été testée. Elle concerne donc exclusivement les personnes interdites d’accès au stade. (21) FC Metz ☨ en Twitter: «@streetpress @oliviertesquet @A_N_Supporters Dans le cadre de la loi Larrivé, uniquement afin de faire respecter les interdictions commerciales de stade, une solution de comparaison faciale a été testée. Elle concerne donc exclusivement les personnes interdites d’accès au stade.» / Twitter

 

LEA EL RESTO DE POST DE LA SERIE:

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (II)

Este es el segundo post de esta serie, y sucede a ESTE en que se analizaron las cuestiones más generales acerca del reconomiento facial. Ahora abordaremos la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que podremos comenzar a detenernos en algunos casos significativos, comenzando por el danés.

6) La importancia de la DPIA por parte de los clubes de fútbol antes de proceder al reconocimiento facial

La DPIA (Data Protection Impact Assessment), en virtud del artículo 35 del RGPD, debe llevarse a cabo si es probable que el tratamiento previsto de los datos personales suponga un alto riesgo para los derechos y libertades de una persona. Esto es especialmente importante cuando se trata de alguno de los siguientes aspectos:

a) Una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que afectan significativamente a dichas personas físicas;

b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) Vigilancia sistemática a gran escala de una zona de acceso público utilizando soluciones de reconocimiento facial para el control de acceso.

La DPIA también puede ser necesaria después de que una operación de tratamiento se haya añadido a la lista de tipos de tratamiento sujetos a la obligación de realizar una evaluación de impacto sobre la protección de datos o se base en un requisito establecido en las leyes y reglamentos nacionales. Además, la consulta previa es necesaria en virtud del artículo 36 del RGPD si la DPIA muestra que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo y reducir el riesgo.

Es importante destacar que la consulta previa no puede tener lugar hasta que el responsable del tratamiento haya realizado la DPIA. Posteriormente, se debe consultar a la autoridad competente en materia de protección de datos, por ejemplo, si es probable que los interesados sufran consecuencias importantes o irreversibles que puedan ser difíciles de superar. Los responsables del tratamiento también deben exigir la consulta previa en las situaciones en las que la legislación nacional les obligue a consultar y/o a obtener la autorización previa de la autoridad competente en materia de protección de datos. Por lo tanto, en lo que respecta a las soluciones de reconocimiento facial para el control de acceso, especialmente cuando se realizan a gran escala, parece necesario realizar una consulta previa para garantizar que se cumplen todos los requisitos legales.

7) Heysel (Bélgica)

Yo era un niño, pero recuerdo, como si fuera ayer, las imágenes en la pantalla del televisor del salón de mi casa. La nerviosa espera, aguardando la reanudación del partido con jugadores legendarios como Zbigniew Boniek, Michel Platini, Marco Tardelli, Bruce Grobbelaar, Ian Rush, etc.; pero sin saber ni comprender la gravedad de los acontecimientos que estaban ocurriendo en el interior del Estadio de Heysel en Bruselas, Bélgica, el 29 de mayo de 1985.

Aproximadamente una hora antes del comienzo de la final de la Copa de Europa de 1985, un grupo de hinchas del Liverpool cruzó una valla que los separaba de una zona neutral en la que había principalmente hinchas de la Juventus.

Al huir de la amenaza, los hinchas de la Juventus quedaron atrapados en una zona delimitada por un muro de contención de hormigón, que acabó derrumbándose. Murieron 39 personas. Murieron 39 personas y 600 resultaron heridas.

El partido se jugó a pesar de la catástrofe para evitar más disturbios y la Juventus ganó 1-0.

El resultado fue la prohibición a todos los clubes de fútbol ingleses de jugar en Europa durante cinco años. Catorce hinchas del Liverpool fueron declarados culpables de homicidio involuntario y condenados a tres años de prisión cada uno.

Hoy la pregunta que debemos hacernos es si la tecnología puede ayudarnos a prevenir o predecir el desastre ocurrido en el estadio de Heysel u otras amenazas en un mundo cada vez más global. ¿Podríamos analizar y gestionar este acontecimiento hoy como si hubiera ocurrido hace 30 años?

¿Y entonces qué? ¿Qué ocurre en los templos del fútbol? ¿Hay lugar para el reconocimiento facial, o no? Veamos algunos ejemplos para entender el estado de la cuestión.

8) Brøndby IF (Dinamarca)

El 13 de junio de 2019, el equipo de fútbol danés Brøndby IF anunció que a partir de julio de 2019 se implementaría la tecnología de reconocimiento facial automatizado (AFR) en el estadio del Brøndby. Se utilizaría para identificar a las personas a las que se les ha prohibido asistir a los partidos de fútbol del Brøndby IF por infringir las normas de conducta del club. El sistema AFR utilizaría cámaras que escanearían las zonas de entrada del estadio, de modo que las personas de la lista podrían ser «seleccionadas» entre la multitud antes de llegar a la entrada.

Dinamarca no cuenta con una ley nacional específica que proporcione una base jurídica para el uso de AFR por parte de los responsables del tratamiento, junto con las garantías adecuadas para los interesados. Sin embargo, el apartado 4 del artículo 7 de la Ley danesa de protección de datos (nº 502 de 23 de mayo de 2018) puede utilizarse para permitir cualquier tratamiento de datos personales sensibles por ley, incluido el AFR, siempre que se alcance el umbral de interés público sustancial necesario. Los comentarios explicativos del apartado 4 del artículo 7 indican que la disposición debe interpretarse de forma restrictiva, pero el alcance real de la exención, para el tratamiento de datos, se deja a la decisión y ulterior autorización de la Agencia Danesa de Protección de Datos.

Veamos qué dice el apartado 4 del artículo 7 de la Ley danesa [1] de Protección de Datos:

7(4) «El tratamiento de datos a que se refiere el apartado 1 del artículo 9 del Reglamento General de Protección de Datos puede tener lugar si el tratamiento es necesario por razones de interés público sustancial (“substantial public interest”) véase la letra g) del apartado 2 del artículo 9 del Reglamento General de Protección de Datos. La autoridad de control dará su consentimiento a tal efecto si el tratamiento (…) no se lleva a cabo en nombre de una autoridad pública».

En este punto, la Autoridad Danesa de Protección de Datos ha decidido que el tratamiento con AFR aplicado a una lista de prohibición de acceso al estadio del Brøndby IF es necesario por razones de interés público sustancial y que el tratamiento es proporcional al objetivo perseguido y será utilizado para tratar los datos personales sensibles de, por término medio, 14.000 personas por partido de fútbol.

Pero, ¿cuáles son los límites? ¿Qué significa el concepto de interés público sustancial desde la perspectiva del derecho danés?

En la ley danesa de protección de datos no existe una definición concreta y univoca de lo que se entiende por interés público sustancial, por lo que es necesario hacer una interpretación caso por caso, en el supuesto que nos ocupa relacionada con la seguridad en determinados eventos deportivos de gran envergadura y con gran participación.

Como expresó en su momento Astrid Mavrogenis, jefa de unidad de la Autoridad Danesa de Protección de Datos, «para decirlo sin rodeos, tienes que poder llevar a tus hijos a un partido de fútbol y sentirte seguro«.

Aunque en Dinamarca se ha debatido si existe un interés público sustancial suficiente, el organismo de control danés cree que el fútbol puede considerarse un evento de masas en el que el uso de la tecnología de reconocimiento facial sirve para tutelar un interés público sustancial al garantizar la seguridad del público asistente.

El ejemplo danés demuestra que el establecimiento de una base jurídica en la legislación nacional para un interés público sustancial cuando el tratamiento no se lleva a cabo en nombre de una autoridad pública es el factor clave, especialmente en los casos de control de acceso previo en los que la acción basada en el consentimiento no es potencialmente disponible o fácilmente aplicable.

Como sabemos, el artículo 9.2.g) [2] del RGPD establece un motivo de exclusión del consentimiento explícito del interesado si existe una base jurídica basada en el interés público; pero, como hemos visto, la norma danesa va más allá y especifica los casos en los que el motivo de interés público sustancial no se lleva a cabo en nombre de una autoridad pública.

Por otra parte, el Brøndby IF llevó a cabo una evaluación de impacto sobre la protección de datos («DPIA») de conformidad con el artículo 35 del GDPR y requirió la consulta con la Agencia Danesa de Protección de Datos en virtud del artículo 36 del GDPR antes de implementar el sistema de reconocimiento facial. En el sistema propuesto por Dinamarca, el personal de seguridad recibiría una alerta cuando el sistema detectara una persona cuyo acceso estuviera potencialmente prohibido. El personal de seguridad podía entonces comprobar si la persona identificada por el sistema estaba efectivamente en la lista de personas con entrada prohibida.

Por lo tanto, cuando se utiliza un interés público sustancial como base para el tratamiento del reconocimiento facial, la EIPD y la consulta previa son vitales.

 

NOTAS

[1] (4) The processing of data covered by Article 9(1) of the General Data Protection Regulation may take place if the processing is necessary for reasons of substantial public interest, see point g) of Article 9(2) of General Data Protection Regulation. The supervisory authority shall give its authorisation for this purpose if the processing pursuant to the first sentence of this subsection is not carried out on behalf of a public authority. Authorisation given by virtue of the second sentence of this subsection may lay down more detailed terms for the processing

[2] 9.2 g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

 

LEA EL RESTO DE POST DE LA SERIE:

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (I)

1) Introducción

Imagina que pasas por delante de una cámara de vigilancia en la entrada de un estadio de fútbol; pero no te ve o más bien te ignora, porque no eres importante para ella. La cámara sólo es sensible a los rostros de los delincuentes conocidos o a las posibles amenazas a nuestra seguridad. No estás en la lista. Relájate.

Esto. sin embargo, te irrita, porque no consideras ético que una cámara en un estadio analice tu sonrisa, tus gestos o pueda averiguar de qué tipo de tela está hecha tu chaqueta.

Supongamos que otro estadio no se molesta en utilizar la tecnología de reconocimiento facial y, por tanto, no consigue evitar una amenaza importante.

¿Seria, entonces, ético desde nuestro punto de vista o desde la perspectiva de los responsables de los estadios de fútbol no utilizar la tecnología de reconocimiento facial u otra equivalente? Tal vez la ética nos obligue a enfocar el problema desde otros ángulos. Por otro lado, es cierto que no podemos abandonar el espíritu crítico necesario para analizar la cuestión con la profundidad que merece.

En esta serie de post analizaré la cuestión poniendo en relación diversos ejemplos y pruebas con esta tecnología y la legislación pertinente al respecto, mostrando sus ventajas e inconvenientes, lo que permitirá un análisis sosegado y basado en datos de una cuestión que afecta a un derecho fundamental como es la privacidad.

2) Los problemas de la privacy y el reconocimiento facial

Este estudio debe comenzar con una pregunta clave: ¿es el uso del reconocimiento facial proporcional a los riesgos que se pretende mitigar en los estadios? Probablemente el 99% de los aficionados van al estadio sólo para divertirse y disfrutar del fútbol. Entonces, ¿Merece la pena escanear a todo el mundo? Además, si tiene sentido aplicar el reconocimiento facial en un aeropuerto [1], ¿por qué no en un estadio de fútbol? ¿Cuál es la diferencia?

Tal vez todas estas preguntas sean inútiles y nuestra sensación de malestar choque con la realidad. Los estadios de fútbol más modernos son ya el paradigma físico de plataformas que, como Facebook, empiezan a conocernos muy bien, incluso cuando salimos del estadio. Lo curioso es que esta excesiva atención a nuestros datos puede incluso ser aceptada por nosotros con agrado si nos sentimos cuidados y mimados por el equipo de fútbol que amamos.

Pero lo cierto es que sólo experimentando con estas tecnologías es posible perfeccionarlas y comprender hasta qué punto pueden protegernos o hasta qué punto pueden poner en riesgo nuestros derechos fundamentales. Y como las pruebas ya se están realizando, hay que preguntarse: ¿Debemos acostumbrarnos a algo inevitable, o es el momento de poner freno a la embestida de estas tecnologías? ¿Estamos preparados para probar estas tecnologías con certeza y seguridad jurídica? ¿Cómo podemos implementar el reconocimiento facial en los estadios de fútbol de la manera más «fair» posible y sin violar la normativa vigente? ¿Es esto posible, o no, en suelo europeo?

Cada vez más, los avances tecnológicos nos enfrentan a un inevitable trade-off entre seguridad y privacidad. Tal vez no haya una única verdad, sino un equilibrio de derechos e intereses en juego, porque buscamos una solución que más que ninguna otra persiga de forma equilibrada la máxima expansión de todos los derechos y valores. Aclaremos ahora: ¿Qué entendemos por tecnologías de reconocimiento facial?

3) ¿Qué es el reconocimiento facial?

Según la CNIL, la autoridad francesa de protección de datos, el reconocimiento facial es una técnica que permite, a partir de las características faciales, autenticar a una persona, es decir, verificar que una persona es quien dice ser (en el contexto del control de acceso); o que permite identificar una persona, es decir, encontrar una persona en un grupo de individuos, en un lugar, una imagen o una base de datos.

En la práctica, el reconocimiento puede hacerse con imágenes fijas (fotos) o animadas (grabaciones de vídeo) y se realiza en dos etapas:

  1. A partir de la imagen, se crea un modelo o «plantilla» que representa, desde el punto de vista informático, las características de ese rostro. Los datos extraídos para componer esta plantilla son datos biométricos en el sentido del RGPD.
  2. La fase de reconocimiento se lleva a cabo comparando estas plantillas previamente creadas con las plantillas calculadas en vivo sobre los rostros de la imagen candidata.

En el caso de la autenticación, el sistema verifica si la identidad reivindicada es realmente la correcta comparando el modelo facial presentado con el modelo previamente registrado correspondiente a la identidad reivindicada. En el caso de la identificación, el sistema comprueba si el modelo de rostro presentado coincide con uno de los modelos contenidos en la base de datos. Los resultados de la comparación corresponden a aquel o aquellos con la mayor puntuación de similitud entre los que superan un determinado umbral predeterminado.

El reconocimiento facial no debe confundirse con la detección de rostros, que caracteriza la presencia o ausencia de un rostro en una imagen independientemente de la persona a la que pertenece. Esta técnica biométrica de reconocimiento automático de una persona, basada en las características de su rostro, no debe confundirse, por otra parte, con otras técnicas de tratamiento de imágenes (por ejemplo, con dispositivos de «vídeo inteligente» que pueden detectar eventos o emociones sin, a pesar de todo, reconocer a las personas), con las que a veces puede combinarse.

Sobre todo, hay una gran variedad de posibles usos detrás del «reconocimiento facial», que van desde el desbloqueo de ordenadores hasta el reconocimiento de una persona buscada por la policía en una multitud, pasando por la apertura de cuentas bancarias. No todos estos usos plantean los mismos problemas, sobre todo en cuanto al control de los ciudadanos sobre sus datos personales. Por eso, como señala la CNIL, es necesario razonar caso por caso.

4) Los riesgos vinculados al reconocimiento facial

Por otro lado, es importante destacar los riesgos tecnológicos, éticos y sociales asociados al reconocimiento facial. Estos riesgos están relacionados con la naturaleza biométrica del reconocimiento facial. Cualquier violación de datos o uso indebido supondría riesgos importantes (bloqueo del acceso a un servicio, robo de identidad, etc.) El reconocimiento facial también se basa en una probabilidad, no en una certeza absoluta, de que las caras coincidan. Por tanto, los errores pueden tener consecuencias muy importantes para las personas. En el entorno digital actual, en el que los rostros de las personas están disponibles en múltiples bases de datos y son captados por múltiples cámaras, el reconocimiento facial puede convertirse en una herramienta especialmente omnipresente e intrusiva. Por lo tanto, según la CNIL, esta evaluación de riesgos es necesaria para determinar cuáles no son aceptables en una sociedad democrática y cuáles pueden tomarse con las debidas garantías.

Las dudas técnicas que ofrece esta tecnología llevaron ciertamente al Parlamento Europeo a publicar una resolución el pasado 21 de enero de 2021. sobre la inteligencia artificial y las cuestiones relacionadas con la interpretación y aplicación del Derecho internacional en lo que respecta a la UE en relación con los usos civiles y militares y la autoridad estatal fuera del ámbito de la justicia penal (2020/2013(INI)), que (56) pide a la Comisión que evalúe las consecuencias de una moratoria en el uso de los sistemas de reconocimiento facial y, en función del resultado de dicha evaluación, considere la posibilidad de introducir una moratoria en el uso de dichos sistemas por parte de las autoridades estatales en lugares públicos y locales educativos y sanitarios así como una moratoria en el uso de sistemas de reconocimiento facial por parte de las autoridades policiales en espacios semipúblicos como los aeropuertos, hasta que se considere que las normas técnicas son plenamente respetuosas con los derechos fundamentales, los resultados obtenidos estén libres de sesgos y discriminación, y existan estrictas salvaguardas contra el uso indebido que garanticen la necesidad y proporcionalidad del uso de dichas tecnologías.

Además, el 28 de enero de 2021, el Comité del Convenio 108 adoptó unas directrices sobre reconocimiento facial que proporcionan un conjunto de medidas de referencia que los gobiernos, los desarrolladores de reconocimiento facial, los fabricantes, los proveedores de servicios y las entidades que utilizan tecnologías de reconocimiento facial deben seguir y aplicar para garantizar que no afectan negativamente a la dignidad humana, los derechos humanos y las libertades fundamentales de ninguna persona, incluido el derecho a la protección de los datos personales.

Otros documentos de interés sobre este tema son: -Line 3/2019 sobre el tratamiento de datos personales a través de dispositivos de vídeo (EDPB) y el documento emitido por la Agencia de Derechos Fundamentales de la Unión Europea, titulado: Facial recognition technology: fundamental rights considerations in law enforcement (November 2019)

5) ¿Qué dice el RGPD sobre el reconocimiento facial?

El considerando 51 especifica que: El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. El artículo 4.14, por su parte, nos da la definición de datos biométricos«: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Según el RGPD, los datos biométricos se consideran una categoría especial de datos personales. El artículo 9 del RGPD prohíbe expresamente el tratamiento de categorías especiales de datos personales sin una base jurídica especial o a menos que se aplique una excepción. Es posible procesar los datos biométricos sobre la base del consentimiento del interesado, sin embargo, esto puede ser difícil de aplicar en el contexto del proceso de entrada a un estadio de fútbol¸ a menos que el consentimiento se haya dado inequívocamente, por ejemplo, durante el proceso de compra de entradas para los partidos de fútbol en línea.

El artículo 9, apartado 2, del RGPD establece motivos adicionales en los que pueden basarse los clubes de fútbol para el tratamiento de categorías especiales de datos, incluidos los datos biométricos, como cuando el tratamiento es necesario por razones de interés público importante, basado en el Derecho de la Unión o de los Estados miembros, que debe ser proporcional a la finalidad perseguida, respetar la esencia del derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los derechos e intereses fundamentales del interesado.

 

Analizadas estas cuestiones más generales sobre la naturaleza y regulación del reconocimiento facial, en siguientes post entraremos al detalle, prestando especial atención a algunos casos en que ya se ha puesto en marcha en estadios.

 

NOTAS

[1] Reconnaissance faciale dans les aéroports : quels enjeux et quels grands principes à respecter ? | CNIL

 

LEA EL RESTO DE POST DE LA SERIE:

El tratamiento de datos personales de contagiados y sospechosos para la vigilancia epidemiológica en la nueva normalidad

En medio del debate sobre si es legítimo o no la toma de temperatura de las personas que acceden a un comercio o a un centro de trabajo, el pasado 12 de mayo se publicó la “Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad” (en adelante también Orden 404), a través de la cual se establecen una serie de obligaciones de recogida, tratamiento y remisión de información, tanto individualizada como agregada, para los centros, servicios y establecimientos sanitarios y sociosanitarios, tanto del sector público como del privado, así como a los profesionales sanitarios que trabajan en ellos y servicios de prevención de riesgos laborales (en adelante también, los sujetos obligados).

Esta Orden (dictada al amparo de lo previsto en el RD 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por la COVID-19) se enmarca en la “Estrategia de diagnóstico, vigilancia y control en la fase de transición de la pandemia COVID‐19, que el Ministerio de Sanidad publicó el 6 de mayo (posteriormente actualizada a fecha 12 de mayo) y establece en su artículo segundo que la COVID-19 es una enfermedad de declaración obligatoria urgente por lo que se hace necesario llevar a cabo la recogida de datos completos y precisos para apoyo de la toma de decisiones a la autoridad sanitaria.

De acuerdo con lo anterior, las unidades de salud pública de las comunidades y ciudades autónomas deberán obtener diariamente información sobre los casos sospechosos y confirmados de COVID-19, a través de los sujetos obligados.

Esta obligación se recoge en el marco de lo establecido en la Ley 33/2011, de 4 de octubre, General de Salud Pública, que establece la creación de una Red de Vigilancia en Salud Pública que incluya un sistema de alerta precoz y respuesta rápida que esté en funcionamiento continuo e ininterrumpido las veinticuatro horas del día.

El Real Decreto 2210/1995, de 28 de diciembre creó la Red Nacional de Vigilancia Epidemiológica (RENAVE) para permitir la recogida y el análisis de la información epidemiológica con el triple fin de (i) poder detectar problemas que puedan suponer un riesgo para la salud, (ii) difundir la información a las autoridades competentes y (iii) facilitar la aplicación de medidas para su control.

De hecho, este escenario legal es el que ha permitido a las autoridades competentes en materia de salud pública recoger y tratar información de la situación de la infección por SARS-CoV-2 y la COVID-19 desde el inicio de la pandemia y en el que ahora se enmarca la comunicación de datos que se llevará a cabo por los sujetos obligados.

La Orden 404 hace una llamada a cada componente de la RENAVE, a nivel autonómico y estatal, para advertir de que deberán destinar los recursos humanos, materiales y tecnológicos necesarios para la obtención de datos y el análisis continuo de la información, sin perjuicio de que igualmente se llevarán a cabo las adaptaciones pertinentes en los sistemas de información sanitaria y de vigilancia epidemiológica con el objeto de permitir a la RENAVE disponer de la información que la Orden establece.

Pero veamos a continuación cuáles son exactamente las obligaciones y procedimientos de obtención y comunicación de información para la vigilancia epidemiológica que contempla la Orden.

Por un lado, los servicios de atención primaria y hospitalaria, tanto del sistema público como del privado, así como de los servicios de prevención de riesgos laborales, son los sujetos obligados que deberán facilitar diariamente a las unidades de salud pública de las comunidades y ciudades autónomas información sobre los casos sospechosos e información individualizada de los casos confirmados de COVID-19. Concretamente, la información a obtener y comunicar al Ministerio de Sanidad desde el 12 de mayo de 2020 se describe en los anexos de la Orden.

Por otro lado, los laboratorios autorizados en España para la realización de pruebas diagnósticas para la detección de SARS-CoV-2 mediante PCR u otras pruebas moleculares deberán remitir directamente al Ministerio de Sanidad sus datos de contacto e identificación, así como datos de las pruebas diagnósticas realizadas.

De acuerdo con la Orden, la información individualizada de casos confirmados, se enviará al Ministerio de Sanidad a través de la herramienta de vigilancia SiViEs que gestiona el Centro Nacional de Epidemiología del Instituto de Salud Carlos III. Antes de las 12.00 horas de cada día se incorporará toda la información acumulada y actualizada hasta las 24.00 horas del día anterior.

Es obvio que la comunicación de datos que regula la Orden supone un tratamiento que, como las autoridades de protección de datos nos han recordado de forma periódica en esta situación de crisis sanitaria, debe garantizar el cumplimiento de la normativa de protección de datos, concretamente lo establecido en el Reglamento (UE) General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), siendo especialmente relevantes las obligaciones de información a las personas interesadas relativas a los datos obtenidos por los sujetos obligados, puesto que como nuestro Tribunal Constitucional ya manifestó en su Sentencia 292/2000, de 30 de noviembre de 2000 uno de los elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales es el derecho a saber de los mismos.

En este punto hubiera sido deseable que la Orden ya incorporase exactamente la información que deberían recibir las personas interesadas acerca del tratamiento de sus datos personales, pero no ha sido así.

La Orden se limita a indicar que el responsable del tratamiento de los datos que serán comunicados por los sujetos obligados será el Ministerio de Sanidad y tiene por finalidad el seguimiento y vigilancia epidemiológica de la COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas.

También indica que el Ministerio de Sanidad garantizará la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.

Y menciona igualmente que el intercambio de datos con otros países se regirá por el RGPD, teniendo en cuenta la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud (cuyo objeto es objeto apoyar la cooperación y la coordinación entre los Estados miembros con el fin de mejorar la prevención y el control de la propagación de las enfermedades humanas graves a través de las fronteras de los Estados miembros y luchar contra otras amenazas transfronterizas graves para la salud) y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58ª Asamblea Mundial de la Salud, celebrada en Ginebra el 23 de mayo de 2005.

Pero, volviendo al “derecho a saber” que nuestro Tribunal Constitucional calificó como uno de los pilares fundamentales de la privacidad de los ciudadanos, la Orden no hace explícito el alcance del contenido del tratamiento de datos de acuerdo con el principio de transparencia recogido en los artículos 13 y 14 RGPD (información que cualquier persona precisa para disponer de un control sobre sus datos) acogiéndose aparentemente a las excepciones para ello, puesto que precisa expresamente “que las obligaciones de información del Ministerio se ajustarán a lo dispuesto en el artículo 14 RGPD teniendo en cuenta las excepciones y obligaciones previstas en su párrafo 5”.

 Pero ¿qué dice el artículo 14 RGPD y cuáles son estas excepciones? El artículo 14 aclara la información que el Ministerio de Sanidad debería proporcionar a cada ciudadano de quien reciba sus datos personales como consecuencia de la comunicación que los “sujetos obligados” llevarán a cabo según lo antedicho en la Orden 404, y que consiste en la siguiente:

a) La identidad y los datos de contacto del responsable (Ministerio de Sanidad);

b) Los datos de contacto del delegado de protección de datos;

c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) Las categorías de datos personales de que se trate;

e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias basadas en garantías adecuadas cuáles son estas y los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

g) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

i) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

j) El derecho a presentar una reclamación ante una autoridad de control;

k) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para la persona interesada.

Como puede apreciarse no es un asunto baladí. Esta información, que permitiría al ciudadano tener un control sobre sus datos, es la que el Ministerio de Sanidad debería comunicar a cada persona de quien se traten datos personales como consecuencia de la aplicación de la Orden 404 y podría haber sido incluida en la propia Orden.

La norma indica concretamente que el Ministerio debería facilitar la información indicada i) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes; ii) si los datos personales han de utilizarse para comunicación con la persona interesada, a más tardar en el momento de la primera comunicación con ella, o; iii) si está previsto comunicar los datos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

Sin embargo, no parece que el Ministerio tenga intención de informar del contenido del tratamiento a las personas interesadas, como puede apreciarse por el hecho ya mencionado de que la Orden indica que el Ministerio de Sanidad “tendrá en cuenta las excepciones al deber de informar contempladas en el propio artículo 14 RGPD en su apartado 5º”.

¿Y cuáles son estas excepciones?

Pues según reza el artículo 14, en su apartado 5º:

a) Cuando la persona interesada ya disponga de la información, lo cual en este caso no se dará si el Ministerio no proporciona a los “sujetos obligados” la información que deberían trasladar a las personas contagiadas o sospechosas.

b) Cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de investigación científica “a reserva” en este caso de que cumplir con la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento o en otro caso, siempre que se hubieran adoptado “las condiciones y garantías adecuadas para proteger los derechos, libertades e intereses legítimos de las personas interesadas”, inclusive haciendo pública la información;

c) Cuando la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

 

No entraremos en el debate de la aplicabilidad de las excepciones ni en su caso, de las condiciones para ello, habida cuenta de que daría lugar para escribir otro post. Sin embargo, sí considero importante volver a aclarar que hubiera sido deseable en pro de la transparencia del tratamiento de los datos por nuestras instituciones, que se hubiera aprovechado la Orden para publicar, sino el total, sí parte de la información a que tienen derecho los ciudadanos como titulares de un derecho constitucional, como es el derecho a la protección de datos, dado que ello no habría puesto en riesgo los fines de tratamiento ni los hubiera obstaculizado.

Pese a que la Orden manifiesta que el responsable del tratamiento es el Ministerio de Sanidad, no queda tampoco clara la relación del Ministerio con el Instituto de Salud Carlos III (que es la entidad que gestiona la herramienta a través de la cual se enviarán los datos al Ministerio) ni parece que las políticas de privacidad que uno (Instituto de Salud Carlos III) y otro (Ministerio de Sanidad) tienen a disposición de los ciudadanos en sus sitios web. En esta línea, es menester advertir que la LOPDGDD establece la obligación para las Administraciones públicas de publicar electrónicamente sus registros de actividades en relación con el tratamiento de datos que llevan a cabo como responsables y encargados del tratamiento y s.e.u.o., no parece que en el registro de las actividades publicado por el Ministerio de Sanidad haya ninguna actividad de tratamiento relacionada con la Orden.

La transparencia en términos de privacidad para las AAPP debe ser además de una obligación una actitud puesto que, no en vano, la Administración Pública se encuentra entre las áreas de actividad con mayor número de reclamaciones recibidas en 2019 por parte de los ciudadanos, según indica la Agencia Española de Protección de Datos en su Memoria 2019.

Comparto en este punto opinión con Carme Sánchez (responsable en la Asociación Profesional Española de la Privacidad del grupo sobre administraciones públicas y privacidad) quién ve claro que las administraciones deben apostar por la privacidad y tenerlo como un valor añadido en su quehacer diario y contacto con el ciudadano.

Pero ¿qué ocurre en el caso de los denominados “sujetos obligados”? ¿Quedan ellos amparados por las excepciones del derecho a informar a las personas interesadas?En mi opinión no. La Orden no lo aclara, pero el artículo 13 RGPD, que es el que regula la información que deberá facilitarse a los titulares de los datos cuando sean ellos quienes proporcionen los datos personales, establece básicamente la misma obligación de información con el alcance que antes hemos descrito (con alguna diferencia) y la única excepción que se plantea es para el supuesto de que la persona interesada de quien se recogen los datos (esto es, los sospechosos y los contagiados) ya dispongan de la información, lo cual, obviamente no ocurre en la práctica.

En el artículo 23 RGPD se establece la posibilidad de limitar el principio de transparencia (que es el que obliga a trasladar la información a las personas interesadas) pero solo a través de medidas legislativas que así lo especifiquen. Pero no es el caso.

Esto nos conduce a advertir de la obligación que tienen las mutuas y los servicios de prevención de las empresas (como el resto de sujetos obligados) de informar en la recogida de los datos personales a los sospechosos de COVID-19 y a los contagiados del contenido del tratamiento de sus datos personales de acuerdo con el artículo 13 RGPD, cuando a través de la prestación de sus servicios habituales para las empresas tengan conocimiento de estos casos.

Nada tiene esto que ver con la reciente polémica que se ha levantado al hilo del comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos sobre lo cual ya se ha escrito mucho y en algún caso con detalle y argumento (véase artículo de opinión de Xavier Ribas) en el sentido de que el hecho de que la Orden 404 obligue a recoger determinada información a las mutuas y servicios de prevención no supone la necesidad de adoptar de forma generalizada dichos sistemas de toma de temperatura de las personas en el acceso a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos.

La toma de temperatura es una opción que en cada caso deberán valorar los comercios, centros de trabajo y otros establecimientos en el marco de las medidas de reanudación de sus actividades habituales y en particular, en relación con los protocolos y medidas de prevención de COVID-19. Si bien en este punto la Agencia Española de Protección de Datos ha indicado que la aplicación de esta medida y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.

Si bien hasta el momento no parece que el Ministerio de Sanidad haya realizado una declaración pública sobre ello, la medida cada vez es más generalizada tanto en el sector privado como en el público (véase la Guía de buenas prácticas para la reactivación de la actividad judicial elaborada por el Consejo General del Poder Judicial, que establece los órgano/s encargado/s de garantizar las medidas recomendarán a las Administraciones prestacionales que pueda realizarse el control diario de temperatura en el acceso a la sede judicial y la Resolución de 4 de mayo de 2020, de la Presidencia del Consejo Superior de Deportes, por la que se aprueba y publica el Protocolo básico de actuación para la vuelta a los entrenamientos y el reinicio de las competiciones federadas y profesionales que en relación con los “Centros de entrenamiento” exige que sean dotados de puntos de control de acceso especial, provistos de material de desinfección y aislamiento, de elementos técnicos que permitan comprobar la temperatura, de las personas que accedan al recinto, y circuitos cerrados de televisión CCTV). Concretamente además, según indica el propio Consejo Superior de Deportes el Ministerio de Sanidad ha validado la práctica totalidad del protocolo sanitario que, con las aportaciones de numerosos agentes, se remitió al departamento que comanda el ministro Salvador Illa.

No obstante, el silencio del Ministerio de Sanidad al respecto es patente como lo pone de manifiesto el hecho de que la Orden SNS/414/2020, de 16 de mayo, para la flexibilización de determinadas restricciones de ámbito nacional establecidas tras la declaración del estado de alarma en aplicación de la fase 2 del Plan para la transición hacia una nueva normalidad establece (entre otras) una serie de medidas para garantizar la protección de los trabajadores en su puesto de trabajo, así como para evitar la concentración de personas en determinados momentos en el nuevo escenario proporcionado por la fase 2, como son: asegurar que todos los trabajadores tengan permanentemente a su disposición en el lugar de trabajo agua y jabón o geles hidroalcohólicos o desinfectantes con actividad virucida autorizados y registrados por el Ministerio de Sanidad para la limpieza de manos; garantizarse la distancia de seguridad interpersonal de aproximadamente dos metros o en su caso que los trabajadores dispongan de equipos de protección adecuados al nivel de riesgo; la sustitución del fichaje con huella dactilar por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para la protección de la salud y la seguridad de los trabajadores o en su caso, la desinfección del dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Además, si un trabajador empezara a tener síntomas compatibles con la enfermedad, la Orden indica que deberá contactarse de inmediato con el teléfono habilitado para ello por la comunidad autónoma o centro de salud correspondiente y, en su caso, con el correspondiente servicio de prevención de riesgos laborales y el trabajador se colocará una mascarilla, debiendo abandonar, en todo caso, su puesto de trabajo hasta que su situación médica sea valorada por un profesional sanitario.

Reconduciendo en todo caso este post al tema objeto de análisis, una vez más demandamos de las autoridades, y en este caso concretamente al Ministerio de Sanidad, transparencia, concreción y más detalle sobre el tratamiento de los datos de los ciudadanos, recordando que, cualquier actividad de tratamiento que se realice con categorías especiales de datos, como es la salud, debería haber sido planificada a través de una evaluación de impacto cuyo resultado, cuanto menos, debería incluir no solo la definición de las medidas sino su propia implantación con carácter previo a la recogida de cualquier dato personal.

La difusión inconsentida de imágenes o grabaciones obtenidas con consentimiento: la sentencia del Tribunal Supremo de 24 de febrero de 2020

Hace pocas semanas conocíamos la Sentencia del Tribunal Supremo que se pronunciaba, por primera vez, sobre el art. 197.7 CP, introducido en la reforma operada por LO 1/2015, de 30 de marzo. Dicho precepto, ubicado en los delitos contra la intimidad, dispone: “Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona”. Su párrafo segundo se ocupa de las modalidades agravadas.

Se tipifica, por tanto, la difusión inconsentida de imágenes o grabaciones que se han obtenido con consentimiento. La razón de la introducción de tal modalidad la encontramos en que la utilización de las nuevas tecnologías ha traído consigo nuevas formas de delincuencia impensables en tiempos pasados. Su origen se remonta a los hechos acaecidos en el verano de 2012, que todos recordamos, cuando se filtró un video de contenido erótico que la concejal del Ayuntamiento de Los Yébenes, en Toledo, se había grabado a sí misma para remitírselo a un joven con el que, al parecer, mantenía una relación extramatrimonial. El Juzgado de Instrucción núm. 1 de Orgaz archivó el asunto puesto que, según el CP vigente cuando ocurrieron los hechos, solo si se hubieran obtenido esas imágenes sin consentimiento de la víctima podría entenderse que se vulneraba la intimidad; por ejemplo, con un acceso inconsentido al móvil.

Pues bien, los interrogantes que ha planteado la introducción de este precepto van desde la necesidad de su existencia hasta los problemas interpretativos que se derivan de su deficiente redacción. El TS en esta sentencia trata de resolver al menos uno de ellos. Sin embargo, la solución que propone no es, a mi juicio, la más adecuada.

Nos encontramos ante un precepto controvertido. En primer lugar, la doctrina se divide al considerar si ha sido o no oportuna su inclusión. Por una parte, un sector considera acertada la introducción de este delito, razonando que no es lo mismo consentir en la realización de una grabación para uso privado de dos personas que consentir en la difusión de la misma y que el legislador ha acomodado su texto a la realidad social. Para otro sector, no se entiende por qué el Derecho penal debe proteger la expectativa de intimidad de quienes han renunciado a ella a través de actos concluyentes, al ceder imágenes o grabaciones a terceros voluntariamente. Se ha destacado también que la introducción de deberes penales de sigilo para toda la población nos convierte a los ciudadanos en confidentes necesarios de los demás.

Ninguna duda me suscita que el consentimiento para la grabación no implica el consentimiento en la difusión y que, indudablemente, la difusión sin consentimiento puede generar una lesión al bien jurídico intimidad. Ahora bien, los interrogantes comienzan cuando entendemos que la respuesta que ha de darse a la realización de esas conductas ha de partir del Derecho penal. No existe base legal que obligue a una persona a guardar un secreto (a salvo de los deberes de secreto profesional). No ha de olvidarse que la facultad que tiene el Estado a la hora de imponer penas o medidas de seguridad ante la comisión de hechos delictivos, es decir el denominado ius puniendi, está sujeta a unos límites: principio de subsidiariedad, intervención mínima o ultima ratio y carácter fragmentario; límites que se ven conculcados con la tipificación de conductas como la que nos ocupa. El Derecho penal no puede convertirnos en confidentes obligados ni de las imágenes o grabaciones en las que hemos intervenido con consentimiento de la otra parte, ni mucho menos de las que nos envían de modo voluntario. Entiendo que hay otras ramas del ordenamiento jurídico que pueden encargarse de estas conductas: LO 1/1982, de 5 de mayo, de Protección del Honor, la Intimidad y la Propia Imagen y LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Así que, como considero que esta conducta no debería estar en el CP, me decanto por una interpretación del precepto lo más restrictiva posible.

En segundo término, centrándome en las cuestiones interpretativas que plantea el art. 197.7 CP derivadas de su redacción, cabe destacar que una de las más discutidas es la de si en la obtención voluntaria de la imagen o grabación ha tenido que intervenir de algún modo el sujeto activo (interpretación restrictiva), o si se incluyen también en la conducta típica los supuestos en los que es la propia víctima la que envía ese material (interpretación extensiva). Volviendo al caso de Los Yébenes, si mantenemos la primera posición tampoco hoy día estaríamos ante una conducta delictiva. Sin embargo, desde la segunda de las posturas mencionadas nos encontraríamos ante una conducta típica.

La cuestión resulta dudosa teniendo en cuenta la redacción del tipo: “imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros”.

Doctrina y Jurisprudencia de Audiencias Provinciales se encuentran divididas entre las dos posiciones citadas. El TS se ha pronunciado, en la sentencia objeto de análisis, decantándose por la postura extensiva.

Para centrar mis reflexiones críticas a la STS es oportuno referirse, previamente, a los hechos que se enjuician. Constantino, que mantenía una relación de amistad con Joaquina, envió sin consentimiento de la misma y desde su teléfono móvil al teléfono móvil de Federico, en ese momento pareja de Joaquina, una fotografía en la que aparecía desnuda Joaquina y que previamente Joaquina había enviado a Constantino. El Juzgado Mixto de Majadahonda condenó a Constantino como autor de un delito de descubrimiento y revelación de secretos del art. 197.7 CP. La Audiencia Provincial de Madrid y posteriormente el TS confirmaron la sentencia.

Los argumentos de la sala del TS (que, por otro lado, ya habían sido puestos de relieve por un sector doctrinal) son que el tipo penal se refiere a obtener imágenes con el consentimiento de la víctima en un domicilio o en cualquier lugar fuera del alcance de la mirada de terceros, y que el vocablo “obtener” es sinónimo de alcanzar, conseguir, lograr algo, tener, conservar y mantener y, por ello, “resulta muy difícil sostener que cuando esas imágenes se remiten por la propia víctima y se alojan en el móvil del destinatario, en realidad, no se consiguen, no se logran, no se tienen, no se conservan o no se mantienen”.  Considera el TS que obtiene la imagen quien fotografía o graba, pero también quien la recibe cuando es remitida voluntariamente por la víctima.

Mantengo una opinión contraria a la manifestada por el TS; una opinión que, por otra parte, ya ha sido sostenida en otras sentencias de tribunales menores y por un importante sector doctrinal. La posición del TS no me parece una solución ni clara ni preferible, y también genera dudas los argumentos que ofrece un sector doctrinal para decantarse por esta interpretación amplia, sobrepasándose el sentido literal del precepto. Ello hace que me incline por la interpretación restrictiva. Desde una interpretación que ha de respetar el límite derivado del principio de legalidad, se ha de hacer un análisis del tipo de manera global. Esta interpretación consiste en entender que es la propia imagen o grabación la que se ha de obtener en el citado lugar (domicilio u otro lugar fuera del alcance de la mirada de terceros); y si incluimos, como pretende el TS, en la obtención también la recepción, no tendría sentido hacer referencia a un lugar, ya que la imagen o grabación que es enviada puede recibirse en cualquier sitio, y no es preciso un determinado ambiente.

Mi interpretación parte de la base de que, como he señalado, no es correcta la introducción de esta figura que nos ha convertido en confidentes, en guardadores obligados de imágenes y grabaciones que podemos recibir sin ni siquiera pedirlo o desearlo, hasta el punto de que el que lo recibe si se lo enseña a una sola persona comete el tipo. La posición correcta es la que exige que la imagen o grabación haya sido obtenida con la anuencia del que después la va a difundir, interviniendo de algún modo en la obtención de la imagen o grabación, y no entrará en este tipo penal la conducta de enviar una imagen o grabación audiovisual cuando es la propia víctima la que realiza el envío a un tercero y este luego la difunde. Por lo tanto, en el supuesto que analiza la STS habría que concluir que Constantino no responde del delito del art. 197.7 CP porque no obtuvo con la anuencia de Joaquina en un domicilio u otro lugar fuera del alcance de la mirada de terceros la fotografía del cuerpo desnudo de Joaquina, sino que fue ella misma la que se la envió. Concluyo pues que la obtención de la imagen o grabación íntima ha de realizarse con la intervención del sujeto activo, no siendo suficiente el envío voluntario.

El interés público de los datos personales en tiempos del COVID-19

El COVID-19 nos recuerda que, entre los nuevos desafíos que nos muestra el siglo XXI, no es posible asumir que en el “estado del bienestar” las administraciones públicas serán las únicas con un papel clave para lograr una estabilidad en muchos aspectos, como el económico, el cultural o el social, sino que la colaboración público-privada es esencial, fundamentalmente en un ámbito como el tecnológico.

Los autores del artículo Big Tech Could Emerge From Coronavirus Crisis Stronger Than Ever, publicado en “The New York Times”, explican con meridiana claridad cómo las grandes tecnológicas emergen frente al coronavirus más fuertes que nunca si cabe, frente a otros sectores de la economía a los que la pandemia sin lugar a dudas ha dejado en una cuarentena complicada de gestionar. Y es que, efectivamente, la tecnología se convierte en un arma estratégica para ganar la guerra al COVID-19, por lo que no deja de ser en todo caso paradigmático que la tecnología a la que el COVID-19 hace emerger sea la mejor aliada de nuestras Administraciones Públicas para su freno. A la necesidad de test, mascarillas, de respiradores, de personal sanitario, de ciencia e investigación, de buenos gestores y de mejores políticos, se le añade la necesidad de datos, de información, de tecnología, de infraestructura adecuada, de ética, de transparencia y de cumplimiento normativo.

En los últimos días hemos asistido a un importante debate en distintos medios de comunicación (al cual no hemos sido ajenos en este blog, véase aqui) sobre las bondades y los peligros de la recogida de datos personales en la lucha contra el COVID-19 en distintos ámbitos, como el laboral, el de la seguridad privada o el de la sanidad, al que se añade ahora el debate generado por la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Entre otras cuestiones, la Orden, en su norma segunda, sigue el modelo (también discutido en su día) emprendido por el Instituto Nacional de Estadística en su estudio de movilidad a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, para llevar a cabo el análisis de la movilidad de las personas en los días previos y durante el confinamiento. Esta Orden deja clara una cuestión que será preciso explicar bien a la población: el responsable del tratamiento será el Instituto Nacional de Estadística (INE) y los operadores de comunicaciones electrónicas con quienes se llegue a un acuerdo de participación, los encargados del tratamiento.

La aclaración es a priori sencilla en un foro como el que entiendo lee este artículo: los operadores llevarán a cabo el tratamiento de datos personales por encargo del INE, quién, por tanto, será el único que podrá decidir sobre el uso de los datos, debiendo someterse los operadores privados al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en el marco de un contrato u otro acto jurídico con el INE en el cual quedarán claramente reflejadas las obligaciones de cada parte y en el cual se limitará el tratamiento de los datos personales a dichos operadores privados en cuanto al objeto, la duración, la naturaleza y la finalidad del tratamiento y el tipo de datos objeto del tratamiento.

En su norma primera, la Orden encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19 que permitirá, al menos, realizar al usuario la autoevaluación en base a los síntomas médicos que comunique acerca de la probabilidad de que esté infectado, ofrecer información, consejos prácticos y recomendaciones a seguir y la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Y, de nuevo, se aclara que el responsable del tratamiento será el Ministerio de Sanidad y el encargado del tratamiento y titular de la aplicación será la Secretaría General de Administración Digital, quien además, autorizada por el Ministerio de Sanidad, podrá recurrir (esto es, contratar) a otros encargados (lo que incluirá seguramente otras terceras empresas privadas) para la ejecución de lo previsto.

En todo caso es preciso aclarar que el RGPD exige y condiciona al Ministerio a seleccionar únicamente para la colaboración a aquellos encargados del tratamiento que ofrezcan garantías suficientes para cumplir los requisitos de la normativa vigente y en los casos en que estos encargados del tratamiento sean empresas privadas hay que recordarles que quedarán sujetos a las exigencias del Real Decreto Ley 14/2019, de 31 de octubre, según el cual, entre otras cuestiones, por un lado, la empresa adjudicataria deberá presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos y por otro, se deberá advertir al contratista de que su obligación de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos tiene el carácter de obligación contractual esencial, de conformidad con lo dispuesto en la letra f) del apartado 1 del artículo 211 y a los efectos de las causas de resolución del contrato. Aunque de la articulación de este Real Decreto mejor no hablar mucho, porque su falta de técnica jurídica y pésima redacción pasará a la historia como una de las peores experiencias legislativas en materia de protección de datos personales.

En todo caso, si en base a lo establecido en la Orden ya se ha desencadenado un debate sobre las consecuencias de estas medidas para la privacidad y la protección de datos de la ciudadanía, parece predecible que cuando haya que ponerlas en práctica el escenario no va a ser distinto, aunque la Administración (que es la responsable del tratamiento), aún está a tiempo de cambiar esto. Porque no es el “estado de alarma” lo que pone en riesgo la privacidad de las personas, sino la alarma que genera en la población la falta de información sobre la gestión del cumplimiento de la normativa de tratamiento de datos personales que de la Orden se deriva. No podemos olvidar que la ciudadanía no tiene por qué ser experta en la norma, conocer su terminología ni confiar en las bondades del sistema, menos aún en esta situación donde la acción del Gobierno está siendo tan censurable, a criterio de una mayoría de la población.

Aunque este Gobierno ya nos tenga acostumbrados a ello, no puede protegerse la privacidad y tratamiento de los datos personales de la ciudadanía a base de legislar con “reales decretos urgentes” y ”órdenes en situación de alarma”, con imprecisión, falta de claridad y ausencia informativa.

Hubiera sido deseable que la Orden SND/297/2020, de 27 de marzo, contase un informe preceptivo de la Agencia Española de Protección de Datos (AEPD) o en su caso, si contó con él, que así se hubiera indicado expresamente en el propio texto. Si bien es cierto que la Orden indica que velará por la exigencia de cumplimiento del RGPD, la LOPDGDD y los criterios interpretativos dados por la Agencia Española de Protección de Datos (AEPD), tanto lo uno como lo otro establecen amplios márgenes respecto de las modalidades de aplicación de las medidas de cumplimiento, por lo que en este punto queda esperar que el Ministerio de Sanidad acuda a los recursos que el sistema establece para la salvaguarda de la seguridad jurídica en el cumplimiento de la norma, como el de la consulta constante a la Autoridad de Control, la AEPD, lo que sin duda además ayudará a este organismo en relación con sus funciones de supervisión y ejecución de la normativa.

Parece que, para ganar la confianza de la ciudadanía, al Ministerio de Sanidad solo le queda una opción: cumplir la normativa y explicar cómo lo va a hacer.

En este punto, vamos a destacar algunas de las obligaciones básicas del Ministerio de Sanidad en materia de protección de datos respecto del desarrollo de las soluciones tecnológicas contempladas en la norma primera de la Orden, llamando la atención sobre la posibilidad de consultar además la extensa doctrina que la AEPD ha emitido para las Administraciones Públicas y ha publicado en su sitio web (véase por ejemplo la síntesis realizada en la infografía “Adaptación al RGPD de las Administraciones Públicas”).

En primer lugar, y aunque parezca de Perogrullo, el proyecto requiere la presencia constante del delegado de protección de datos del Ministerio de Sanidad, velando por el cumplimiento de la normativa de protección de datos y ejerciendo, entre otras, sus funciones consistentes en: (i) inspección y supervisión del tratamiento que realice el Ministerio y emisión de las recomendaciones que considere necesarias, todo ello con imparcialidad, profesionalidad y garantizando su independencia sin incurrir en conflicto de intereses; (ii) documentación de cualquier vulneración relevante de la normativa que además, deberá comunicar inmediatamente a los órganos de administración y dirección.

Como la AEPD indica expresamente en su blog, el delegado de protección de datos es una figura clave para cumplir con el RPGD, además de ser el interlocutor con los ciudadanos en todas las cuestiones relacionadas con la protección de datos, incluyendo las reclamaciones. En la misma línea, la propia Agencia en su Guía para pacientes y usuarios de la Sanidad explica que la “figura del delegado de protección de datos es importante para los ciudadanos, que pueden dirigirse a él para que atienda las reclamaciones que planteen sobre el tratamiento de sus datos y el ejercicio de sus derechos”. Sin embargo, la ciudadanía no quiere solo un delegado sobre el papel, quiere un delegado ejecutivo, con recursos, y garantizando los derechos y libertades de las personas. En definitiva, un delegado “que se haga notar”.

En segundo lugar, es obligación del Ministerio de Sanidad desarrollar las soluciones tecnológicas bajo el principio de privacidad desde el diseño y por defecto, lo que supone la adopción de medidas que pueden consistir en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales y dar transparencia a las funciones y el tratamiento permitiendo a las personas interesadas titulares de los datos supervisar el tratamiento.

  • Si como la norma indica, “la aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”, será preciso que quede bien justificado técnica y organizativamente las medidas establecidas para impedir el uso de los datos con otros fines; o, en otro caso, qué otros fines derivados de esta geolocalización se aplicarán además de verificar que una persona “está donde está”.
  • Si, como la norma indica, “la aplicación no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos y su uso no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado”, pero permitirá, al menos, realizar al usuario la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19, ofrecerle información sobre el COVID-19 y proporcionarle consejos prácticos y recomendaciones de acciones a seguir según la evaluación”. será entonces preciso valorar muy bien qué datos se van a pedir y durante cuánto tiempo se van a conservar por la Administración porque, tras ofrecer la información al usuario y proporcionarle los consejos, parece que el tratamiento debería llegar a su fin. Y, con este fin, debería pasarse a realizar un proceso de bloqueo consistente en la identificación y reserva de los datos, adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización (excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes; en particular, de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas). Y, transcurrido este plazo, deberá procederse a la destrucción de los datos.

No obstante, según nuestra normativa local de protección de datos, la AEPD puede fijar excepciones a la obligación de bloqueo. Pero, para ello, se debería trasladar la consulta.

Suena raro en todo caso las limitadas finalidades explicadas en la Orden, teniendo en cuenta que la normativa permite el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, por no ser incompatibles con el principio de «limitación de la finalidad», pero deben ser informados.

Asimismo, de acuerdo con el RGPD, si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (en este caso el Ministerio de Sanidad) será preciso que la finalidad del tratamiento dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del RGPD, entre otras: las condiciones generales que rigen la licitud del tratamiento; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento. Sobra decir que la Orden no llega a este nivel de detalle.

Asimismo, los tratamientos de datos deben ser sometidos a una evaluación de impacto en la protección de datos “con carácter previo a su puesta en funcionamiento”, lo que exige que el responsable del tratamiento (esto es, el Ministerio de Sanidad) realice, antes del tratamiento:

  • Una descripción sistemática de las operaciones de tratamiento previstas;
  • Una descripción de los fines del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de las personas interesadas.
  • La descripción de las medidas previstas para afrontar los riesgos.
  • La descripción de las garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y que demuestren la conformidad con el RGPD.
  • Y cuando proceda, recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o de la seguridad de las operaciones de tratamiento.

En este proceso se exige la participación del delegado de protección de datos en relación con su función de asesoramiento, debiendo responder a las consultas que surjan y monitorizar el proceso.

Sin perjuicio de lo anterior, el Ministerio de Sanidad deberá activar el procedimiento de “consulta previa” ante la AEPD antes de poner en marcha el tratamiento de los datos si el resultado de la evaluación de impacto muestra que el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas y el Ministerio de Sanidad no ha identificado o mitigado suficientemente el riesgo. En estos casos, la autoridad de control deberá, en un plazo de ocho semanas -desde la solicitud de la consulta-, asesorar por escrito al Ministerio de Sanidad.

En tercer lugar, es obligación del Ministerio de Sanidad proporcionar información detallada a la ciudadanía sobre el tratamiento de sus datos y los protocolos para ejercitar y garantizar sus derechos.

El principio de transparencia exige que la información para la ciudadanía relativa al tratamiento de sus datos personales sea “fácilmente accesible y fácil de entender”, esto es, que esté expresado en un lenguaje sencillo y claro, dando respuesta a cuestiones cómo la identidad del responsable del tratamiento, la del delegado de protección de datos, los datos objeto de tratamiento, su origen, los fines y base legítima, los destinatarios, el plazo de conservación, la necesidad de su tratamiento, los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento reclamando la tutela de la AEPD.

En este punto, reiteramos lo crucial de que los fines de tratamiento sean absolutamente informados en su integridad y sin oscurantismos, con un lenguaje sencillo y con suficiente detalle. Y lo mismo, si los hay, con los destinatarios de los datos.

Es importante que se facilite a la ciudadanía la forma de ejercicio de sus derechos, puesto que a pesar de que el RGPD ha reforzado las garantías y derechos de las personas en relación con el tratamiento de sus datos, es arduo y complejo para el ciudadano medio entender el objeto y alcance de cada derecho, su aplicación, las condiciones y requisitos para su ejercicio y la forma en que deben ejercitarse, por lo que se deberían implantar protocolos fácilmente accesibles por las personas interesadas teniendo en cuenta los distintos segmentos poblacionales de quienes se tratarán los datos personales.

La transparencia o información a la ciudadanía sobre el alcance del tratamiento, según lo explicado y la garantía de sus derechos, son elementos verdaderamente cardinales en la protección de datos. Por ello, un mal paso en las condiciones de regulación de estos aspectos supondrá un aldabonazo importante para una ciudadanía que ya mira con recelo las medidas adoptadas para controlar el contagio del COVID-19 en relación con su privacidad, sin perjuicio de la responsabilidad en que la Administración pueda incurrir.

Además, hay que hacer hincapié en que, de otro modo, no solo quedaría menoscabada la confianza de la sociedad en las instituciones, sino que, en términos de daño reputacional, las entidades privadas participantes en el proyecto podrían quedar seriamente dañadas también, con el agravante de que estas, en su condición de “meras encargadas del tratamiento”, no son las responsables del tratamiento de los datos ni de las decisiones sobre el mismo, sino que son meras ejecutoras de las instrucciones que el Ministerio de Sanidad les comunique. Esto, en todo caso, no les dejaría indemnes, dado que el RGPD les atribuye un “deber in vigilando” de que ninguna de las instrucciones infringe la normativa o, en su caso, si lo hiciera, informar de ello de inmediato al Ministerio.

Asimismo, el RGPD exige que el Ministerio de Sanidad cumpla con su responsabilidad proactiva y haga frente a la “rendición de cuentas” conforme a la cual debe construir la formulación específica y detallada de las medidas que para la observancia de la normativa de protección de datos adoptará y sería deseable que, con el fin de evitar bulos y ganar la confianza de la población, publique a través de su portal de transparencia, a modo de memoria, aquella información en relación con las medidas que ha adoptado que no pongan en riesgo ni la privacidad de las personas ni las políticas públicas ni los secretos empresariales de las entidades privadas que participen. Porque la sociedad no solo demanda la observancia de la normativa, sino también una mayor transparencia en términos de privacidad -según todo lo ya explicado- en relación con el funcionamiento de las soluciones tecnológicas y aplicaciones que se utilizarán para la batalla contra el COVID-19, algunas de ellas -como dijimos al inicio- en manos de entidades privadas a las que el coronavirus incluso ha hecho más fuertes.

Pero, a priori, aquí el problema no son las empresas privadas, las cuales, por norma general, disponen de exhaustivos planes de cumplimiento normativo y responsabilidad social empresarial para demostrar su “buen hacer”, sino la incertidumbre provocada por la Administración al no establecer un marco claro de actuación. Porque de nuevo hay que mencionar que en este caso, las entidades privadas tratarán los datos actuando “por Orden” y “por encargo” de Administración y no decidirán sobre el tratamiento de los datos de los ciudadanos.

Eso sí, la falta de definición del marco claro de actuación por parte de la Administración (en términos de privacidad), además del perjuicio a los ciudadanos, redundará en perjuicio de la imagen y reputación de las empresas privadas colaboradoras, pese a sus muchos programas de cumplimiento normativo, sistemas de calidad y planes de responsabilidad social corporativa.

Solo si la responsabilidad de la Administración funciona en términos de transparencia y es capaz de explicar a la población cuál es el marco de actuación del tratamiento de los datos personales se podrá desarrollar en la práctica la confianza suficiente de la ciudadanía y también una crítica más constructiva por parte de los estudiosos o expertos de la privacidad. Ello desde luego, con la permanente supervisión de la Autoridad de Control, que es quien, en última instancia, tiene en su mano la aplicación efectiva de la normativa vigente en protección de datos.

De otra forma, aumentará la sensibilización de la ciudadanía en contra de medidas que en otros países se han puesto en práctica y han sido efectivas y que, como hemos analizado, tienen cabida en el marco de nuestro Ordenamiento Jurídico y que además fomentan una colaboración público-privada en el marco del interés público, con un claro reparto de riesgos, funciones y capacidades, siempre en beneficio de la ciudadanía y en la única batalla posible, que es la batalla contra el COVID-19.

Privacidad en estado de alarma y normal aplicación de la Ley

Valorar situaciones de excepcionalidad desde la lógica de la normalidad es absurdo y tergiversa cualquier debate o conclusión. Desde la reinstauración de la democracia nunca se ha declarado el estado de excepción o sitio y sólo en dos ocasiones se ha declarado el de alarma, sin que entre ellas haya relación en cuanto a los motivos y medidas adoptadas. Cada circunstancia requiere respuestas diferentes, acordes con la realidad a la que ha de hacerse frente. Pero pretender que una situación de excepcionalidad permite una aplicación excepcional de la Ley no es de recibo. Las situaciones inusuales, como lo es el estado de alarma, han de afrontarse con la normalidad de la aplicación de la Ley.

Como he tenido ya ocasión de recordar (véase aquí), la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el artículo 11 de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio. En ningún caso, además, pueden suspenderse derechos, sino tan sólo adoptar medidas que condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aun así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos deriva del artículo 18.4 de la Constitución de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma.

Ya se ha discutido si en las circunstancias que ahora vivimos la libertad de circulación ha sido o no suspendida. Sin perjuicio de que las medidas adoptadas sobre todo a partir del confinamiento generalizado y la suspensión de actividades no esenciales pueden estar en el límite de lo que puede acordarse en casos de estados de alarma, lo cierto es que por el momento no se han suspendido derechos fundamentales, aunque sí se ha limitado notabilísamente su ejercicio. Este puede ser el caso, parece, con la protección de datos de carácter personal.

Ante todo hemos de recordar de nuevo, como se ha puesto de manifiesto ya en varias ocasiones, que, como no puede ser de otro modo, tanto el Reglamento General de Protección de Datos de la Unión Europea (RGPD) como la Ley Orgánica de Protección de Datos (LOPDGDD) permiten el tratamiento de datos, incluidos datos de salud, sin el consentimiento de los afectados cuando sea necesario para atajar el coronavirus [1]. La legislación sectorial en materia de sanidad y salud pública también lo permiten, como la de prevención de riesgos laborales. Con todo este marco normativo ha de ponerse de relieve una vez más que la protección de datos ni es ni puede ni debe ser un obstáculo para la más efectiva de las luchas contra el coronavirus dentro del Estado de Derecho. Una vez más insisto en que la protección de datos apenas prohíbe hacer nada, sino que marca la línea que indica cómo deben hacerse las cosas.

Ahora se ha dado un paso más con la puesta en marcha de lo que se ha denominado “DataCOVID”, que -según informa el Gobierno- constituye un estudio de movilidad de la población para contribuir a la toma de decisiones ante el coronavirus [2]. Incluso se ha aprobado por el Ministerio de Sanidad (autoridad competente delegada con carácter general para el ejercicio de las funciones que sean necesarias para la efectividad del estado de alarma[3]) la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Esta, en definitiva, viene a poner de manifiesto que se van a utilizar masivamente las posibilidades que la geolocalización puede ofrecer a partir de los datos de los teléfonos móviles. Se trata, por un lado, de “verificar que [el usuario] se encuentra en la comunidad autónoma en que declara estar”, y por otro de analizar “la movilidad de las personas en los días previos y durante el confinamiento”. Ya se ha estudiado en detalle el contenido de dicha orden [4], por lo que no es necesario hacerlo de nuevo. Pero sí parece oportuno proponer algunas reflexiones de alcance más general.

Desde luego, como ya he puesto de manifiesto en otras ocasiones, no creo que, en estos momentos, podamos pensar que el derecho fundamental a la protección de datos esté vaciándose de contenido. Ni siquiera tras la citada Orden SND/297/2020[5]. Pero hay que ser extraordinariamente cauto para evitar cualquier riesgo de impacto irreversible en la protección de datos. Las pistas ya las dio la Agencia Española de Protección de Datos en su relevante Informe 0017/2020 [6] y el Comité Europeo de Protección de Datos lo ha advertido en su Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, adoptada el pasado 19 de marzo [7].

La cuestión, sobre el papel, no es difícil: si no es en ningún caso posible suspender el derecho a la protección de datos (recuerdo que ello tampoco sería posible ni en un estado de excepción ni de sitio), sino sólo limitar su ejercicio en lo imprescindible para combatir la situación que ha dado lugar al estado de alarma (“afrontar la situación de emergencia sanitaria provocada por el coronavirus COVID-19”, según el art. 1 del Real Decreto 463/2020); si ello es así, decía, los principios esenciales que configuran el contenido esencial del derecho a la protección de datos en ningún caso pueden violarse y la situación ha de volver a una total normalidad una vez concluido el estado de alarma. Aunque hay que advertir que la aplicación de las medidas que sean necesarias, siempre que respeten tales principios esenciales, ha de considerarse dentro de la normalidad, pues es normal que la Ley (en nuestro caso, sobre todo, el RGPD) prevea tratamientos en escenarios inusuales.

Esto es importante, pues de lo contrario podría considerarse que son admisibles medidas extraordinarias ante situaciones que también lo son. Me explico: sólo si partimos de que la Constitución prevé, con normalidad democrática, que pueden tomarse medidas para hacer frente a las situaciones no usuales que puedan llegar a producirse, podremos concluir que tales medidas han de ser tomadas en el marco de la más absoluta normalidad democrática y del más normal respeto al Estado de Derecho. Ni la democracia ni el Estado de Derecho están restringidos ni limitados por el estado de alarma. Una y otro operan con todo su rigor, como con normalidad prevé el art. 116 de la Constitución. Aplicado esto a la protección de datos, procede concluir que es normal que pueda limitarse el ejercicio del derecho a la protección de datos, pues sólo de este modo podrán analizarse desde la lógica de la normalidad democrática y jurídica las medidas que se adopten y que, al no ser extraordinarias, sino normales en el entorno en que han de aplicarse, pueden y deben ser juzgadas desde la normalidad, sin que por tanto sean justificables medidas que pretendan ampararse en una suerte de excepcionalidad que justificaría también excepcionalmente restringir los principios configuradores del derecho fundamental. Restricción que, por moverse en la lógica de la excepcionalidad, podría ser analizada y juzgada desde la excepcionalidad y, por tanto, admitiría limitaciones que sin embargo deben ser considerados inadmisibles. La excepcionalidad fáctica sólo puede y debe ser combatida desde la normalidad jurídica y democrática, lo que permite tomar medidas que, en el marco del respeto absoluto al Estado de Derecho, estén dirigidas a acabar cuanto antes con aquélla situación fáctica. Por tanto los derechos (en plural) pueden estar sujetos a las limitaciones que sean imprescindibles, pero nunca el Derecho, con mayúsculas y en singular, porque precisamente el Derecho es lo que permite hacer frente, con normalidad jurídica, la situación de anormalidad que ha de afrontarse.

En este escenario, las medidas que se adopten en materia de protección de datos para acabar cuanto antes con la pandemia han de ser las que con normalidad jurídica y democrática  pueden e, incluso, deben adoptarse en tales circunstancias. Respetando en todo caso los principios que enumera el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva. Ninguno de estos principios cede en el estado de alarma. Y todo ello bajo la supervisión de las autoridades de protección de datos; en particular, de la Agencia Española de Protección de Datos, cuyas competencias en este ámbito, por lo demás, en ningún caso pueden ser sustraídas ni ejercidas por las autoridades competentes delegadas a que se refiere el Real Decreto 463/2020, pues la existencia misma de una autoridad de control independiente forma asimismo parte del contenido esencial del derecho a la protección de datos, tal como se desprende del artículo 8.3 de la Carta delos derechos fundamentales de la Unión Europea.

Por cierto, es llamativo y difícilmente comprensible que ante una situación como el estado de alarma, que por definición afecta al ejercicio de los derechos fundamentales, el Ministerio de Justicia no sea una de las autoridades competentes según el artículo 4.2 del citado Real Decreto 463/2020. Artículo que, como digo, no puede en ningún caso interpretarse en el sentido de entender que el Ministerio de Sanidad asume las funciones de la Agencia, pues, pese a que dicho precepto dispone que este Ministerio será autoridad competente delegada “en las áreas de responsabilidad que no recaigan en la competencia” de alguno de los Ministerios de Defensa, Interior o Transportes, lo cierto es que la protección de datos no es responsabilidad del Ministerio de Justicia (como he dicho, no incluido en esta breve relación, y por tanto sujeto a la asunción residual de competencias en favor del de Sanidad), sino de la Agencia, sin perjuicio de que ésta se relacione con el Gobierno a través del Ministerio de Justicia (art. 44.1 LOPDGDD).

Lo anterior es totalmente trasladable a los tratamientos de datos previstos en la Orden SND/297/2020. Que por lo demás no es que sean autorizados por dicha Orden (que tiene la naturaleza de acto administrativo y no de disposición de carácter general) sino que son preexistentes a la misma, pues en definitiva lo que en ella se hace no es autorizar o regular una serie de tratamientos que permitan la geolocalización o estudiar la movilidad de, parece, cualquier cliente de operadores móviles, sino establecer una relación de responsable-encargado en los tratamientos a que se refiere.  En un caso (geolocalización) el responsable es el Ministerio de Sanidad y el encargado la Secretaria General de Administración Digital; en el otro (estudio de movilidad de la población), el responsable es el Instituto Nacional de Estadística y los encargados “los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo”.

Pues bien, la situación de excepcionalidad no admite una aplicación excepcional o incluso inaplicación de la Ley, sino la más normal de sus aplicaciones. Y en este sentido, los tratamientos a que se refiere la Orden han de basarse en un título habilitante que los haga lícitos (título que sin duda puede encontrarse en el artículo 6.1.d) y e) y en varios apartados del artículo 9.2, ambos del RGPD) y deben respetar el resto de principios de la protección de datos que antes he recordado. Entre otros los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación. Y en particular el principio de responsabilidad proactiva, que a su vez exige tener en cuenta la protección de datos desde el diseño  y por defecto (especialmente importante cuando se trata de desarrollar una aplicación informática para el apoyo en la gestión de la crisis sanitaria), la realización de una evaluación de impacto a la protección de datos (pues se dan sin duda las condiciones previstas en el artículo 35 del RGPD) y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 del RGPD, que además debe hacerse público, según el art. 31.2 de la LOPDGDD.  Por otra parte es imprescindible informar a los interesados en los términos previstos, según los casos, en los artículos 13 y 14 del RGPD salvo que se acredite que se dan algunas de las circunstancias que prevén los apartados 4 y 5, respectivamente, de ambos artículos. Por otra parte, deberán aplicarse las previsiones del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones[8]. Todas estas circunstancias han de ser tenidas en cuenta y hemos de suponer que así ha sido. La supervisión de la Agencia Española de Protección de Datos pasa a ser de nuevo capital. Así como, por supuesto, el acceso a la vía judicial en su caso, como ha advertido el Comité Europeo de Protección de Datos precisamente en relación con el posible uso de datos de geolocalización a partir del uso de los móviles [9].En este sentido es muy relevante el Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus [10], hecho público días antes de la aprobación de la orden, en el que se admite la posibilidad de su desarrollo y uso, pero con estricto respeto a los principios del derecho a la protección de datos.

Dicho lo anterior, que se trate de soluciones, las previstas en la Orden de 27 de marzo, que parecen haber resultado positivas en otros países, es un elemento muy a tener en cuenta, sin duda, pero no definitivo. Hay que tener en cuenta varias circunstancias.

Por un lado, es imprescindible conocer la situación real en la que tales medidas van a ser aplicadas. No sólo por parte de los poderes públicos que van a ponerlas en marcha, sino también por todas las personas que vamos a ser destinatarios de las mismas.  En este sentido, la transparencia en cuanto a la transmisión de la información por parte de las autoridades competentes en los términos del Real Decreto 463/2020 es imprescindible. Los datos han de ser reales, sean los que sean. Y en este sentido debería aclararse cuanto antes el alcance de la preocupante Nota del Presidente del Tribunal Superior de Justicia de Castilla-La Mancha hecha pública el 6 de abril, en la que, de forma muy bien motivada y documentada, advierte que los enterramientos por coronavirus en esa Comunidad Autónoma superan en mucho a los datos oficiales, tal como se desprende de los datos recogidos de los Registros Civiles y en particular de los certificados de defunción[11], lo que incluso ha llevado a iniciar un expediente gubernativo (Expediente 49/2020) “dirigiendo prevención a los Jueces Encargados de los Registros Civiles para que, en lo sucesivo, se vele por que se haga una identificación lo más precisa posible de la causa inicial o fundamental de la muerte en todos aquellos casos en los que aparezcan procesos patológicos o causas o intermedias que puedan considerarse compatibles o sospechosos con el Coronavirus Covid”.

Por otra parte, es seguro que ya se han debido realizar las evaluaciones necesarias para concluir qué tipo de aplicación, qué tratamiento de datos basado en las técnicas de big data y qué medidas se han adoptado o deben adoptarse para garantizar plenamente el derecho a la privacidad de las personas. La propia orden en su punto cuarto se remite a la legislación de protección de datos, cuya plena aplicación, en los términos de normalidad que he apuntado, ha de darse por descontada [12]. Pero no podemos olvidar que hay voces que, incluso fuera de nuestras fronteras y referidas a experiencias semejantes a la nuestra, han expresado sus cautelas frente a las técnicas basadas en la geolocalización. Me refiero por ejemplo al interesantísimo Libro Blanco sobre “Decentralized Privacy-Preserving Proximity Tracing”, elaborado por investigadores de diversos centros europeos, con una destacada intervención de la investigadora española  Carmela TRONCOSO [13], incluyendo un detallado estudio de las medidas de seguridad que deben implantarse[14]. Documentos que apenas se han hecho públicos el pasado día 3 de abril. Por su parte el Supervisor Europeo de Protección de Datos ha abogado por el uso de la tecnología para acabar con el virus y ha instado a poner en marcha una pan-Europea “COVID-19 mobile application”, coordinada a nivel de la Unión Europea, al objeto de evitar las posibles diferencias que puedan existir entre las aplicaciones que vayan desarrollándose en cada país.

En fin, una última consideración que no es necesario resaltar: cualquier medida adoptada para hacer frente a la crisis del coronavirus ha de cesar en cuanto la situación excepcional en la que se enmarca desaparezca. También esto encaja dentro de la normal aplicación de la Ley y el Derecho. Las sucesivas prórrogas del estado de alarma traen consigo, en lo que sea necesario, la ampliación de la vigencia de las medidas adoptadas en su aplicación, pero, como advierten con carácter general en relación con las medidas adoptadas con ocasión de los estados de alarma, excepción y sitio GARCIA DE ENTERRIA y Tomás Ramón FERNANDEZ, justificadas “precisamente por las circunstancias excepcionales que tratan de resolver, pierden todo sentido cuando estas circunstancias desaparecen. Restablecida la normalidad, no es necesario siquiera proceder a su derogación formal y expresa para que tal derogación se estime producida” [15].

Al recuperarse la normalidad fáctica, volverá por tanto a restablecerse el pleno ejercicio de los derechos y entre ellos el de la protección de datos. Pero habremos de estar especialmente atentos y cautelosos, y aquí los prestadores de servicios y sobre todo los poderes públicos deberán ser especialmente responsables, al objeto de garantizar que en efecto las limitaciones al derecho han quedado sin efecto y que por tanto, por ejemplo, ya no están siendo geolocalizados masivamente nuestros móviles. Porque mientras que la recuperación del resto de los derechos podrá y deberá ser evidente, la de la privacidad puede pasar desapercibida porque su violación pasa asimismo desapercibida. Esa es la gran diferencia entre el derecho a la privacidad y el resto de derechos: pueden estar vulnerando nuestra privacidad sin que para nada seamos conscientes de ello; lo seremos cuando se produzcan en su caso las consecuencias de la violación, pero no antes. Y será difícil que pueda demostrarse que ya no estamos sometidos a una vigilancia constante que por lo demás en cualquier caso es posible. Y que incluso en un estado de alarma puede ser hasta necesario para conseguir la finalidad requerida: acabar con la pandemia.

Se trata, en definitiva, de garantizar que cualquier medida que se adopte y que pueda afectar a la protección de datos no sitúe a este derecho en estado de alarma, sino que permita acabar cuanto antes con el estado de alarma. Para lo cual, como ha advertido el Supervisor Europeo [16], tales medidas han de ser temporales, para finalidades determinadas, que impliquen el acceso limitado a los datos que sean imprescindibles y, muy importante, siendo conscientes de que volveremos a la normalidad. Lo que en definitiva no es más que la aplicación normal del marco jurídico que regula el derecho fundamental a la protección de datos de carácter personal.

 

NOTAS

[1] Entre otros, MARZO PORTERA, Ana, “La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19” en Expansión-Hay Derecho, 18 de marzo de 2020. Puede consultarse en https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/; MARTINEZ, Ricard, “A la muerte por protección de datos”, en http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/; Yo mismo en “La protección de datos durante la crisis del coronavirus”, Newsletter del Consejo General de la Abogacía Española: https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/.

[2] https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/asuntos-economicos/Paginas/2020/010420-datacovid.aspx

[3] Art. 4 del Real Decreto 463/2020, pro el que se declara el estado de alarma. Corresponden al Ministerio de Sanidad todas las funciones que no correspondan a los Ministerios de Defensa, Interior y Transportes, Movilidad y Agenda Urbana.

[4] MARTINEZ,  Ricard, “Protección de datos y geolocalización en la Orden SND/297/2020”,  https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/

[5] Ricard MARTINEZ considera que “Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría”.

[6] https://www.aepd.es/es/documento/2020-0017.pdf

[7] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

[8] De él me he ocupado en “Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones”, en Revista Derecho Digital e Innovación, Wolters Kluwer, nº 3.

[9] Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, citada más atrás.

[10] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-de-la-aepd-en-relacion-con-webs-y-apps-que-ofrecen

[11] http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunales-Superiores-de-Justicia/TSJ-Castilla-La-Mancha/En-Portada/El-numero-de-licencias-de-enterramiento-expedidas-por-los-registros-civiles-de-Castilla-La-Mancha-en-marzo-de-2020-aumenta-un-96-3—respecto-al-mismo-mes-del-ano-anterior

[12] Aunque lo cierto es que no parece que lo más adecuado sea afirmar, como hace el citado punto cuarto, que “lo dispuesto en esta orden se entiende sin perjuicio de la aplicación del régimen previsto” en el RGPD y la LOPDGDD. Esta afirmación sólo puede ser interpretada en el sentido de que la aplicación de la orden se someterá totalmente y sin excepción alguna a la normativa sobre protección de datos. Quiero pensar que se trata tan sólo de una redacción propia de la urgencia en aprobar la orden.

[13] https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf

[14] https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Data%20Protection%20and%20Security.pdf

[15] Curso de Derecho Administrativo, Vol. I, Thomson Reuters-Civitas, Cizur Menor, 18 edición, 2017.

[16] EU Digital Solidarity: a call for a pan-European approach against the pandemic, citado más atrás.

Protección de datos y geolocalización en la Orden SND/297/2020

La Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, contempla un conjunto de medidas sobre las que se ha estado polemizando en las últimas dos semanas. Y sin duda merece una especial atención.

1.-El contexto de la norma.

Con carácter previo es fundamental situar la norma en su contexto atendiendo primero a los aspectos competenciales. La orden emana del Ministerio de Sanidad, y en el marco de sus competencias. Por otra parte, la exposición de motivos de la Orden indica finalidades muy específicas dirigidas a «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública». Estos fines pretenden ejecutarse por medio de acciones concretas:

Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, un asistente conversacional o una página web, que permitan aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud.

▪ Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento para entender los desplazamientos de población y verificar cómo de dimensionadas están las capacidades sanitarias en cada provincia.

Para ello se invocan dos fuentes de legitimación:

▪ El artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

▪ El artículo 4 del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 por el que se habilita a las autoridades competentes delegadas para dictar las órdenes, resoluciones, disposiciones e instrucciones interpretativas.

Así pues, a la luz de la exposición de motivos, la Orden bajo ningún punto de vista es comparable con las previsiones que se contienen en los estados de excepción y sitio respecto del marco ordinario de tutela del secreto de las comunicaciones y la inviolabilidad del domicilio. No es, por tanto, y como en ocasiones se sugiere, ni un estado excepcional respecto del derecho fundamental a la protección de datos ni tampoco una derogación del marco jurídico europeo o nacional.

2.-¿Qué tratamientos de datos personales?

Con carácter previo debe señalarse que la orden no establece excepción alguna al derecho fundamental a la protección de datos; al contrario, refiere expresamente la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Pero hace algo más: el Ministerio se compromete a seguir «los criterios interpretativos dados por la Agencia Española de Protección de Datos». Estos criterios son parcos en lo que a la situación actual se refiere, pero amplísimos si se considera el conjunto de informes y recomendaciones disponibles. Con carácter específico hay que atender al Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus. En el mismo se señalan algunos principios nucleares:

Como ya dijera con anterioridad en un Informe y después en unas preguntas frecuentes sobre tratamientos de datos en relación con el coronavirus, el derecho fundamental a la protección de datos puede ser limitado por razones de interés público relacionado con la salud de las personas. Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes, facilitándoles criterios que permitan compatibilizarlos.

Las finalidades legítimas para las que estas autoridades pueden tratar datos se extenderán a las relacionadas con el control de la epidemia, como ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. En la geolocalización la autoridad extiende el ámbito del tratamiento bajo ciertas condiciones y/o circunstancias:

Que hayan facilitado previamente el teléfono móvil. Criterio que no precisa, aunque habida cuenta de que la norma se refiere a usuarios cabe pensar que se facilite específicamente durante el proceso de instalación.

▪ Para una determinada finalidad: ofrecer canales alternativos de información fiable a los ciudadanos y aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud. Así como, contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento

▪ Y con una determinada legitimación: las amplias competencias que, en situaciones excepcionales, tienen las autoridades sanitarias. Además, la Agencia Española de Protección de Datos, a diferencia de lo que han negado diversos expertos, sí establece una correlación entre la medida de localización con el Estado de Alarma señalando que debe tenerse en cuenta que «una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas».

Si atendemos a las acciones definidas en la Orden se pretende realizar los siguientes tratamientos:

Autoevaluación básica de síntomas médicos. Como resultado de la misma cabe deducir que se podrá identificar a pacientes potenciales. Sin embargo, ello ofrece alguna duda ya que expresamente se señala que:

La aplicación no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos. La utilización de la aplicación no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado.

Esta previsión, seguramente excluya el requisito de ser mayor de 16 años, definido por la agencia española de protección de datos, probablemente en aplicación del criterio de consentimiento informado de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Sin embargo, deja en el aire que consideración tendrá para el sistema de salud un usuario de cuya autoevaluación sugiera claramente la presencia de un enfermo.

La herramienta además prestará un servicio a la ciudadanía consistente en ofrecer información al usuario sobre el COVID-19 y proporcionarle consejos prácticos y recomendaciones de acciones a seguir según la evaluación, así como conectarle con portales gestionados por terceros con el objeto de facilitar el acceso a información y servicios disponibles a través de Internet.

▪ La única función que se enuncia para la aplicación en materia de localización individualizada de una persona consiste en la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Y de nuevo aquí la semántica plantea dudas de orden material. Es un espacio geográfico amplísimo. Obviamente una geolocalización tan extensa no sirve ni al control, salvo que se trate de las infracciones más evidentes, ni a la gestión asistencial. De modo que sólo parecería servir a los estudios de movilidad.

▪ Y esta es la ulterior finalidad perseguida, realizar un estudio de la movilidad aplicada a la crisis sanitaria a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento. Debe señalarse, una cuestión técnica particularmente relevante en esta materia. Si se logra la anonimización irreversible a la que se refiere el RGPD resulta que señala su Considerando núm. 26 que «el Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación».

Sin embargo, el inciso final del artículo segundo de la Orden no solo se refiere al RGPD y la LOPDGDD expresamente, sino que atribuye al Instituto Nacional de Estadística la condición de responsable del tratamiento y a los operadores de telecomunicaciones la de encargados.

3.-El juicio de ponderación.

Desde el punto de vista de la limitación del derecho fundamental a la protección de datos podría decirse que parece satisfacerse el test de ponderación que exige el Tribunal Europeo de Derechos Humanos, por ejemplo, en el asunto Z. c. Finlandia. Primero, se invoca una finalidad legítima y necesaria en una sociedad democrática, la salud pública y la lucha contra la epidemia. Es más, incluso las referencias del TEDH en alguna ocasión a la idea de necesidad social imperiosa podrían verse satisfechas.

En segundo lugar, existiría una suerte de predeterminación normativa en cascada. El artículo tercero de la Ley Orgánica 3/1986 faculta para adoptar medidas de control, y la Orden SND/297/2020 define algunas de las acciones a desplegar. Como se señalaba, el tratamiento más invasivo, la localización, se refiere a usuarios y si traspasan la comunidad autónoma. Ir más allá, traspasar el umbral de este tipo de localización a “los enfermos”, exigiría incluir alguna previsión específica en el artículo 7, o un artículo 7 bis en el Real Decreto 463/2020, entendiendo como la AEPD que el artículo 11.a) de la Ley Orgánica 4/1981, permite limitar la circulación de personas y ofrece un fundamento adecuado.

En tercer lugar, desde el punto de vista de la proporcionalidad, las medidas se limitan a un concreto tipo de personas, usuarios que hubieran facilitado su teléfono móvil, y para una determinada finalidad verificar que se encuentran en la comunidad autónoma que declaran. Y en el caso de estudios de movilidad se ordena su anonimato absoluto.

Incluso se sugiere la celebración del contrato de encargado del tratamiento del artículo 28 RGPD a tratamientos de datos anonimizados, obligación que no se desprende del RGPD, sino que parece que se ofrece como garantía adicional.

4.-¿Estado policial?

Visto el contenido de la Orden, parece que se busca el despliegue de herramientas funcionales a la lucha contra una epidemia. La Orden no se refiere en ningún momento ni al Ministerio del Interior ni señala ningún interés policial en el tratamiento. Se trata ofrecer y obtener información de usuarios de una aplicación, así como la movilidad general y anónima a fin de adoptar las medidas oportunas. Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría.

La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19

En un momento en que el estado de alarma sitúa en un escenario de medidas que limitan o restringen el ejercicio de los derechos (como excepción a la normalidad constitucional fruto o consecuencia de la gravedad de la situación), parece más temerario que razonable que las autoridades de protección de datos de los países europeos a la cabeza de contagios (Italia, España, Alemania y Francia) estén emitiendo una doctrina confusa y obstaculizadora para las empresas y entidades públicas en relación con la recogida y tratamiento de datos de salud para detectar los casos de coronavirus o prevenir contagios.

Sin ir más lejos, el garante para la Protección de Datos de Carácter Personal (Autoridad italiana) publicó la pasada semana, en pleno auge de la enfermedad, una nota de prensa  bajo el título “No do-it-yourself (DIY) data collection, says the Italian DPA”  para dejar sin palabas a cualquiera.

Esta autoridad de control, ante las “numerosas preguntas de entidades públicas y privadas respecto de la posibilidad de recoger datos sobre síntomas de coronavirus de visitantes y trabajadores como medida preventiva del contagio”, determinó que los empleadores deben abstenerse de recopilar, a priori y de manera sistemática y generalizada, información sobre la presencia de cualquier síntoma de gripe del trabajador y sus contactos más cercanos, incluso a través de solicitudes de información específicas a los trabajadores de forma individual o a través de investigaciones no autorizadas, bajo la justificación de que solo los trabajadores de la salud y el sistema activado por la protección civil son los organismos responsables de garantizar el cumplimiento de las normas de salud pública y por tanto, quienes pueden determinar y recopilar información relacionada con los síntomas típicos del coronavirus e información sobre los movimientos recientes de cada individuo.

En una línea similar, la autoridad francesa de protección de datos (CNIL), ante la igualmente numerosa recepción de solicitudes de profesionales sobre la posibilidad de recopilar, además de cualquier tratamiento médico, datos sobre empleados y visitantes para determinar si las personas tienen síntomas de coronavirus o datos relacionados con viajes y eventos, indicó a través de un artículo denominado “Covid-19, Les rappels de la CNIL sur la collecte de données personnelles” que los empleadores no pueden tomar medidas que puedan violar la privacidad de las personas, dado que estos datos están sujetos a una protección muy especial, tanto por el Reglamento General  de Protección de Datos como por las disposiciones del Código de Salud Pública. Y dio un paso más allá, explicando que no es posible implementar, por ejemplo, sistemas de lectura obligatoria de la temperatura corporal de cada empleado o visitante de un centro o establecimiento, concluyendo que si la situación de salud requiere que todas las partes interesadas estén particularmente atentas, “la CNIL invita a las personas y profesionales a seguir las recomendaciones de las autoridades sanitarias y a recopilar solo datos sobre la salud de las personas que tienen han sido solicitados por las autoridades competentes”.

Menos restrictivo aparentemente resulta el informe emitido por la Autoridad alemana de protección de datos (BFDI), en su artículo Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, publicado igualmente, como en los casos anteriores, tras la masiva consulta elevada por los empleadores sobre el mismo hecho, la posible recogida de datos de salud por los empleadores respecto de la infección de sus trabajadores por coronavirus. No obstante, el informe no profundiza acerca de la licitud o no de la recogida de datos de temperatura corporal de los trabajadores y visitantes a centros de trabajo.

Llegados a este punto, nuestra autoridad de control, la Agencia Española de Protección de Datos, publicó el pasado 12 de marzo un informe sobre los tratamientos de datos en relación con el Covid19, donde parecía que, ante tanta insensatez, nuestra autoridad ofrecía un criterio acorde con las circunstancias dentro de las garantías del Reglamento General de Protección de Datos, explicando que en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”.

Pero en paralelo a este informe, la misma autoridad ha publicado unas preguntas frecuentes sobre el tratamiento de datos en relación con el coronavirus, donde a la vez que avala que “verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador” sin embargo argumenta que esta verificación debería ser realizada por “personal sanitario”.

Esto supone que, a criterio de nuestra autoridad de control, resulta obligatorio para todos los empleadores verificar si el estado de salud de su personal puede poner en riesgo la salud de toda la plantilla u otras personas, pero eso sí, solo a través del personal sanitario.

Sorprendente conclusión a la que llega nuestra autoridad de control en un momento donde es prioritaria la salud de la población y donde la cordura nos dice que la protección de datos no debería utilizarse para obstaculizar ni limitar la efectividad de las medidas que adopten, no solo las autoridades, sino también los agentes privados en la lucha contra la epidemia.

En esta línea, el Considerando (46) del Reglamento General de Protección de Datos reconoce que ciertos tipos de tratamientos de datos pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria.

Y como apunta el profesor Ricard Martínez en su brillante informe sobre el tema “A la muerte por protección de datos”, nuestro ordenamiento jurídico nos proporciona un marco regulador en salud pública y vigilancia epidemiológica que son suficientes garantías para poder llevar a cabo el tratamiento de datos personales aplicando la razón última en la protección de las categorías especiales de datos (como los de salud), cuestión que ya  tuvo en cuenta el Convenio 108/1981, del Consejo de Europa, que no es otra que evitar la discriminación.

Tomando las palabras de Ricard Martínez, “tratar datos de salud con la función de prevenir y luchar en un escenario epidémico o pandémico se alinea con el valor constitucional fundamental la garantía de la vida, la salud y la dignidad humanas”, por lo que, haciendo un llamamiento a las autoridades de control de protección de datos europeas, y especialmente a la española, estas deberían reelaborar sus informes, proporcionando a los empleadores y entidades, tanto públicas como privadas, y a la ciudadanía en general, un escenario acorde con la normativa de privacidad, diseñando en todo caso un protocolo a seguir para la recogida de datos personales con el fin de contener la propagación del coronavirus y evitar riesgos a las personas, bien se trate del personal de plantilla, bien de visitas.

Y ello sin descartar el uso y aprovechamiento de la tecnología existente, como por ejemplo uso de cámaras térmicas en manos del personal de seguridad privada, todo ello, lógicamente en un escenario de cumplimiento de los principios de protección de datos que nos obligan a garantizar la privacidad desde el diseño y por defecto, la limitación de la finalidad del tratamiento, la minimización de los datos, un marco temporal de tratamiento y conservación de los datos, la exigencia del deber de secreto de las personas que deban tratar los datos (aunque no sea estrictamente personal sanitario) y  las debidas medidas de seguridad, todo ello para que los destinatarios de dicha información sean las autoridades sanitarias y aquellos terceros que en su caso el Ordenamiento Jurídico prevea.

Pero no pongamos el derecho a la protección de datos como obstáculo ni sometamos a las empresas ni a nuestras administraciones abiertas al público a la contradicción de tener que aplicar medidas para garantizar la salud y evitar los contagios, solo si determinados tratamientos de datos para ello los lleva a cabo el personal sanitario. El personal sanitario “está donde está” y “bastante tiene con lo que tiene”.

Volviendo a la pregunta planteada por la Agencia Española de Protección de Datos en su documento de preguntas y respuestas acerca de si el personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus cuando esté en riesgo tanto su salud como la de otras personas y cuya respuesta de la citada Agencia es que, de acuerdo con la normativa de prevención de riesgos laborales, ello resulta obligatorio para el empleador, si bien debería ser realizado por personal sanitario, me atrevo a realizar la siguiente reflexión:

La derogada Directiva Europea 95/46/CE de protección de datos, establecía en su artículo 8 la prohibición de los Estados miembros de llevar a cabo el tratamiento de datos personales relativos a la salud con, entre otras, la siguiente excepción: cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos siempre que dicho tratamiento de datos fuera realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

En la misma línea, la derogada Ley Orgánica 15/1999 de protección de datos de carácter personal, establecía en su artículo 7, apartado 6, que podrán ser objeto de tratamiento los datos de carácter personal de salud cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

En mi opinión, el Reglamento General de Protección de Datos ha mantenido el mismo régimen en su artículo 9, apartados 1, 2.h) y 3 al determinar que queda prohibido el tratamiento de datos personales relativos a la salud, salvo que dicho tratamiento sea necesario para fines de medicina preventiva o laboral, prestación de asistencia o tratamiento de tipo sanitario o social, sobre la base del Derecho de la Unión o de sus Estados miembros, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros, o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de sus Estados miembros o de las normas establecidas por los organismos nacionales competentes.

En definitiva, no existe una prohibición absoluta a que personal distinto al sanitario lleve a cabo el tratamiento de dichos datos, siempre y cuando dicho personal no sanitario esté sujeto a un deber de confidencialidad y a un deber de secreto.

En este punto traigo a colación la Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada, cuya actuación está sujeta, entre otros principios básicos, según lo establecido en su artículo 31, a la guarda de una “rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones, especialmente de las informaciones que reciba en materia de seguridad y de los datos de carácter personal que deba tratar, investigar o custodiar, y no podrá facilitar datos sobre dichos hechos más que a las personas que les hayan contratado y a los órganos judiciales y policiales competentes para el ejercicio de sus funciones”.

En definitiva, y volviendo a la posibilidad de que los empleadores puedan tratar datos personales de salud en el marco de la prevención de riesgos de sus trabajadores procedentes de la toma de temperatura a través de tecnologías como cámaras térmicas gestionadas por personal del sector de la seguridad privada, creo que queda acreditado en nuestro Derecho que dicho personal de seguridad privada está sujeto a un estatuto de reserva y sigilo profesional, como mínimo, similar al de cualquier profesional sanitario.

En todo caso, parece que las autoridades de control europeas y, en particular, la Agencia Española de Protección de Datos, no están teniendo en cuenta el conjunto del Ordenamiento Jurídico al analizar la situación epidemiológica en que nos encontramos al llevar a cabo sus conclusiones desde el punto de vista de la normativa de protección de datos, lo cual nos lleva a un recorte jurídico inaceptable en la situación en que nos encontramos.

Mi conclusión es que las reflexiones jurídicas de la Agencia Española de Protección de Datos han sido elaboradas partiendo de la base de un “marco de normalidad en protección de datos” en el cual obviamente los datos de salud, solo y exclusivamente deben ser tratados por las autoridades y medios sanitarios.

Pero, la cuestión es que no nos encontramos en una situación de normalidad en salud pública, ni tampoco en protección de datos, por lo que la interpretación que se debe hacer de la normativa de protección de datos debe ser en un marco de interpretación sistemática del Ordenamiento Jurídico que sirva para anteponer unos bienes constitucionales ante otros: la salud pública y la vida de las personas ante el derecho a la protección de datos personales.

No es posible interpretar la normativa desde la óptica del poder de control empresarial derivado del artículo 20 del Estatuto de los Trabajadores “sin más”, sino que debemos ir más allá, o dicho en otras palabras, debemos valorar la situación desde la óptica de la protección de la salud en el entorno laboral y para cualquier persona. No podemos analizar la aplicación del derecho de prevención de riesgos laborales atendiendo a la situación exclusiva de lo que “ocurre en una oficina”, cuando lo que ocurre es una epidemia que traspasa los límites y las paredes de una oficina.

La Ley 33/2011, de 4 de octubre, General de Salud Pública, en su artículo 9 “Deber de comunicación” exige a cualquier persona que conozca hechos, datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de la población, ponerlos en conocimiento de las autoridades sanitarias, quienes velarán por la protección debida a los datos de carácter personal y en su apartado segundo advierte de que, “lo anterior se entiende sin perjuicio de las obligaciones de comunicación e información que las leyes imponen a los profesionales sanitarios”.

 El artículo 21, apartado c) de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales “Riesgo grave e inminente”, establece que cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo, para su seguridad, la de otros trabajadores o la de terceros, el empresario estará obligado a disponer lo necesario para que el trabajador que no pudiera ponerse en contacto con su superior jerárquico, ante dicha situación, esté en condiciones, habida cuenta de sus conocimientos y de los medios técnicos puestos a su disposición, de adoptar las medidas necesarias para evitar las consecuencias de dicho peligro.

Otro ejemplo de “grandes declaraciones y poca concreción para las entidades responsables” es la del Comité Europeo de Protección de Datos, el cual ha publicado una reciente nota de prensa sobre tratamiento de datos personales en el contexto del Covid19 en el cual nos recuerda que el GDPR establece los fundamentos legales para permitir que los empleadores y las autoridades competentes de salud pública traten datos personales en el contexto de epidemias, sin la necesidad de obtener el consentimiento del interesado y ello se aplica, por ejemplo, cuando el tratamiento es necesario para los empleadores por razones de interés público en el área de la salud pública o para proteger intereses vitales (Art. 6 y 9 del GDPR) o para cumplir con otra obligación legal. Poca explicación para tan gran problema de salud pública como tenemos.

Para ir concluyendo, es preciso que las autoridades de control sean socialmente responsables y no se escurran en “arenas movedizas” con discursos o informes “diciendo sin decir”.

Tienen el deber de informar de manera clara e inequívoca sobre las pautas de tratamiento de datos personales que deben seguir los empleadores “en tiempos del coronavirus”, es decir, en un contexto excepcional y de alarma, haciendo una interpretación sistemática de las normas del Ordenamiento Jurídico que afectan tanto a salud pública como a protección de las personas y protección de datos, emitiendo medidas y protocolos concretos que los responsables de tratamiento puedan seguir en el tratamiento de datos de salud, con el fin de garantizar la salud de su personal y terceros y así evitar los contagios, sopesando la situación y sin amenazas de  multa, en un momento donde la tecnología y otros medios bien utilizados pueden ser de tanta ayuda. No basta con “una nota de prensa, un informe, unas “FAQs” y que el resto opine”.

En definitiva, vivimos una situación de excepcionalidad, y el estado de necesidad justificante prevalece. Las autoridades de control europeas deben emitir informes que tengan una aplicación práctica, dado que el problema y la situación son comunes, apartando su condición de “expertos solo en protección de datos” y explorando el Derecho con una verdadera visión holística, balanceando los derechos fundamentales en juego para garantizar que los empleadores (con independencia de su condición pública o privada) puedan llevar a cabo los tratamientos de datos personales necesarios y justificados para contener la propagación del coronavirus y evitar riesgos a las personas, tanto del personal de plantilla como de visitas, eso sí, con las debidas garantías que el Reglamento Europeo de Protección de Datos exige.

Las autoridades de protección de datos tienen una oportunidad de oro para hacer un buen trabajo atendiendo, como indica el Reglamento Europeo de Protección de Datos, al hecho de que el tratamiento de los datos de carácter personal debe estar concebido para servir a la humanidad y que el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

Puede que merezca la pena ahora arriesgar en los criterios que en un futuro tener que aprender de los errores.

Items de portfolio