Entradas

Peor, imposible

Este artículo es una reproducción de una tribuna de El Mundo.

 

Quizás no hay mejor ejemplo del deterioro institucional de nuestra democracia que el reciente acuerdo alcanzado por los líderes de los dos grandes partidos para repartirse el Tribunal Constitucional, el Tribunal de Cuentas, el Defensor del Pueblo y hasta la Agencia de Protección de Datos, aunque me centraré en los dos primeros dado que el Defensor del Pueblo es irrelevante y la Agencia de Protección de Datos no es una institución de contrapeso. Nada nuevo, dirán algunos, puesto que es lo mismo que lleva pasando los últimos treinta años: los partidos políticos colonizan las instituciones y se reparten los puestos atendiendo a sus mayorías parlamentarias. A veces los candidatos elegidos son más o menos idóneos para el cargo; otras no lo son en absoluto y no tardan en demostrarlo -recordemos la dimisión como Magistrado del Tribunal Constitucional del actual Consejero de Justicia de la Comunidad Autónoma de Madrid, Enrique López, por conducir ebrio- pero el caso es que hasta ahora íbamos tirando, aunque es indudable que nos hemos ido dejando jirones de credibilidad por el camino, como demuestra la creciente desconfianza de los españoles en estos organismos constitucionales.

Sin embargo, me temo que hemos llegado a un punto de no retorno donde lo que está gravemente amenazado es un principio básico de la democracia representativa liberal: la existencia de instituciones contramayoritarias o “checks and balances”, profesionales e independientes capaces de controlar el poder político. Sin estos contrapesos, sencillamente, no es posible garantizar ni el cumplimiento de las normas, ni el principio de igualdad ante la Ley, ni la transparencia, ni la rendición de cuentas que son esenciales en una democracia avanzada.

Las razones que me llevan a pensar que este acuerdo es particularmente peligroso desde un punto de vista democrático son varias. La primera y más obvia, es que los dos grandes partidos que han sido incapaces de alcanzar grandes acuerdos esenciales para los intereses de los ciudadanos porque consideraban que les perjudicaba electoralmente (pensemos en la pandemia) sí pueden hacerlo cuando se trata de algo que les interesa directamente, aunque nos perjudiquen a todos. Y para colmo, nos explican que se trata de un gran avance para desbloquear las instituciones y que así se da cumplimiento a la Constitución, cuando precisamente si hay algo que se está pisoteando con este tipo de acuerdos son las normas constitucionales y las leyes que las desarrollan que establecen varios requisitos fundamentales que se obvian no ya en cuanto al fondo sino también en cuanto a la forma.

Empezaremos por la necesidad de seguir un procedimiento formal para nombrar a los candidatos, que exige la intervención de las Cortes Generales y además del Gobierno y del Consejo General del Poder Judicial en el caso del Tribunal Constitucional. Así la Ley Orgánica del Tribunal de Cuentas que desarrolla el art. 136 de la Constitución, exige que los Consejeros sean designados por las Cortes Generales, seis por el Congreso de los Diputados y seis por el Senado, mediante votación por mayoría de tres quintos de cada una de las Cámaras. Esto tiene su lógica, dado que estamos ante el supremo órgano fiscalizador de las cuentas y de la gestión económica de Estado y de su sector público, que depende directamente de las Cortes Generales y que ejerce sus funciones por delegación del Parlamento en el examen y comprobación de la Cuenta General del Estado. Por tanto, el que los parlamentarios se enteren literalmente por la prensa -como el resto de los mortales- de quienes van a ser consejeros del Tribunal de Cuentas previa una negociación opaca y sin luz y taquígrafos entre los mandatarios de los líderes de los grandes partidos supone una vulneración flagrante de la letra y el espíritu de la Ley que intenta evitar que sean precisamente los controlados los que nombren a los controladores. Lo mismo puede decirse de la renovación del Tribunal Constitucional, que según el art.159 de la Constitución se compone de 12 miembros nombrados por el Rey, cuatro a propuesta del Congreso y cuatro del Senado por mayoría de tres quintos de sus miembros y dos a propuesta del Gobierno y otros dos a propuesta del Consejo General del Poder Judicial.

El segundo requisito se refiere a la idoneidad de los candidatos. Aunque hoy parezca casi una broma a la vista de los nombres de algunos de los candidatos, la Constitución pretendía que las personas que accedieran a estos cargos tuvieran una reconocida competencia para ocuparlos. Por eso, para ser Consejero de Cuentas se exige ser Censor del Tribunal de Cuentas, Censor Jurados de Cuentas, Magistrado, Fiscal, Profesor de Universidad o funcionarios público perteneciente a un Cuerpo para cuyo ingreso se exija titulación académica superior, abogado, economista y profesor mercantil, con más de quince años de ejercicio profesional. Se entiende, aunque no se explicita, que se trata de ejercicio profesional precisamente en el ámbito de las competencias propias del Tribunal de Cuentas, dado el carácter muy técnico de sus funciones. Por su parte, para ser magistrado del Tribunal Constitucional se exige ser un jurista de reconocida competencia con más de quince años de ejercicio profesional.

Pues bien, lo que la Constitución busca cuando establece estos procedimientos de designación que requieren de amplias mayorías y exige que los candidatos reúnan ciertos méritos (de forma, además, pública, de ahí la “reconocida competencia”) es que estas personas puedan desarrollar sus funciones con profesionalidad y con total independencia, dado que, conviene no olvidarlo, estamos ante instituciones de control del poder político y se presume que pueden recibir presiones  políticas y/o mediáticas que pueden resultar difíciles de soportar. En ese sentido, no cabe duda de que tener criterio técnico propio, o, dicho de otra forma, jugarse el prestigio profesional a la hora de tomar decisiones políticamente sensibles es un elemento importante a la hora de ser capaz de aguantar dicha presión; pero, por si no fuera suficiente, la propia Constitución establece que los miembros del Tribunal de Cuentas gozarán de la misma independencia e inamovilidad y estarán sometidos a las mismas incompatibilidades que los Jueces. Para los miembros del Tribunal Constitucional -además de preverse un régimen de incompatibilidad estricto con la política, los sindicatos, la judicatura, y cualquier actividad profesional o mercantil- lo que se les garantiza constitucionalmente es la independencia y la inamovilidad durante el ejercicio de su mandato.

Pero, es más, la Constitución también quería desligar el nombramiento de los miembros de estas instituciones contramayoritarias o de contrapeso de los ciclos electorales. Por eso, los mandatos son muy largos (nueve años tanto para los Consejeros de Cuentas como para los Magistrados del Tribunal Constitucional) y las renovaciones se hacen por terceras partes. Excuso decir que nuestros partidos no se han tomado nunca muy en serio estas previsiones, por lo que es habitual que haya consejeros y magistrados con mandatos caducados que permanecen en sus puestos hasta que se alcanza “el consenso” necesario, o, para ser más exactos, hasta que se decide el reparto de cromos que tiende a coincidir con los cambios de mayorías parlamentarias, aunque bien es cierto que el PP ha conseguido retrasar en ocasiones notablemente (como en el caso del Consejo General del Poder Judicial) estos cambios. En todo caso, lo que me interesa resaltar es que la Constitución quería justamente lo contrario: que las mayorías parlamentarias no se reprodujesen automáticamente en las instituciones de contrapeso. Claro que también pretendía que los candidatos nombrados fueran los más idóneos técnicamente y así se reconociese no sólo por un amplio consenso de los llamados a designarlos sino a ser posible por sus pares, que son los más adecuados para reconocer la competencia técnica. Y, sobre todo, que pudiesen desempeñar sus funciones con independencia dado que, por definición, hablamos de preservar la función de la incómoda tarea de controlar al poder político.

Por último, estamos hablando de un procedimiento público y transparente. Más allá de lo que ideal sería la presencia de varias candidaturas, lo que no cabe duda es que se está pensando en sistemas de designación públicos, en el que intervienen de forma destacada las Cortes Generales “con luz y taquígrafos”. Algo a años luz de las conspiraciones de pasillos que termina con los nombres de los agraciados en las redes sociales. Eso sí, con comunicación formal posterior a sus señorías para que propongan candidaturas, suponemos que precisamente con esos nombres. Yo esto lo considero una tomadura de pelo.

Creo que con lo dicho es suficiente para llegar a la conclusión, más allá de los perfiles concretos de los candidatos elegidos por unos y otros (lo que daría para otra tribuna, aunque basta con decir que los cuatro propuestos por PP y PSOE para el Tribunal constitucional han sido previamente vocales de este deslegitimado órgano a propuesta de dichos partidos) de que nuestros partidos políticos o, para ser más exactos, D. Pedro Sánchez y D. Pablo Casado no sólo incumplen formal y materialmente la Constitución, pese a afirmar con desfachatez lo contrario, sino que están poniendo en grave riesgo el adecuado funcionamiento de los contrapesos que todavía quedan en nuestro país. Y esto, gobierne quien gobierne, me parece una pésima noticia.

La lucha contra las inmunidades de los poderes… tecnológicos

Hace casi sesenta años, el maestro García de Enterría publicó un texto que ha terminado por ser clásico en la materia: La lucha contra las inmunidades del poder en el derecho administrativo (poderes discrecionales, poderes de gobierno, poderes normativos). Bajo título tan elocuente, el ilustre administrativista analizaba las diversas formas de manifestar el ejercicio de la potestad político-administrativa, señalando el papel que la normativa, y en especial la jurisdicción, está llamada a jugar como función de control.

Hay recorrido para que, en no muchas décadas, un nuevo García de Enterría pueda actualizar y trasplantar el análisis, desde su actual inmunidad, al inmenso poder de las tecnológicas que se sostiene sobre algunas piedras de toque y dilemas que se recogen a continuación.

Monopolizan, poseen y “son” nuestro ciber-yo.

Se constituyen en propietarios, en un cuerpo de bytes, ceros y unos, de nuestra identidad digital con capacidad para estrujarla, modelarla, manipularla e incluso matarla. Porque ya hay víctimas que se enfrentan al asesinato de su “ciber-yo”, al ser abruptamente  cancelada sin explicación alguna  la cuenta de correo y todo lo asociado con ella.

Inaccesibles

¿Se avanzará hacia la accesibilidad de servidores e instalaciones? Especialmente para romper la principal cúpula de defensa de que disponen: la inaccesibilidad de sus servidores e instalaciones para inspeccionar sus prácticas y conductas y contrastar la coherencia entre lo que “declaran” y lo que “hacen”. No debe olvidarse que uno de los principales procedimientos que se iniciaron en Europa frente a una de las grandes tecnológicas se produjo, precisamente, cuando la autoridad francesa de protección de datos (CNIL) pudo realizar una inspección “in situ” a lo único “inspeccionable”: uno de los coches que captaba imágenes para Google Street view, al comprobar que aprovechaba para recolectar toda la información disponible de datos de redes wifi.

Queda pendiente, pues, acceder al que se ha convertido en el más importante territorio ignoto para el hombre, el virtual, tras haber quedado cartografiado exhaustivamente el mundo físico.

¿Cómo evolucionará la caja negra algorítmica?

Sin que sean accesibles sus servidores, sus algoritmos y su Código fuente, que quedan protegidos por el secreto, lo que les otorga un mayor poder incluso del que ya disponen. ¿Cómo se acomodará la “caja negra” con el sistema de garantías públicas en las resoluciones administrativas? Ya han recaído variadas resoluciones en diferentes países de Europa (incluido el Consejo de Transparencia en España) salvaguardando el secreto del código fuente de algoritmos utilizados por la Administración que, como verdaderos reglamentos, otorgan o no derechos a los ciudadanos. Así ha ocurrido, por ejemplo, en España, Italia y Francia. Y así lo considera el Parlamento europeo. En España ya ha ocurrido respecto a la solicitud de desvelar las entrañas del programa BOSCO, un software desarrollado por orden del Gobierno, que las eléctricas utilizan para decidir quién es beneficiario del denominado bono social. El Código permanece en secreto tras la negativa del Consejo de Transparencia a amparar el acceso.

Estas resoluciones impiden –o dificultan en grado extremo- conocer su funcionamiento y aplicar las garantías frente a las decisiones automatizadas que recoge el Reglamento General de Protección de Datos y que invisten a cualquier otro acto administrativo: control, motivación y transparencia. Cuestión si cabe más relevante por cuanto su inmensa destreza les puede convertir –o se están convirtiendo- en arcanos cercanos a Dios a los que invocar en caso extremo (Amazon en la pandemia), que monopolicen desde la tecnología cuántica o la fusión nuclear hasta el destino de nuestro “otro yo”, que nos sobrevivirá en forma de bits.

¿Será necesario reforzar los “neuroderechos”?

La posibilidad de hackear la mente y dominar nuestras emociones ha planteado la exigencia de un catálogo de derechos sobre el cerebro o “neuroderechos” que ya ha sido recogida en Chile mediante una enmienda a la Constitución. Derechos a la identidad personal, libre albedrío, privacidad mental, acceso equitativo a las tecnologías de aumentación, protección contra sesgos y discriminación en especial algorítmica. Será necesario estar atentos a las amenazas y a los instrumentos  para hacerlas frente.

¿Cómo se garantizan derechos en un internet sin fronteras frente a un mundo asimétrico y basado en Estados?

El escenario sigue siendo incierto ante el limitado número de países con Agencia de Protección de Datos, la fragmentación de los instrumentos y jurisdicciones y la asimetría de modelos y principios, incluso entre Europa y Estados Unidos, sin marco vigente de transferencia internacional de datos. Adicionalmente, el procedimiento de cooperación y coherencia del Reglamento General de Protección de Datos entre las Agencias europeas sigue ofreciendo dudas por crear burocracia, sobrecargar y centralizar  la irlandesa y luxemburguesa (donde ubican las multinacionales sus sedes), vaciar su contenido con la interpretación de que no es aplicable si el establecimiento principal se encuentra situado fuera de la UE y por  la falta de autocontención por los  tribunales nacionales en aspectos que debieran ser sometidos a cuestión prejudicial.

Es más, en la reciente propuesta de Reglamento de inteligencia artificial está ausente un sistema de “ventanilla única” como en el GDPR, que se basa en una única autoridad principal supervisora del cumplimiento de las organizaciones que operan en varios Estados miembros, lo que puede derivar en la fragmentación de la supervisión de los sistemas de Inteligencia Artificial.

La única respuesta, de enorme dificultad política, probablemente debe venir de la creación de estructuras internacionales lo más extendidas posibles, preferentemente en el entorno ONU, que regulen el tráfico y establezcan normas “iguales para todos”, con posibilidad de imponer sanciones. Dotar asimismo de competencias ejecutivas al Supervisor Europeo de Protección de Datos para cuestiones transnacionales sería también un avance.

¿Se mantendrá la prohibición de inspecciones prospectivas y límites a las vigilancias masivas?

Sigue siendo una de las batallas más activas la que se produce entre privacidad por un lado y, por el otro, barridos, vigilancia masiva y Big Data como instrumentos, en especial en manos de las autoridades, para realizar fiscalizaciones ilimitadas con el fin de detectar fraude e infracciones.

Con uno de sus últimos hitos en la reciente aprobación por las autoridades europeas de protección de datos de un dictamen conjunto sobre la propuesta de Reglamento de la Comisión Europea sobre Inteligencia Artificial. Piden que se prohíba el uso de la IA para el reconocimiento automatizado de rasgos humanos en espacios de acceso público, y algunos otros usos de la IA que pueden dar lugar a una discriminación injusta.

¿Se conseguirá “institucionalizar” el control de contenidos y datos en Internet?

El modelo Europa-Estados Unidos y el proyecto de Reglamento de Servicios digitales (DSA) lanzado por la Comisión a finales de 2020 mantiene el apoderamiento a las tecnológicas para filtrar perfiles y contenidos, en su caso con datos. Son “guardianes del acceso” a internet. Como posible alternativa futura sobrevuela la “refundación” del control judicial o institucional para responder a los retos de rapidez y coherencia existentes. Debe recordarse que el Consejo Constitucional francés ya se ha manifestado exigiendo que la ley francesa prevea plazos de retirada que permitan consultar a los jueces y los riesgos de autocensura en caso de duda.

¿Se conseguirá implementar el derecho de “explicación” frente a  algoritmos “no deterministas”?

La obligación según el Reglamento general de Protección de datos de explicar las decisiones automatizadas que afecten a las personas (como otorgar o no un crédito) y el derecho a que haya intervención humana y a que el afectado pueda alegar, cuestiona -o al menos invita a reflexionar- sobre el futuro –al menos legal- de los sistemas no predictivos vinculados al “machine learning” en los que no sea posible deducir de la “entrada” de información, el “producto” final. Y en todo caso plantea cual va a ser la fórmula para su conciliación.

Todo ello obliga a seguir con atención las actividades del Comité Antimonopolio del Congreso de Estados Unidos y de la Comisión Europea, enfocadas a dividir sus negocios, dificultarles adquirir otros e imponer nuevas reglas para salvaguardar la competencia; a los avances que se puedan realizar en Europa para proteger a los consumidores contra las cláusulas abusivas en los contratos sobre servicios digitales; a las iniciativas de las autoridades europeas de Protección de Datos; y por supuesto, a las previsibles decisiones del Tribunal de Justicia de la Unión Europea llamado a trazar líneas en aspectos fronterizos, como ya hizo en su momento respecto al derecho al “olvido”.

El tratamiento de datos personales de contagiados y sospechosos para la vigilancia epidemiológica en la nueva normalidad

En medio del debate sobre si es legítimo o no la toma de temperatura de las personas que acceden a un comercio o a un centro de trabajo, el pasado 12 de mayo se publicó la “Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad” (en adelante también Orden 404), a través de la cual se establecen una serie de obligaciones de recogida, tratamiento y remisión de información, tanto individualizada como agregada, para los centros, servicios y establecimientos sanitarios y sociosanitarios, tanto del sector público como del privado, así como a los profesionales sanitarios que trabajan en ellos y servicios de prevención de riesgos laborales (en adelante también, los sujetos obligados).

Esta Orden (dictada al amparo de lo previsto en el RD 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por la COVID-19) se enmarca en la “Estrategia de diagnóstico, vigilancia y control en la fase de transición de la pandemia COVID‐19, que el Ministerio de Sanidad publicó el 6 de mayo (posteriormente actualizada a fecha 12 de mayo) y establece en su artículo segundo que la COVID-19 es una enfermedad de declaración obligatoria urgente por lo que se hace necesario llevar a cabo la recogida de datos completos y precisos para apoyo de la toma de decisiones a la autoridad sanitaria.

De acuerdo con lo anterior, las unidades de salud pública de las comunidades y ciudades autónomas deberán obtener diariamente información sobre los casos sospechosos y confirmados de COVID-19, a través de los sujetos obligados.

Esta obligación se recoge en el marco de lo establecido en la Ley 33/2011, de 4 de octubre, General de Salud Pública, que establece la creación de una Red de Vigilancia en Salud Pública que incluya un sistema de alerta precoz y respuesta rápida que esté en funcionamiento continuo e ininterrumpido las veinticuatro horas del día.

El Real Decreto 2210/1995, de 28 de diciembre creó la Red Nacional de Vigilancia Epidemiológica (RENAVE) para permitir la recogida y el análisis de la información epidemiológica con el triple fin de (i) poder detectar problemas que puedan suponer un riesgo para la salud, (ii) difundir la información a las autoridades competentes y (iii) facilitar la aplicación de medidas para su control.

De hecho, este escenario legal es el que ha permitido a las autoridades competentes en materia de salud pública recoger y tratar información de la situación de la infección por SARS-CoV-2 y la COVID-19 desde el inicio de la pandemia y en el que ahora se enmarca la comunicación de datos que se llevará a cabo por los sujetos obligados.

La Orden 404 hace una llamada a cada componente de la RENAVE, a nivel autonómico y estatal, para advertir de que deberán destinar los recursos humanos, materiales y tecnológicos necesarios para la obtención de datos y el análisis continuo de la información, sin perjuicio de que igualmente se llevarán a cabo las adaptaciones pertinentes en los sistemas de información sanitaria y de vigilancia epidemiológica con el objeto de permitir a la RENAVE disponer de la información que la Orden establece.

Pero veamos a continuación cuáles son exactamente las obligaciones y procedimientos de obtención y comunicación de información para la vigilancia epidemiológica que contempla la Orden.

Por un lado, los servicios de atención primaria y hospitalaria, tanto del sistema público como del privado, así como de los servicios de prevención de riesgos laborales, son los sujetos obligados que deberán facilitar diariamente a las unidades de salud pública de las comunidades y ciudades autónomas información sobre los casos sospechosos e información individualizada de los casos confirmados de COVID-19. Concretamente, la información a obtener y comunicar al Ministerio de Sanidad desde el 12 de mayo de 2020 se describe en los anexos de la Orden.

Por otro lado, los laboratorios autorizados en España para la realización de pruebas diagnósticas para la detección de SARS-CoV-2 mediante PCR u otras pruebas moleculares deberán remitir directamente al Ministerio de Sanidad sus datos de contacto e identificación, así como datos de las pruebas diagnósticas realizadas.

De acuerdo con la Orden, la información individualizada de casos confirmados, se enviará al Ministerio de Sanidad a través de la herramienta de vigilancia SiViEs que gestiona el Centro Nacional de Epidemiología del Instituto de Salud Carlos III. Antes de las 12.00 horas de cada día se incorporará toda la información acumulada y actualizada hasta las 24.00 horas del día anterior.

Es obvio que la comunicación de datos que regula la Orden supone un tratamiento que, como las autoridades de protección de datos nos han recordado de forma periódica en esta situación de crisis sanitaria, debe garantizar el cumplimiento de la normativa de protección de datos, concretamente lo establecido en el Reglamento (UE) General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), siendo especialmente relevantes las obligaciones de información a las personas interesadas relativas a los datos obtenidos por los sujetos obligados, puesto que como nuestro Tribunal Constitucional ya manifestó en su Sentencia 292/2000, de 30 de noviembre de 2000 uno de los elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales es el derecho a saber de los mismos.

En este punto hubiera sido deseable que la Orden ya incorporase exactamente la información que deberían recibir las personas interesadas acerca del tratamiento de sus datos personales, pero no ha sido así.

La Orden se limita a indicar que el responsable del tratamiento de los datos que serán comunicados por los sujetos obligados será el Ministerio de Sanidad y tiene por finalidad el seguimiento y vigilancia epidemiológica de la COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas.

También indica que el Ministerio de Sanidad garantizará la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.

Y menciona igualmente que el intercambio de datos con otros países se regirá por el RGPD, teniendo en cuenta la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud (cuyo objeto es objeto apoyar la cooperación y la coordinación entre los Estados miembros con el fin de mejorar la prevención y el control de la propagación de las enfermedades humanas graves a través de las fronteras de los Estados miembros y luchar contra otras amenazas transfronterizas graves para la salud) y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58ª Asamblea Mundial de la Salud, celebrada en Ginebra el 23 de mayo de 2005.

Pero, volviendo al “derecho a saber” que nuestro Tribunal Constitucional calificó como uno de los pilares fundamentales de la privacidad de los ciudadanos, la Orden no hace explícito el alcance del contenido del tratamiento de datos de acuerdo con el principio de transparencia recogido en los artículos 13 y 14 RGPD (información que cualquier persona precisa para disponer de un control sobre sus datos) acogiéndose aparentemente a las excepciones para ello, puesto que precisa expresamente “que las obligaciones de información del Ministerio se ajustarán a lo dispuesto en el artículo 14 RGPD teniendo en cuenta las excepciones y obligaciones previstas en su párrafo 5”.

 Pero ¿qué dice el artículo 14 RGPD y cuáles son estas excepciones? El artículo 14 aclara la información que el Ministerio de Sanidad debería proporcionar a cada ciudadano de quien reciba sus datos personales como consecuencia de la comunicación que los “sujetos obligados” llevarán a cabo según lo antedicho en la Orden 404, y que consiste en la siguiente:

a) La identidad y los datos de contacto del responsable (Ministerio de Sanidad);

b) Los datos de contacto del delegado de protección de datos;

c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) Las categorías de datos personales de que se trate;

e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias basadas en garantías adecuadas cuáles son estas y los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

g) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

i) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

j) El derecho a presentar una reclamación ante una autoridad de control;

k) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para la persona interesada.

Como puede apreciarse no es un asunto baladí. Esta información, que permitiría al ciudadano tener un control sobre sus datos, es la que el Ministerio de Sanidad debería comunicar a cada persona de quien se traten datos personales como consecuencia de la aplicación de la Orden 404 y podría haber sido incluida en la propia Orden.

La norma indica concretamente que el Ministerio debería facilitar la información indicada i) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes; ii) si los datos personales han de utilizarse para comunicación con la persona interesada, a más tardar en el momento de la primera comunicación con ella, o; iii) si está previsto comunicar los datos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

Sin embargo, no parece que el Ministerio tenga intención de informar del contenido del tratamiento a las personas interesadas, como puede apreciarse por el hecho ya mencionado de que la Orden indica que el Ministerio de Sanidad “tendrá en cuenta las excepciones al deber de informar contempladas en el propio artículo 14 RGPD en su apartado 5º”.

¿Y cuáles son estas excepciones?

Pues según reza el artículo 14, en su apartado 5º:

a) Cuando la persona interesada ya disponga de la información, lo cual en este caso no se dará si el Ministerio no proporciona a los “sujetos obligados” la información que deberían trasladar a las personas contagiadas o sospechosas.

b) Cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de investigación científica “a reserva” en este caso de que cumplir con la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento o en otro caso, siempre que se hubieran adoptado “las condiciones y garantías adecuadas para proteger los derechos, libertades e intereses legítimos de las personas interesadas”, inclusive haciendo pública la información;

c) Cuando la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

 

No entraremos en el debate de la aplicabilidad de las excepciones ni en su caso, de las condiciones para ello, habida cuenta de que daría lugar para escribir otro post. Sin embargo, sí considero importante volver a aclarar que hubiera sido deseable en pro de la transparencia del tratamiento de los datos por nuestras instituciones, que se hubiera aprovechado la Orden para publicar, sino el total, sí parte de la información a que tienen derecho los ciudadanos como titulares de un derecho constitucional, como es el derecho a la protección de datos, dado que ello no habría puesto en riesgo los fines de tratamiento ni los hubiera obstaculizado.

Pese a que la Orden manifiesta que el responsable del tratamiento es el Ministerio de Sanidad, no queda tampoco clara la relación del Ministerio con el Instituto de Salud Carlos III (que es la entidad que gestiona la herramienta a través de la cual se enviarán los datos al Ministerio) ni parece que las políticas de privacidad que uno (Instituto de Salud Carlos III) y otro (Ministerio de Sanidad) tienen a disposición de los ciudadanos en sus sitios web. En esta línea, es menester advertir que la LOPDGDD establece la obligación para las Administraciones públicas de publicar electrónicamente sus registros de actividades en relación con el tratamiento de datos que llevan a cabo como responsables y encargados del tratamiento y s.e.u.o., no parece que en el registro de las actividades publicado por el Ministerio de Sanidad haya ninguna actividad de tratamiento relacionada con la Orden.

La transparencia en términos de privacidad para las AAPP debe ser además de una obligación una actitud puesto que, no en vano, la Administración Pública se encuentra entre las áreas de actividad con mayor número de reclamaciones recibidas en 2019 por parte de los ciudadanos, según indica la Agencia Española de Protección de Datos en su Memoria 2019.

Comparto en este punto opinión con Carme Sánchez (responsable en la Asociación Profesional Española de la Privacidad del grupo sobre administraciones públicas y privacidad) quién ve claro que las administraciones deben apostar por la privacidad y tenerlo como un valor añadido en su quehacer diario y contacto con el ciudadano.

Pero ¿qué ocurre en el caso de los denominados “sujetos obligados”? ¿Quedan ellos amparados por las excepciones del derecho a informar a las personas interesadas?En mi opinión no. La Orden no lo aclara, pero el artículo 13 RGPD, que es el que regula la información que deberá facilitarse a los titulares de los datos cuando sean ellos quienes proporcionen los datos personales, establece básicamente la misma obligación de información con el alcance que antes hemos descrito (con alguna diferencia) y la única excepción que se plantea es para el supuesto de que la persona interesada de quien se recogen los datos (esto es, los sospechosos y los contagiados) ya dispongan de la información, lo cual, obviamente no ocurre en la práctica.

En el artículo 23 RGPD se establece la posibilidad de limitar el principio de transparencia (que es el que obliga a trasladar la información a las personas interesadas) pero solo a través de medidas legislativas que así lo especifiquen. Pero no es el caso.

Esto nos conduce a advertir de la obligación que tienen las mutuas y los servicios de prevención de las empresas (como el resto de sujetos obligados) de informar en la recogida de los datos personales a los sospechosos de COVID-19 y a los contagiados del contenido del tratamiento de sus datos personales de acuerdo con el artículo 13 RGPD, cuando a través de la prestación de sus servicios habituales para las empresas tengan conocimiento de estos casos.

Nada tiene esto que ver con la reciente polémica que se ha levantado al hilo del comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos sobre lo cual ya se ha escrito mucho y en algún caso con detalle y argumento (véase artículo de opinión de Xavier Ribas) en el sentido de que el hecho de que la Orden 404 obligue a recoger determinada información a las mutuas y servicios de prevención no supone la necesidad de adoptar de forma generalizada dichos sistemas de toma de temperatura de las personas en el acceso a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos.

La toma de temperatura es una opción que en cada caso deberán valorar los comercios, centros de trabajo y otros establecimientos en el marco de las medidas de reanudación de sus actividades habituales y en particular, en relación con los protocolos y medidas de prevención de COVID-19. Si bien en este punto la Agencia Española de Protección de Datos ha indicado que la aplicación de esta medida y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.

Si bien hasta el momento no parece que el Ministerio de Sanidad haya realizado una declaración pública sobre ello, la medida cada vez es más generalizada tanto en el sector privado como en el público (véase la Guía de buenas prácticas para la reactivación de la actividad judicial elaborada por el Consejo General del Poder Judicial, que establece los órgano/s encargado/s de garantizar las medidas recomendarán a las Administraciones prestacionales que pueda realizarse el control diario de temperatura en el acceso a la sede judicial y la Resolución de 4 de mayo de 2020, de la Presidencia del Consejo Superior de Deportes, por la que se aprueba y publica el Protocolo básico de actuación para la vuelta a los entrenamientos y el reinicio de las competiciones federadas y profesionales que en relación con los “Centros de entrenamiento” exige que sean dotados de puntos de control de acceso especial, provistos de material de desinfección y aislamiento, de elementos técnicos que permitan comprobar la temperatura, de las personas que accedan al recinto, y circuitos cerrados de televisión CCTV). Concretamente además, según indica el propio Consejo Superior de Deportes el Ministerio de Sanidad ha validado la práctica totalidad del protocolo sanitario que, con las aportaciones de numerosos agentes, se remitió al departamento que comanda el ministro Salvador Illa.

No obstante, el silencio del Ministerio de Sanidad al respecto es patente como lo pone de manifiesto el hecho de que la Orden SNS/414/2020, de 16 de mayo, para la flexibilización de determinadas restricciones de ámbito nacional establecidas tras la declaración del estado de alarma en aplicación de la fase 2 del Plan para la transición hacia una nueva normalidad establece (entre otras) una serie de medidas para garantizar la protección de los trabajadores en su puesto de trabajo, así como para evitar la concentración de personas en determinados momentos en el nuevo escenario proporcionado por la fase 2, como son: asegurar que todos los trabajadores tengan permanentemente a su disposición en el lugar de trabajo agua y jabón o geles hidroalcohólicos o desinfectantes con actividad virucida autorizados y registrados por el Ministerio de Sanidad para la limpieza de manos; garantizarse la distancia de seguridad interpersonal de aproximadamente dos metros o en su caso que los trabajadores dispongan de equipos de protección adecuados al nivel de riesgo; la sustitución del fichaje con huella dactilar por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para la protección de la salud y la seguridad de los trabajadores o en su caso, la desinfección del dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Además, si un trabajador empezara a tener síntomas compatibles con la enfermedad, la Orden indica que deberá contactarse de inmediato con el teléfono habilitado para ello por la comunidad autónoma o centro de salud correspondiente y, en su caso, con el correspondiente servicio de prevención de riesgos laborales y el trabajador se colocará una mascarilla, debiendo abandonar, en todo caso, su puesto de trabajo hasta que su situación médica sea valorada por un profesional sanitario.

Reconduciendo en todo caso este post al tema objeto de análisis, una vez más demandamos de las autoridades, y en este caso concretamente al Ministerio de Sanidad, transparencia, concreción y más detalle sobre el tratamiento de los datos de los ciudadanos, recordando que, cualquier actividad de tratamiento que se realice con categorías especiales de datos, como es la salud, debería haber sido planificada a través de una evaluación de impacto cuyo resultado, cuanto menos, debería incluir no solo la definición de las medidas sino su propia implantación con carácter previo a la recogida de cualquier dato personal.

El interés público de los datos personales en tiempos del COVID-19

El COVID-19 nos recuerda que, entre los nuevos desafíos que nos muestra el siglo XXI, no es posible asumir que en el “estado del bienestar” las administraciones públicas serán las únicas con un papel clave para lograr una estabilidad en muchos aspectos, como el económico, el cultural o el social, sino que la colaboración público-privada es esencial, fundamentalmente en un ámbito como el tecnológico.

Los autores del artículo Big Tech Could Emerge From Coronavirus Crisis Stronger Than Ever, publicado en “The New York Times”, explican con meridiana claridad cómo las grandes tecnológicas emergen frente al coronavirus más fuertes que nunca si cabe, frente a otros sectores de la economía a los que la pandemia sin lugar a dudas ha dejado en una cuarentena complicada de gestionar. Y es que, efectivamente, la tecnología se convierte en un arma estratégica para ganar la guerra al COVID-19, por lo que no deja de ser en todo caso paradigmático que la tecnología a la que el COVID-19 hace emerger sea la mejor aliada de nuestras Administraciones Públicas para su freno. A la necesidad de test, mascarillas, de respiradores, de personal sanitario, de ciencia e investigación, de buenos gestores y de mejores políticos, se le añade la necesidad de datos, de información, de tecnología, de infraestructura adecuada, de ética, de transparencia y de cumplimiento normativo.

En los últimos días hemos asistido a un importante debate en distintos medios de comunicación (al cual no hemos sido ajenos en este blog, véase aqui) sobre las bondades y los peligros de la recogida de datos personales en la lucha contra el COVID-19 en distintos ámbitos, como el laboral, el de la seguridad privada o el de la sanidad, al que se añade ahora el debate generado por la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Entre otras cuestiones, la Orden, en su norma segunda, sigue el modelo (también discutido en su día) emprendido por el Instituto Nacional de Estadística en su estudio de movilidad a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, para llevar a cabo el análisis de la movilidad de las personas en los días previos y durante el confinamiento. Esta Orden deja clara una cuestión que será preciso explicar bien a la población: el responsable del tratamiento será el Instituto Nacional de Estadística (INE) y los operadores de comunicaciones electrónicas con quienes se llegue a un acuerdo de participación, los encargados del tratamiento.

La aclaración es a priori sencilla en un foro como el que entiendo lee este artículo: los operadores llevarán a cabo el tratamiento de datos personales por encargo del INE, quién, por tanto, será el único que podrá decidir sobre el uso de los datos, debiendo someterse los operadores privados al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en el marco de un contrato u otro acto jurídico con el INE en el cual quedarán claramente reflejadas las obligaciones de cada parte y en el cual se limitará el tratamiento de los datos personales a dichos operadores privados en cuanto al objeto, la duración, la naturaleza y la finalidad del tratamiento y el tipo de datos objeto del tratamiento.

En su norma primera, la Orden encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19 que permitirá, al menos, realizar al usuario la autoevaluación en base a los síntomas médicos que comunique acerca de la probabilidad de que esté infectado, ofrecer información, consejos prácticos y recomendaciones a seguir y la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Y, de nuevo, se aclara que el responsable del tratamiento será el Ministerio de Sanidad y el encargado del tratamiento y titular de la aplicación será la Secretaría General de Administración Digital, quien además, autorizada por el Ministerio de Sanidad, podrá recurrir (esto es, contratar) a otros encargados (lo que incluirá seguramente otras terceras empresas privadas) para la ejecución de lo previsto.

En todo caso es preciso aclarar que el RGPD exige y condiciona al Ministerio a seleccionar únicamente para la colaboración a aquellos encargados del tratamiento que ofrezcan garantías suficientes para cumplir los requisitos de la normativa vigente y en los casos en que estos encargados del tratamiento sean empresas privadas hay que recordarles que quedarán sujetos a las exigencias del Real Decreto Ley 14/2019, de 31 de octubre, según el cual, entre otras cuestiones, por un lado, la empresa adjudicataria deberá presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos y por otro, se deberá advertir al contratista de que su obligación de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos tiene el carácter de obligación contractual esencial, de conformidad con lo dispuesto en la letra f) del apartado 1 del artículo 211 y a los efectos de las causas de resolución del contrato. Aunque de la articulación de este Real Decreto mejor no hablar mucho, porque su falta de técnica jurídica y pésima redacción pasará a la historia como una de las peores experiencias legislativas en materia de protección de datos personales.

En todo caso, si en base a lo establecido en la Orden ya se ha desencadenado un debate sobre las consecuencias de estas medidas para la privacidad y la protección de datos de la ciudadanía, parece predecible que cuando haya que ponerlas en práctica el escenario no va a ser distinto, aunque la Administración (que es la responsable del tratamiento), aún está a tiempo de cambiar esto. Porque no es el “estado de alarma” lo que pone en riesgo la privacidad de las personas, sino la alarma que genera en la población la falta de información sobre la gestión del cumplimiento de la normativa de tratamiento de datos personales que de la Orden se deriva. No podemos olvidar que la ciudadanía no tiene por qué ser experta en la norma, conocer su terminología ni confiar en las bondades del sistema, menos aún en esta situación donde la acción del Gobierno está siendo tan censurable, a criterio de una mayoría de la población.

Aunque este Gobierno ya nos tenga acostumbrados a ello, no puede protegerse la privacidad y tratamiento de los datos personales de la ciudadanía a base de legislar con “reales decretos urgentes” y ”órdenes en situación de alarma”, con imprecisión, falta de claridad y ausencia informativa.

Hubiera sido deseable que la Orden SND/297/2020, de 27 de marzo, contase un informe preceptivo de la Agencia Española de Protección de Datos (AEPD) o en su caso, si contó con él, que así se hubiera indicado expresamente en el propio texto. Si bien es cierto que la Orden indica que velará por la exigencia de cumplimiento del RGPD, la LOPDGDD y los criterios interpretativos dados por la Agencia Española de Protección de Datos (AEPD), tanto lo uno como lo otro establecen amplios márgenes respecto de las modalidades de aplicación de las medidas de cumplimiento, por lo que en este punto queda esperar que el Ministerio de Sanidad acuda a los recursos que el sistema establece para la salvaguarda de la seguridad jurídica en el cumplimiento de la norma, como el de la consulta constante a la Autoridad de Control, la AEPD, lo que sin duda además ayudará a este organismo en relación con sus funciones de supervisión y ejecución de la normativa.

Parece que, para ganar la confianza de la ciudadanía, al Ministerio de Sanidad solo le queda una opción: cumplir la normativa y explicar cómo lo va a hacer.

En este punto, vamos a destacar algunas de las obligaciones básicas del Ministerio de Sanidad en materia de protección de datos respecto del desarrollo de las soluciones tecnológicas contempladas en la norma primera de la Orden, llamando la atención sobre la posibilidad de consultar además la extensa doctrina que la AEPD ha emitido para las Administraciones Públicas y ha publicado en su sitio web (véase por ejemplo la síntesis realizada en la infografía “Adaptación al RGPD de las Administraciones Públicas”).

En primer lugar, y aunque parezca de Perogrullo, el proyecto requiere la presencia constante del delegado de protección de datos del Ministerio de Sanidad, velando por el cumplimiento de la normativa de protección de datos y ejerciendo, entre otras, sus funciones consistentes en: (i) inspección y supervisión del tratamiento que realice el Ministerio y emisión de las recomendaciones que considere necesarias, todo ello con imparcialidad, profesionalidad y garantizando su independencia sin incurrir en conflicto de intereses; (ii) documentación de cualquier vulneración relevante de la normativa que además, deberá comunicar inmediatamente a los órganos de administración y dirección.

Como la AEPD indica expresamente en su blog, el delegado de protección de datos es una figura clave para cumplir con el RPGD, además de ser el interlocutor con los ciudadanos en todas las cuestiones relacionadas con la protección de datos, incluyendo las reclamaciones. En la misma línea, la propia Agencia en su Guía para pacientes y usuarios de la Sanidad explica que la “figura del delegado de protección de datos es importante para los ciudadanos, que pueden dirigirse a él para que atienda las reclamaciones que planteen sobre el tratamiento de sus datos y el ejercicio de sus derechos”. Sin embargo, la ciudadanía no quiere solo un delegado sobre el papel, quiere un delegado ejecutivo, con recursos, y garantizando los derechos y libertades de las personas. En definitiva, un delegado “que se haga notar”.

En segundo lugar, es obligación del Ministerio de Sanidad desarrollar las soluciones tecnológicas bajo el principio de privacidad desde el diseño y por defecto, lo que supone la adopción de medidas que pueden consistir en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales y dar transparencia a las funciones y el tratamiento permitiendo a las personas interesadas titulares de los datos supervisar el tratamiento.

  • Si como la norma indica, “la aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”, será preciso que quede bien justificado técnica y organizativamente las medidas establecidas para impedir el uso de los datos con otros fines; o, en otro caso, qué otros fines derivados de esta geolocalización se aplicarán además de verificar que una persona “está donde está”.
  • Si, como la norma indica, “la aplicación no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos y su uso no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado”, pero permitirá, al menos, realizar al usuario la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19, ofrecerle información sobre el COVID-19 y proporcionarle consejos prácticos y recomendaciones de acciones a seguir según la evaluación”. será entonces preciso valorar muy bien qué datos se van a pedir y durante cuánto tiempo se van a conservar por la Administración porque, tras ofrecer la información al usuario y proporcionarle los consejos, parece que el tratamiento debería llegar a su fin. Y, con este fin, debería pasarse a realizar un proceso de bloqueo consistente en la identificación y reserva de los datos, adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización (excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes; en particular, de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas). Y, transcurrido este plazo, deberá procederse a la destrucción de los datos.

No obstante, según nuestra normativa local de protección de datos, la AEPD puede fijar excepciones a la obligación de bloqueo. Pero, para ello, se debería trasladar la consulta.

Suena raro en todo caso las limitadas finalidades explicadas en la Orden, teniendo en cuenta que la normativa permite el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, por no ser incompatibles con el principio de «limitación de la finalidad», pero deben ser informados.

Asimismo, de acuerdo con el RGPD, si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (en este caso el Ministerio de Sanidad) será preciso que la finalidad del tratamiento dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del RGPD, entre otras: las condiciones generales que rigen la licitud del tratamiento; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento. Sobra decir que la Orden no llega a este nivel de detalle.

Asimismo, los tratamientos de datos deben ser sometidos a una evaluación de impacto en la protección de datos “con carácter previo a su puesta en funcionamiento”, lo que exige que el responsable del tratamiento (esto es, el Ministerio de Sanidad) realice, antes del tratamiento:

  • Una descripción sistemática de las operaciones de tratamiento previstas;
  • Una descripción de los fines del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de las personas interesadas.
  • La descripción de las medidas previstas para afrontar los riesgos.
  • La descripción de las garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y que demuestren la conformidad con el RGPD.
  • Y cuando proceda, recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o de la seguridad de las operaciones de tratamiento.

En este proceso se exige la participación del delegado de protección de datos en relación con su función de asesoramiento, debiendo responder a las consultas que surjan y monitorizar el proceso.

Sin perjuicio de lo anterior, el Ministerio de Sanidad deberá activar el procedimiento de “consulta previa” ante la AEPD antes de poner en marcha el tratamiento de los datos si el resultado de la evaluación de impacto muestra que el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas y el Ministerio de Sanidad no ha identificado o mitigado suficientemente el riesgo. En estos casos, la autoridad de control deberá, en un plazo de ocho semanas -desde la solicitud de la consulta-, asesorar por escrito al Ministerio de Sanidad.

En tercer lugar, es obligación del Ministerio de Sanidad proporcionar información detallada a la ciudadanía sobre el tratamiento de sus datos y los protocolos para ejercitar y garantizar sus derechos.

El principio de transparencia exige que la información para la ciudadanía relativa al tratamiento de sus datos personales sea “fácilmente accesible y fácil de entender”, esto es, que esté expresado en un lenguaje sencillo y claro, dando respuesta a cuestiones cómo la identidad del responsable del tratamiento, la del delegado de protección de datos, los datos objeto de tratamiento, su origen, los fines y base legítima, los destinatarios, el plazo de conservación, la necesidad de su tratamiento, los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento reclamando la tutela de la AEPD.

En este punto, reiteramos lo crucial de que los fines de tratamiento sean absolutamente informados en su integridad y sin oscurantismos, con un lenguaje sencillo y con suficiente detalle. Y lo mismo, si los hay, con los destinatarios de los datos.

Es importante que se facilite a la ciudadanía la forma de ejercicio de sus derechos, puesto que a pesar de que el RGPD ha reforzado las garantías y derechos de las personas en relación con el tratamiento de sus datos, es arduo y complejo para el ciudadano medio entender el objeto y alcance de cada derecho, su aplicación, las condiciones y requisitos para su ejercicio y la forma en que deben ejercitarse, por lo que se deberían implantar protocolos fácilmente accesibles por las personas interesadas teniendo en cuenta los distintos segmentos poblacionales de quienes se tratarán los datos personales.

La transparencia o información a la ciudadanía sobre el alcance del tratamiento, según lo explicado y la garantía de sus derechos, son elementos verdaderamente cardinales en la protección de datos. Por ello, un mal paso en las condiciones de regulación de estos aspectos supondrá un aldabonazo importante para una ciudadanía que ya mira con recelo las medidas adoptadas para controlar el contagio del COVID-19 en relación con su privacidad, sin perjuicio de la responsabilidad en que la Administración pueda incurrir.

Además, hay que hacer hincapié en que, de otro modo, no solo quedaría menoscabada la confianza de la sociedad en las instituciones, sino que, en términos de daño reputacional, las entidades privadas participantes en el proyecto podrían quedar seriamente dañadas también, con el agravante de que estas, en su condición de “meras encargadas del tratamiento”, no son las responsables del tratamiento de los datos ni de las decisiones sobre el mismo, sino que son meras ejecutoras de las instrucciones que el Ministerio de Sanidad les comunique. Esto, en todo caso, no les dejaría indemnes, dado que el RGPD les atribuye un “deber in vigilando” de que ninguna de las instrucciones infringe la normativa o, en su caso, si lo hiciera, informar de ello de inmediato al Ministerio.

Asimismo, el RGPD exige que el Ministerio de Sanidad cumpla con su responsabilidad proactiva y haga frente a la “rendición de cuentas” conforme a la cual debe construir la formulación específica y detallada de las medidas que para la observancia de la normativa de protección de datos adoptará y sería deseable que, con el fin de evitar bulos y ganar la confianza de la población, publique a través de su portal de transparencia, a modo de memoria, aquella información en relación con las medidas que ha adoptado que no pongan en riesgo ni la privacidad de las personas ni las políticas públicas ni los secretos empresariales de las entidades privadas que participen. Porque la sociedad no solo demanda la observancia de la normativa, sino también una mayor transparencia en términos de privacidad -según todo lo ya explicado- en relación con el funcionamiento de las soluciones tecnológicas y aplicaciones que se utilizarán para la batalla contra el COVID-19, algunas de ellas -como dijimos al inicio- en manos de entidades privadas a las que el coronavirus incluso ha hecho más fuertes.

Pero, a priori, aquí el problema no son las empresas privadas, las cuales, por norma general, disponen de exhaustivos planes de cumplimiento normativo y responsabilidad social empresarial para demostrar su “buen hacer”, sino la incertidumbre provocada por la Administración al no establecer un marco claro de actuación. Porque de nuevo hay que mencionar que en este caso, las entidades privadas tratarán los datos actuando “por Orden” y “por encargo” de Administración y no decidirán sobre el tratamiento de los datos de los ciudadanos.

Eso sí, la falta de definición del marco claro de actuación por parte de la Administración (en términos de privacidad), además del perjuicio a los ciudadanos, redundará en perjuicio de la imagen y reputación de las empresas privadas colaboradoras, pese a sus muchos programas de cumplimiento normativo, sistemas de calidad y planes de responsabilidad social corporativa.

Solo si la responsabilidad de la Administración funciona en términos de transparencia y es capaz de explicar a la población cuál es el marco de actuación del tratamiento de los datos personales se podrá desarrollar en la práctica la confianza suficiente de la ciudadanía y también una crítica más constructiva por parte de los estudiosos o expertos de la privacidad. Ello desde luego, con la permanente supervisión de la Autoridad de Control, que es quien, en última instancia, tiene en su mano la aplicación efectiva de la normativa vigente en protección de datos.

De otra forma, aumentará la sensibilización de la ciudadanía en contra de medidas que en otros países se han puesto en práctica y han sido efectivas y que, como hemos analizado, tienen cabida en el marco de nuestro Ordenamiento Jurídico y que además fomentan una colaboración público-privada en el marco del interés público, con un claro reparto de riesgos, funciones y capacidades, siempre en beneficio de la ciudadanía y en la única batalla posible, que es la batalla contra el COVID-19.

Privacidad en estado de alarma y normal aplicación de la Ley

Valorar situaciones de excepcionalidad desde la lógica de la normalidad es absurdo y tergiversa cualquier debate o conclusión. Desde la reinstauración de la democracia nunca se ha declarado el estado de excepción o sitio y sólo en dos ocasiones se ha declarado el de alarma, sin que entre ellas haya relación en cuanto a los motivos y medidas adoptadas. Cada circunstancia requiere respuestas diferentes, acordes con la realidad a la que ha de hacerse frente. Pero pretender que una situación de excepcionalidad permite una aplicación excepcional de la Ley no es de recibo. Las situaciones inusuales, como lo es el estado de alarma, han de afrontarse con la normalidad de la aplicación de la Ley.

Como he tenido ya ocasión de recordar (véase aquí), la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el artículo 11 de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio. En ningún caso, además, pueden suspenderse derechos, sino tan sólo adoptar medidas que condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aun así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos deriva del artículo 18.4 de la Constitución de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma.

Ya se ha discutido si en las circunstancias que ahora vivimos la libertad de circulación ha sido o no suspendida. Sin perjuicio de que las medidas adoptadas sobre todo a partir del confinamiento generalizado y la suspensión de actividades no esenciales pueden estar en el límite de lo que puede acordarse en casos de estados de alarma, lo cierto es que por el momento no se han suspendido derechos fundamentales, aunque sí se ha limitado notabilísamente su ejercicio. Este puede ser el caso, parece, con la protección de datos de carácter personal.

Ante todo hemos de recordar de nuevo, como se ha puesto de manifiesto ya en varias ocasiones, que, como no puede ser de otro modo, tanto el Reglamento General de Protección de Datos de la Unión Europea (RGPD) como la Ley Orgánica de Protección de Datos (LOPDGDD) permiten el tratamiento de datos, incluidos datos de salud, sin el consentimiento de los afectados cuando sea necesario para atajar el coronavirus [1]. La legislación sectorial en materia de sanidad y salud pública también lo permiten, como la de prevención de riesgos laborales. Con todo este marco normativo ha de ponerse de relieve una vez más que la protección de datos ni es ni puede ni debe ser un obstáculo para la más efectiva de las luchas contra el coronavirus dentro del Estado de Derecho. Una vez más insisto en que la protección de datos apenas prohíbe hacer nada, sino que marca la línea que indica cómo deben hacerse las cosas.

Ahora se ha dado un paso más con la puesta en marcha de lo que se ha denominado “DataCOVID”, que -según informa el Gobierno- constituye un estudio de movilidad de la población para contribuir a la toma de decisiones ante el coronavirus [2]. Incluso se ha aprobado por el Ministerio de Sanidad (autoridad competente delegada con carácter general para el ejercicio de las funciones que sean necesarias para la efectividad del estado de alarma[3]) la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Esta, en definitiva, viene a poner de manifiesto que se van a utilizar masivamente las posibilidades que la geolocalización puede ofrecer a partir de los datos de los teléfonos móviles. Se trata, por un lado, de “verificar que [el usuario] se encuentra en la comunidad autónoma en que declara estar”, y por otro de analizar “la movilidad de las personas en los días previos y durante el confinamiento”. Ya se ha estudiado en detalle el contenido de dicha orden [4], por lo que no es necesario hacerlo de nuevo. Pero sí parece oportuno proponer algunas reflexiones de alcance más general.

Desde luego, como ya he puesto de manifiesto en otras ocasiones, no creo que, en estos momentos, podamos pensar que el derecho fundamental a la protección de datos esté vaciándose de contenido. Ni siquiera tras la citada Orden SND/297/2020[5]. Pero hay que ser extraordinariamente cauto para evitar cualquier riesgo de impacto irreversible en la protección de datos. Las pistas ya las dio la Agencia Española de Protección de Datos en su relevante Informe 0017/2020 [6] y el Comité Europeo de Protección de Datos lo ha advertido en su Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, adoptada el pasado 19 de marzo [7].

La cuestión, sobre el papel, no es difícil: si no es en ningún caso posible suspender el derecho a la protección de datos (recuerdo que ello tampoco sería posible ni en un estado de excepción ni de sitio), sino sólo limitar su ejercicio en lo imprescindible para combatir la situación que ha dado lugar al estado de alarma (“afrontar la situación de emergencia sanitaria provocada por el coronavirus COVID-19”, según el art. 1 del Real Decreto 463/2020); si ello es así, decía, los principios esenciales que configuran el contenido esencial del derecho a la protección de datos en ningún caso pueden violarse y la situación ha de volver a una total normalidad una vez concluido el estado de alarma. Aunque hay que advertir que la aplicación de las medidas que sean necesarias, siempre que respeten tales principios esenciales, ha de considerarse dentro de la normalidad, pues es normal que la Ley (en nuestro caso, sobre todo, el RGPD) prevea tratamientos en escenarios inusuales.

Esto es importante, pues de lo contrario podría considerarse que son admisibles medidas extraordinarias ante situaciones que también lo son. Me explico: sólo si partimos de que la Constitución prevé, con normalidad democrática, que pueden tomarse medidas para hacer frente a las situaciones no usuales que puedan llegar a producirse, podremos concluir que tales medidas han de ser tomadas en el marco de la más absoluta normalidad democrática y del más normal respeto al Estado de Derecho. Ni la democracia ni el Estado de Derecho están restringidos ni limitados por el estado de alarma. Una y otro operan con todo su rigor, como con normalidad prevé el art. 116 de la Constitución. Aplicado esto a la protección de datos, procede concluir que es normal que pueda limitarse el ejercicio del derecho a la protección de datos, pues sólo de este modo podrán analizarse desde la lógica de la normalidad democrática y jurídica las medidas que se adopten y que, al no ser extraordinarias, sino normales en el entorno en que han de aplicarse, pueden y deben ser juzgadas desde la normalidad, sin que por tanto sean justificables medidas que pretendan ampararse en una suerte de excepcionalidad que justificaría también excepcionalmente restringir los principios configuradores del derecho fundamental. Restricción que, por moverse en la lógica de la excepcionalidad, podría ser analizada y juzgada desde la excepcionalidad y, por tanto, admitiría limitaciones que sin embargo deben ser considerados inadmisibles. La excepcionalidad fáctica sólo puede y debe ser combatida desde la normalidad jurídica y democrática, lo que permite tomar medidas que, en el marco del respeto absoluto al Estado de Derecho, estén dirigidas a acabar cuanto antes con aquélla situación fáctica. Por tanto los derechos (en plural) pueden estar sujetos a las limitaciones que sean imprescindibles, pero nunca el Derecho, con mayúsculas y en singular, porque precisamente el Derecho es lo que permite hacer frente, con normalidad jurídica, la situación de anormalidad que ha de afrontarse.

En este escenario, las medidas que se adopten en materia de protección de datos para acabar cuanto antes con la pandemia han de ser las que con normalidad jurídica y democrática  pueden e, incluso, deben adoptarse en tales circunstancias. Respetando en todo caso los principios que enumera el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva. Ninguno de estos principios cede en el estado de alarma. Y todo ello bajo la supervisión de las autoridades de protección de datos; en particular, de la Agencia Española de Protección de Datos, cuyas competencias en este ámbito, por lo demás, en ningún caso pueden ser sustraídas ni ejercidas por las autoridades competentes delegadas a que se refiere el Real Decreto 463/2020, pues la existencia misma de una autoridad de control independiente forma asimismo parte del contenido esencial del derecho a la protección de datos, tal como se desprende del artículo 8.3 de la Carta delos derechos fundamentales de la Unión Europea.

Por cierto, es llamativo y difícilmente comprensible que ante una situación como el estado de alarma, que por definición afecta al ejercicio de los derechos fundamentales, el Ministerio de Justicia no sea una de las autoridades competentes según el artículo 4.2 del citado Real Decreto 463/2020. Artículo que, como digo, no puede en ningún caso interpretarse en el sentido de entender que el Ministerio de Sanidad asume las funciones de la Agencia, pues, pese a que dicho precepto dispone que este Ministerio será autoridad competente delegada “en las áreas de responsabilidad que no recaigan en la competencia” de alguno de los Ministerios de Defensa, Interior o Transportes, lo cierto es que la protección de datos no es responsabilidad del Ministerio de Justicia (como he dicho, no incluido en esta breve relación, y por tanto sujeto a la asunción residual de competencias en favor del de Sanidad), sino de la Agencia, sin perjuicio de que ésta se relacione con el Gobierno a través del Ministerio de Justicia (art. 44.1 LOPDGDD).

Lo anterior es totalmente trasladable a los tratamientos de datos previstos en la Orden SND/297/2020. Que por lo demás no es que sean autorizados por dicha Orden (que tiene la naturaleza de acto administrativo y no de disposición de carácter general) sino que son preexistentes a la misma, pues en definitiva lo que en ella se hace no es autorizar o regular una serie de tratamientos que permitan la geolocalización o estudiar la movilidad de, parece, cualquier cliente de operadores móviles, sino establecer una relación de responsable-encargado en los tratamientos a que se refiere.  En un caso (geolocalización) el responsable es el Ministerio de Sanidad y el encargado la Secretaria General de Administración Digital; en el otro (estudio de movilidad de la población), el responsable es el Instituto Nacional de Estadística y los encargados “los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo”.

Pues bien, la situación de excepcionalidad no admite una aplicación excepcional o incluso inaplicación de la Ley, sino la más normal de sus aplicaciones. Y en este sentido, los tratamientos a que se refiere la Orden han de basarse en un título habilitante que los haga lícitos (título que sin duda puede encontrarse en el artículo 6.1.d) y e) y en varios apartados del artículo 9.2, ambos del RGPD) y deben respetar el resto de principios de la protección de datos que antes he recordado. Entre otros los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación. Y en particular el principio de responsabilidad proactiva, que a su vez exige tener en cuenta la protección de datos desde el diseño  y por defecto (especialmente importante cuando se trata de desarrollar una aplicación informática para el apoyo en la gestión de la crisis sanitaria), la realización de una evaluación de impacto a la protección de datos (pues se dan sin duda las condiciones previstas en el artículo 35 del RGPD) y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 del RGPD, que además debe hacerse público, según el art. 31.2 de la LOPDGDD.  Por otra parte es imprescindible informar a los interesados en los términos previstos, según los casos, en los artículos 13 y 14 del RGPD salvo que se acredite que se dan algunas de las circunstancias que prevén los apartados 4 y 5, respectivamente, de ambos artículos. Por otra parte, deberán aplicarse las previsiones del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones[8]. Todas estas circunstancias han de ser tenidas en cuenta y hemos de suponer que así ha sido. La supervisión de la Agencia Española de Protección de Datos pasa a ser de nuevo capital. Así como, por supuesto, el acceso a la vía judicial en su caso, como ha advertido el Comité Europeo de Protección de Datos precisamente en relación con el posible uso de datos de geolocalización a partir del uso de los móviles [9].En este sentido es muy relevante el Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus [10], hecho público días antes de la aprobación de la orden, en el que se admite la posibilidad de su desarrollo y uso, pero con estricto respeto a los principios del derecho a la protección de datos.

Dicho lo anterior, que se trate de soluciones, las previstas en la Orden de 27 de marzo, que parecen haber resultado positivas en otros países, es un elemento muy a tener en cuenta, sin duda, pero no definitivo. Hay que tener en cuenta varias circunstancias.

Por un lado, es imprescindible conocer la situación real en la que tales medidas van a ser aplicadas. No sólo por parte de los poderes públicos que van a ponerlas en marcha, sino también por todas las personas que vamos a ser destinatarios de las mismas.  En este sentido, la transparencia en cuanto a la transmisión de la información por parte de las autoridades competentes en los términos del Real Decreto 463/2020 es imprescindible. Los datos han de ser reales, sean los que sean. Y en este sentido debería aclararse cuanto antes el alcance de la preocupante Nota del Presidente del Tribunal Superior de Justicia de Castilla-La Mancha hecha pública el 6 de abril, en la que, de forma muy bien motivada y documentada, advierte que los enterramientos por coronavirus en esa Comunidad Autónoma superan en mucho a los datos oficiales, tal como se desprende de los datos recogidos de los Registros Civiles y en particular de los certificados de defunción[11], lo que incluso ha llevado a iniciar un expediente gubernativo (Expediente 49/2020) “dirigiendo prevención a los Jueces Encargados de los Registros Civiles para que, en lo sucesivo, se vele por que se haga una identificación lo más precisa posible de la causa inicial o fundamental de la muerte en todos aquellos casos en los que aparezcan procesos patológicos o causas o intermedias que puedan considerarse compatibles o sospechosos con el Coronavirus Covid”.

Por otra parte, es seguro que ya se han debido realizar las evaluaciones necesarias para concluir qué tipo de aplicación, qué tratamiento de datos basado en las técnicas de big data y qué medidas se han adoptado o deben adoptarse para garantizar plenamente el derecho a la privacidad de las personas. La propia orden en su punto cuarto se remite a la legislación de protección de datos, cuya plena aplicación, en los términos de normalidad que he apuntado, ha de darse por descontada [12]. Pero no podemos olvidar que hay voces que, incluso fuera de nuestras fronteras y referidas a experiencias semejantes a la nuestra, han expresado sus cautelas frente a las técnicas basadas en la geolocalización. Me refiero por ejemplo al interesantísimo Libro Blanco sobre “Decentralized Privacy-Preserving Proximity Tracing”, elaborado por investigadores de diversos centros europeos, con una destacada intervención de la investigadora española  Carmela TRONCOSO [13], incluyendo un detallado estudio de las medidas de seguridad que deben implantarse[14]. Documentos que apenas se han hecho públicos el pasado día 3 de abril. Por su parte el Supervisor Europeo de Protección de Datos ha abogado por el uso de la tecnología para acabar con el virus y ha instado a poner en marcha una pan-Europea “COVID-19 mobile application”, coordinada a nivel de la Unión Europea, al objeto de evitar las posibles diferencias que puedan existir entre las aplicaciones que vayan desarrollándose en cada país.

En fin, una última consideración que no es necesario resaltar: cualquier medida adoptada para hacer frente a la crisis del coronavirus ha de cesar en cuanto la situación excepcional en la que se enmarca desaparezca. También esto encaja dentro de la normal aplicación de la Ley y el Derecho. Las sucesivas prórrogas del estado de alarma traen consigo, en lo que sea necesario, la ampliación de la vigencia de las medidas adoptadas en su aplicación, pero, como advierten con carácter general en relación con las medidas adoptadas con ocasión de los estados de alarma, excepción y sitio GARCIA DE ENTERRIA y Tomás Ramón FERNANDEZ, justificadas “precisamente por las circunstancias excepcionales que tratan de resolver, pierden todo sentido cuando estas circunstancias desaparecen. Restablecida la normalidad, no es necesario siquiera proceder a su derogación formal y expresa para que tal derogación se estime producida” [15].

Al recuperarse la normalidad fáctica, volverá por tanto a restablecerse el pleno ejercicio de los derechos y entre ellos el de la protección de datos. Pero habremos de estar especialmente atentos y cautelosos, y aquí los prestadores de servicios y sobre todo los poderes públicos deberán ser especialmente responsables, al objeto de garantizar que en efecto las limitaciones al derecho han quedado sin efecto y que por tanto, por ejemplo, ya no están siendo geolocalizados masivamente nuestros móviles. Porque mientras que la recuperación del resto de los derechos podrá y deberá ser evidente, la de la privacidad puede pasar desapercibida porque su violación pasa asimismo desapercibida. Esa es la gran diferencia entre el derecho a la privacidad y el resto de derechos: pueden estar vulnerando nuestra privacidad sin que para nada seamos conscientes de ello; lo seremos cuando se produzcan en su caso las consecuencias de la violación, pero no antes. Y será difícil que pueda demostrarse que ya no estamos sometidos a una vigilancia constante que por lo demás en cualquier caso es posible. Y que incluso en un estado de alarma puede ser hasta necesario para conseguir la finalidad requerida: acabar con la pandemia.

Se trata, en definitiva, de garantizar que cualquier medida que se adopte y que pueda afectar a la protección de datos no sitúe a este derecho en estado de alarma, sino que permita acabar cuanto antes con el estado de alarma. Para lo cual, como ha advertido el Supervisor Europeo [16], tales medidas han de ser temporales, para finalidades determinadas, que impliquen el acceso limitado a los datos que sean imprescindibles y, muy importante, siendo conscientes de que volveremos a la normalidad. Lo que en definitiva no es más que la aplicación normal del marco jurídico que regula el derecho fundamental a la protección de datos de carácter personal.

 

NOTAS

[1] Entre otros, MARZO PORTERA, Ana, “La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19” en Expansión-Hay Derecho, 18 de marzo de 2020. Puede consultarse en https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/; MARTINEZ, Ricard, “A la muerte por protección de datos”, en http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/; Yo mismo en “La protección de datos durante la crisis del coronavirus”, Newsletter del Consejo General de la Abogacía Española: https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/.

[2] https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/asuntos-economicos/Paginas/2020/010420-datacovid.aspx

[3] Art. 4 del Real Decreto 463/2020, pro el que se declara el estado de alarma. Corresponden al Ministerio de Sanidad todas las funciones que no correspondan a los Ministerios de Defensa, Interior y Transportes, Movilidad y Agenda Urbana.

[4] MARTINEZ,  Ricard, “Protección de datos y geolocalización en la Orden SND/297/2020”,  https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/

[5] Ricard MARTINEZ considera que “Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría”.

[6] https://www.aepd.es/es/documento/2020-0017.pdf

[7] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

[8] De él me he ocupado en “Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones”, en Revista Derecho Digital e Innovación, Wolters Kluwer, nº 3.

[9] Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, citada más atrás.

[10] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-de-la-aepd-en-relacion-con-webs-y-apps-que-ofrecen

[11] http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunales-Superiores-de-Justicia/TSJ-Castilla-La-Mancha/En-Portada/El-numero-de-licencias-de-enterramiento-expedidas-por-los-registros-civiles-de-Castilla-La-Mancha-en-marzo-de-2020-aumenta-un-96-3—respecto-al-mismo-mes-del-ano-anterior

[12] Aunque lo cierto es que no parece que lo más adecuado sea afirmar, como hace el citado punto cuarto, que “lo dispuesto en esta orden se entiende sin perjuicio de la aplicación del régimen previsto” en el RGPD y la LOPDGDD. Esta afirmación sólo puede ser interpretada en el sentido de que la aplicación de la orden se someterá totalmente y sin excepción alguna a la normativa sobre protección de datos. Quiero pensar que se trata tan sólo de una redacción propia de la urgencia en aprobar la orden.

[13] https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf

[14] https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Data%20Protection%20and%20Security.pdf

[15] Curso de Derecho Administrativo, Vol. I, Thomson Reuters-Civitas, Cizur Menor, 18 edición, 2017.

[16] EU Digital Solidarity: a call for a pan-European approach against the pandemic, citado más atrás.

Protección de datos y geolocalización en la Orden SND/297/2020

La Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, contempla un conjunto de medidas sobre las que se ha estado polemizando en las últimas dos semanas. Y sin duda merece una especial atención.

1.-El contexto de la norma.

Con carácter previo es fundamental situar la norma en su contexto atendiendo primero a los aspectos competenciales. La orden emana del Ministerio de Sanidad, y en el marco de sus competencias. Por otra parte, la exposición de motivos de la Orden indica finalidades muy específicas dirigidas a «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública». Estos fines pretenden ejecutarse por medio de acciones concretas:

Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, un asistente conversacional o una página web, que permitan aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud.

▪ Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento para entender los desplazamientos de población y verificar cómo de dimensionadas están las capacidades sanitarias en cada provincia.

Para ello se invocan dos fuentes de legitimación:

▪ El artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

▪ El artículo 4 del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 por el que se habilita a las autoridades competentes delegadas para dictar las órdenes, resoluciones, disposiciones e instrucciones interpretativas.

Así pues, a la luz de la exposición de motivos, la Orden bajo ningún punto de vista es comparable con las previsiones que se contienen en los estados de excepción y sitio respecto del marco ordinario de tutela del secreto de las comunicaciones y la inviolabilidad del domicilio. No es, por tanto, y como en ocasiones se sugiere, ni un estado excepcional respecto del derecho fundamental a la protección de datos ni tampoco una derogación del marco jurídico europeo o nacional.

2.-¿Qué tratamientos de datos personales?

Con carácter previo debe señalarse que la orden no establece excepción alguna al derecho fundamental a la protección de datos; al contrario, refiere expresamente la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Pero hace algo más: el Ministerio se compromete a seguir «los criterios interpretativos dados por la Agencia Española de Protección de Datos». Estos criterios son parcos en lo que a la situación actual se refiere, pero amplísimos si se considera el conjunto de informes y recomendaciones disponibles. Con carácter específico hay que atender al Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus. En el mismo se señalan algunos principios nucleares:

Como ya dijera con anterioridad en un Informe y después en unas preguntas frecuentes sobre tratamientos de datos en relación con el coronavirus, el derecho fundamental a la protección de datos puede ser limitado por razones de interés público relacionado con la salud de las personas. Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes, facilitándoles criterios que permitan compatibilizarlos.

Las finalidades legítimas para las que estas autoridades pueden tratar datos se extenderán a las relacionadas con el control de la epidemia, como ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. En la geolocalización la autoridad extiende el ámbito del tratamiento bajo ciertas condiciones y/o circunstancias:

Que hayan facilitado previamente el teléfono móvil. Criterio que no precisa, aunque habida cuenta de que la norma se refiere a usuarios cabe pensar que se facilite específicamente durante el proceso de instalación.

▪ Para una determinada finalidad: ofrecer canales alternativos de información fiable a los ciudadanos y aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud. Así como, contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento

▪ Y con una determinada legitimación: las amplias competencias que, en situaciones excepcionales, tienen las autoridades sanitarias. Además, la Agencia Española de Protección de Datos, a diferencia de lo que han negado diversos expertos, sí establece una correlación entre la medida de localización con el Estado de Alarma señalando que debe tenerse en cuenta que «una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas».

Si atendemos a las acciones definidas en la Orden se pretende realizar los siguientes tratamientos:

Autoevaluación básica de síntomas médicos. Como resultado de la misma cabe deducir que se podrá identificar a pacientes potenciales. Sin embargo, ello ofrece alguna duda ya que expresamente se señala que:

La aplicación no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos. La utilización de la aplicación no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado.

Esta previsión, seguramente excluya el requisito de ser mayor de 16 años, definido por la agencia española de protección de datos, probablemente en aplicación del criterio de consentimiento informado de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Sin embargo, deja en el aire que consideración tendrá para el sistema de salud un usuario de cuya autoevaluación sugiera claramente la presencia de un enfermo.

La herramienta además prestará un servicio a la ciudadanía consistente en ofrecer información al usuario sobre el COVID-19 y proporcionarle consejos prácticos y recomendaciones de acciones a seguir según la evaluación, así como conectarle con portales gestionados por terceros con el objeto de facilitar el acceso a información y servicios disponibles a través de Internet.

▪ La única función que se enuncia para la aplicación en materia de localización individualizada de una persona consiste en la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Y de nuevo aquí la semántica plantea dudas de orden material. Es un espacio geográfico amplísimo. Obviamente una geolocalización tan extensa no sirve ni al control, salvo que se trate de las infracciones más evidentes, ni a la gestión asistencial. De modo que sólo parecería servir a los estudios de movilidad.

▪ Y esta es la ulterior finalidad perseguida, realizar un estudio de la movilidad aplicada a la crisis sanitaria a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento. Debe señalarse, una cuestión técnica particularmente relevante en esta materia. Si se logra la anonimización irreversible a la que se refiere el RGPD resulta que señala su Considerando núm. 26 que «el Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación».

Sin embargo, el inciso final del artículo segundo de la Orden no solo se refiere al RGPD y la LOPDGDD expresamente, sino que atribuye al Instituto Nacional de Estadística la condición de responsable del tratamiento y a los operadores de telecomunicaciones la de encargados.

3.-El juicio de ponderación.

Desde el punto de vista de la limitación del derecho fundamental a la protección de datos podría decirse que parece satisfacerse el test de ponderación que exige el Tribunal Europeo de Derechos Humanos, por ejemplo, en el asunto Z. c. Finlandia. Primero, se invoca una finalidad legítima y necesaria en una sociedad democrática, la salud pública y la lucha contra la epidemia. Es más, incluso las referencias del TEDH en alguna ocasión a la idea de necesidad social imperiosa podrían verse satisfechas.

En segundo lugar, existiría una suerte de predeterminación normativa en cascada. El artículo tercero de la Ley Orgánica 3/1986 faculta para adoptar medidas de control, y la Orden SND/297/2020 define algunas de las acciones a desplegar. Como se señalaba, el tratamiento más invasivo, la localización, se refiere a usuarios y si traspasan la comunidad autónoma. Ir más allá, traspasar el umbral de este tipo de localización a “los enfermos”, exigiría incluir alguna previsión específica en el artículo 7, o un artículo 7 bis en el Real Decreto 463/2020, entendiendo como la AEPD que el artículo 11.a) de la Ley Orgánica 4/1981, permite limitar la circulación de personas y ofrece un fundamento adecuado.

En tercer lugar, desde el punto de vista de la proporcionalidad, las medidas se limitan a un concreto tipo de personas, usuarios que hubieran facilitado su teléfono móvil, y para una determinada finalidad verificar que se encuentran en la comunidad autónoma que declaran. Y en el caso de estudios de movilidad se ordena su anonimato absoluto.

Incluso se sugiere la celebración del contrato de encargado del tratamiento del artículo 28 RGPD a tratamientos de datos anonimizados, obligación que no se desprende del RGPD, sino que parece que se ofrece como garantía adicional.

4.-¿Estado policial?

Visto el contenido de la Orden, parece que se busca el despliegue de herramientas funcionales a la lucha contra una epidemia. La Orden no se refiere en ningún momento ni al Ministerio del Interior ni señala ningún interés policial en el tratamiento. Se trata ofrecer y obtener información de usuarios de una aplicación, así como la movilidad general y anónima a fin de adoptar las medidas oportunas. Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría.

La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19

En un momento en que el estado de alarma sitúa en un escenario de medidas que limitan o restringen el ejercicio de los derechos (como excepción a la normalidad constitucional fruto o consecuencia de la gravedad de la situación), parece más temerario que razonable que las autoridades de protección de datos de los países europeos a la cabeza de contagios (Italia, España, Alemania y Francia) estén emitiendo una doctrina confusa y obstaculizadora para las empresas y entidades públicas en relación con la recogida y tratamiento de datos de salud para detectar los casos de coronavirus o prevenir contagios.

Sin ir más lejos, el garante para la Protección de Datos de Carácter Personal (Autoridad italiana) publicó la pasada semana, en pleno auge de la enfermedad, una nota de prensa  bajo el título “No do-it-yourself (DIY) data collection, says the Italian DPA”  para dejar sin palabas a cualquiera.

Esta autoridad de control, ante las “numerosas preguntas de entidades públicas y privadas respecto de la posibilidad de recoger datos sobre síntomas de coronavirus de visitantes y trabajadores como medida preventiva del contagio”, determinó que los empleadores deben abstenerse de recopilar, a priori y de manera sistemática y generalizada, información sobre la presencia de cualquier síntoma de gripe del trabajador y sus contactos más cercanos, incluso a través de solicitudes de información específicas a los trabajadores de forma individual o a través de investigaciones no autorizadas, bajo la justificación de que solo los trabajadores de la salud y el sistema activado por la protección civil son los organismos responsables de garantizar el cumplimiento de las normas de salud pública y por tanto, quienes pueden determinar y recopilar información relacionada con los síntomas típicos del coronavirus e información sobre los movimientos recientes de cada individuo.

En una línea similar, la autoridad francesa de protección de datos (CNIL), ante la igualmente numerosa recepción de solicitudes de profesionales sobre la posibilidad de recopilar, además de cualquier tratamiento médico, datos sobre empleados y visitantes para determinar si las personas tienen síntomas de coronavirus o datos relacionados con viajes y eventos, indicó a través de un artículo denominado “Covid-19, Les rappels de la CNIL sur la collecte de données personnelles” que los empleadores no pueden tomar medidas que puedan violar la privacidad de las personas, dado que estos datos están sujetos a una protección muy especial, tanto por el Reglamento General  de Protección de Datos como por las disposiciones del Código de Salud Pública. Y dio un paso más allá, explicando que no es posible implementar, por ejemplo, sistemas de lectura obligatoria de la temperatura corporal de cada empleado o visitante de un centro o establecimiento, concluyendo que si la situación de salud requiere que todas las partes interesadas estén particularmente atentas, “la CNIL invita a las personas y profesionales a seguir las recomendaciones de las autoridades sanitarias y a recopilar solo datos sobre la salud de las personas que tienen han sido solicitados por las autoridades competentes”.

Menos restrictivo aparentemente resulta el informe emitido por la Autoridad alemana de protección de datos (BFDI), en su artículo Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, publicado igualmente, como en los casos anteriores, tras la masiva consulta elevada por los empleadores sobre el mismo hecho, la posible recogida de datos de salud por los empleadores respecto de la infección de sus trabajadores por coronavirus. No obstante, el informe no profundiza acerca de la licitud o no de la recogida de datos de temperatura corporal de los trabajadores y visitantes a centros de trabajo.

Llegados a este punto, nuestra autoridad de control, la Agencia Española de Protección de Datos, publicó el pasado 12 de marzo un informe sobre los tratamientos de datos en relación con el Covid19, donde parecía que, ante tanta insensatez, nuestra autoridad ofrecía un criterio acorde con las circunstancias dentro de las garantías del Reglamento General de Protección de Datos, explicando que en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”.

Pero en paralelo a este informe, la misma autoridad ha publicado unas preguntas frecuentes sobre el tratamiento de datos en relación con el coronavirus, donde a la vez que avala que “verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador” sin embargo argumenta que esta verificación debería ser realizada por “personal sanitario”.

Esto supone que, a criterio de nuestra autoridad de control, resulta obligatorio para todos los empleadores verificar si el estado de salud de su personal puede poner en riesgo la salud de toda la plantilla u otras personas, pero eso sí, solo a través del personal sanitario.

Sorprendente conclusión a la que llega nuestra autoridad de control en un momento donde es prioritaria la salud de la población y donde la cordura nos dice que la protección de datos no debería utilizarse para obstaculizar ni limitar la efectividad de las medidas que adopten, no solo las autoridades, sino también los agentes privados en la lucha contra la epidemia.

En esta línea, el Considerando (46) del Reglamento General de Protección de Datos reconoce que ciertos tipos de tratamientos de datos pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria.

Y como apunta el profesor Ricard Martínez en su brillante informe sobre el tema “A la muerte por protección de datos”, nuestro ordenamiento jurídico nos proporciona un marco regulador en salud pública y vigilancia epidemiológica que son suficientes garantías para poder llevar a cabo el tratamiento de datos personales aplicando la razón última en la protección de las categorías especiales de datos (como los de salud), cuestión que ya  tuvo en cuenta el Convenio 108/1981, del Consejo de Europa, que no es otra que evitar la discriminación.

Tomando las palabras de Ricard Martínez, “tratar datos de salud con la función de prevenir y luchar en un escenario epidémico o pandémico se alinea con el valor constitucional fundamental la garantía de la vida, la salud y la dignidad humanas”, por lo que, haciendo un llamamiento a las autoridades de control de protección de datos europeas, y especialmente a la española, estas deberían reelaborar sus informes, proporcionando a los empleadores y entidades, tanto públicas como privadas, y a la ciudadanía en general, un escenario acorde con la normativa de privacidad, diseñando en todo caso un protocolo a seguir para la recogida de datos personales con el fin de contener la propagación del coronavirus y evitar riesgos a las personas, bien se trate del personal de plantilla, bien de visitas.

Y ello sin descartar el uso y aprovechamiento de la tecnología existente, como por ejemplo uso de cámaras térmicas en manos del personal de seguridad privada, todo ello, lógicamente en un escenario de cumplimiento de los principios de protección de datos que nos obligan a garantizar la privacidad desde el diseño y por defecto, la limitación de la finalidad del tratamiento, la minimización de los datos, un marco temporal de tratamiento y conservación de los datos, la exigencia del deber de secreto de las personas que deban tratar los datos (aunque no sea estrictamente personal sanitario) y  las debidas medidas de seguridad, todo ello para que los destinatarios de dicha información sean las autoridades sanitarias y aquellos terceros que en su caso el Ordenamiento Jurídico prevea.

Pero no pongamos el derecho a la protección de datos como obstáculo ni sometamos a las empresas ni a nuestras administraciones abiertas al público a la contradicción de tener que aplicar medidas para garantizar la salud y evitar los contagios, solo si determinados tratamientos de datos para ello los lleva a cabo el personal sanitario. El personal sanitario “está donde está” y “bastante tiene con lo que tiene”.

Volviendo a la pregunta planteada por la Agencia Española de Protección de Datos en su documento de preguntas y respuestas acerca de si el personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus cuando esté en riesgo tanto su salud como la de otras personas y cuya respuesta de la citada Agencia es que, de acuerdo con la normativa de prevención de riesgos laborales, ello resulta obligatorio para el empleador, si bien debería ser realizado por personal sanitario, me atrevo a realizar la siguiente reflexión:

La derogada Directiva Europea 95/46/CE de protección de datos, establecía en su artículo 8 la prohibición de los Estados miembros de llevar a cabo el tratamiento de datos personales relativos a la salud con, entre otras, la siguiente excepción: cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos siempre que dicho tratamiento de datos fuera realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

En la misma línea, la derogada Ley Orgánica 15/1999 de protección de datos de carácter personal, establecía en su artículo 7, apartado 6, que podrán ser objeto de tratamiento los datos de carácter personal de salud cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

En mi opinión, el Reglamento General de Protección de Datos ha mantenido el mismo régimen en su artículo 9, apartados 1, 2.h) y 3 al determinar que queda prohibido el tratamiento de datos personales relativos a la salud, salvo que dicho tratamiento sea necesario para fines de medicina preventiva o laboral, prestación de asistencia o tratamiento de tipo sanitario o social, sobre la base del Derecho de la Unión o de sus Estados miembros, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros, o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de sus Estados miembros o de las normas establecidas por los organismos nacionales competentes.

En definitiva, no existe una prohibición absoluta a que personal distinto al sanitario lleve a cabo el tratamiento de dichos datos, siempre y cuando dicho personal no sanitario esté sujeto a un deber de confidencialidad y a un deber de secreto.

En este punto traigo a colación la Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada, cuya actuación está sujeta, entre otros principios básicos, según lo establecido en su artículo 31, a la guarda de una “rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones, especialmente de las informaciones que reciba en materia de seguridad y de los datos de carácter personal que deba tratar, investigar o custodiar, y no podrá facilitar datos sobre dichos hechos más que a las personas que les hayan contratado y a los órganos judiciales y policiales competentes para el ejercicio de sus funciones”.

En definitiva, y volviendo a la posibilidad de que los empleadores puedan tratar datos personales de salud en el marco de la prevención de riesgos de sus trabajadores procedentes de la toma de temperatura a través de tecnologías como cámaras térmicas gestionadas por personal del sector de la seguridad privada, creo que queda acreditado en nuestro Derecho que dicho personal de seguridad privada está sujeto a un estatuto de reserva y sigilo profesional, como mínimo, similar al de cualquier profesional sanitario.

En todo caso, parece que las autoridades de control europeas y, en particular, la Agencia Española de Protección de Datos, no están teniendo en cuenta el conjunto del Ordenamiento Jurídico al analizar la situación epidemiológica en que nos encontramos al llevar a cabo sus conclusiones desde el punto de vista de la normativa de protección de datos, lo cual nos lleva a un recorte jurídico inaceptable en la situación en que nos encontramos.

Mi conclusión es que las reflexiones jurídicas de la Agencia Española de Protección de Datos han sido elaboradas partiendo de la base de un “marco de normalidad en protección de datos” en el cual obviamente los datos de salud, solo y exclusivamente deben ser tratados por las autoridades y medios sanitarios.

Pero, la cuestión es que no nos encontramos en una situación de normalidad en salud pública, ni tampoco en protección de datos, por lo que la interpretación que se debe hacer de la normativa de protección de datos debe ser en un marco de interpretación sistemática del Ordenamiento Jurídico que sirva para anteponer unos bienes constitucionales ante otros: la salud pública y la vida de las personas ante el derecho a la protección de datos personales.

No es posible interpretar la normativa desde la óptica del poder de control empresarial derivado del artículo 20 del Estatuto de los Trabajadores “sin más”, sino que debemos ir más allá, o dicho en otras palabras, debemos valorar la situación desde la óptica de la protección de la salud en el entorno laboral y para cualquier persona. No podemos analizar la aplicación del derecho de prevención de riesgos laborales atendiendo a la situación exclusiva de lo que “ocurre en una oficina”, cuando lo que ocurre es una epidemia que traspasa los límites y las paredes de una oficina.

La Ley 33/2011, de 4 de octubre, General de Salud Pública, en su artículo 9 “Deber de comunicación” exige a cualquier persona que conozca hechos, datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de la población, ponerlos en conocimiento de las autoridades sanitarias, quienes velarán por la protección debida a los datos de carácter personal y en su apartado segundo advierte de que, “lo anterior se entiende sin perjuicio de las obligaciones de comunicación e información que las leyes imponen a los profesionales sanitarios”.

 El artículo 21, apartado c) de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales “Riesgo grave e inminente”, establece que cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo, para su seguridad, la de otros trabajadores o la de terceros, el empresario estará obligado a disponer lo necesario para que el trabajador que no pudiera ponerse en contacto con su superior jerárquico, ante dicha situación, esté en condiciones, habida cuenta de sus conocimientos y de los medios técnicos puestos a su disposición, de adoptar las medidas necesarias para evitar las consecuencias de dicho peligro.

Otro ejemplo de “grandes declaraciones y poca concreción para las entidades responsables” es la del Comité Europeo de Protección de Datos, el cual ha publicado una reciente nota de prensa sobre tratamiento de datos personales en el contexto del Covid19 en el cual nos recuerda que el GDPR establece los fundamentos legales para permitir que los empleadores y las autoridades competentes de salud pública traten datos personales en el contexto de epidemias, sin la necesidad de obtener el consentimiento del interesado y ello se aplica, por ejemplo, cuando el tratamiento es necesario para los empleadores por razones de interés público en el área de la salud pública o para proteger intereses vitales (Art. 6 y 9 del GDPR) o para cumplir con otra obligación legal. Poca explicación para tan gran problema de salud pública como tenemos.

Para ir concluyendo, es preciso que las autoridades de control sean socialmente responsables y no se escurran en “arenas movedizas” con discursos o informes “diciendo sin decir”.

Tienen el deber de informar de manera clara e inequívoca sobre las pautas de tratamiento de datos personales que deben seguir los empleadores “en tiempos del coronavirus”, es decir, en un contexto excepcional y de alarma, haciendo una interpretación sistemática de las normas del Ordenamiento Jurídico que afectan tanto a salud pública como a protección de las personas y protección de datos, emitiendo medidas y protocolos concretos que los responsables de tratamiento puedan seguir en el tratamiento de datos de salud, con el fin de garantizar la salud de su personal y terceros y así evitar los contagios, sopesando la situación y sin amenazas de  multa, en un momento donde la tecnología y otros medios bien utilizados pueden ser de tanta ayuda. No basta con “una nota de prensa, un informe, unas “FAQs” y que el resto opine”.

En definitiva, vivimos una situación de excepcionalidad, y el estado de necesidad justificante prevalece. Las autoridades de control europeas deben emitir informes que tengan una aplicación práctica, dado que el problema y la situación son comunes, apartando su condición de “expertos solo en protección de datos” y explorando el Derecho con una verdadera visión holística, balanceando los derechos fundamentales en juego para garantizar que los empleadores (con independencia de su condición pública o privada) puedan llevar a cabo los tratamientos de datos personales necesarios y justificados para contener la propagación del coronavirus y evitar riesgos a las personas, tanto del personal de plantilla como de visitas, eso sí, con las debidas garantías que el Reglamento Europeo de Protección de Datos exige.

Las autoridades de protección de datos tienen una oportunidad de oro para hacer un buen trabajo atendiendo, como indica el Reglamento Europeo de Protección de Datos, al hecho de que el tratamiento de los datos de carácter personal debe estar concebido para servir a la humanidad y que el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

Puede que merezca la pena ahora arriesgar en los criterios que en un futuro tener que aprender de los errores.

Un generoso régimen de segunda oportunidad para los deudores insolventes NO necesariamente conlleva un crédito más caro para todos.

Los pasados días 23 y 24 de noviembre se celebró en la sede del Colegio Notarial de Madrid el Congreso Internacional sobre Insolvencia y Mercado de Crédito, dirigido por los profesores Matilde Cuena Casas (Universidad Complutense), Ignacio Tirado Martí (Universidad Autónoma) y David Ramos (Universidad Carlos III).

El objetivo del congreso fue debatir sobre una cuestión clave ¿Es posible mejorar el acceso al crédito y la recuperación de los deudores, sin encarecimiento excesivo?  Ahora que se está discutiendo la reforma del crédito inmobiliario no es infrecuente escuchar de la banca esta amenaza constante: “el crédito hipotecario será más caro”.

Pues bien, esto no es necesariamente cierto, y esta fue una de las conclusiones del congreso que trató entre otros temas del papel de los sistemas de información crediticia: la implantación de los ficheros de solvencia positivos permitiría un ajuste del coste crediticio a la prima de riesgo del cliente, de forma parecida a lo que acontece en el mercado del seguro. El crédito sería más caro para los clientes con más riesgo, pero no para todos los solicitantes de crédito.

El tema objeto del congreso era transversal, que exigía tocar sectores como protección de datos, legislación concursal, FinTech, desde un hilo conductor común, como es la prevención del sobreendeudamiento privado y el correcto funcionamiento del mercado de crédito.

El congreso fue inaugurado por el Decano del Colegio Notarial de Madrid, don José Ángel Martínez Sanchiz, don Ignacio Lizasoain, Vicerrector de Política científica, Investigación y Doctorado de la Universidad Complutense, y por Don José Amérigo Alonso, Secretario General Técnico del Ministerio de Justicia, quien destacó la actualidad de los temas abordados en el congreso que estaban dentro de la actividad normativa del Ministerio de Justicia: el crédito inmobiliario, la protección de datos y la reforma concursal, haciendo un repaso por el contenido de cada una de las iniciativas puestas en marcha.

La primera ponencia fue a cargo del profesor y economista Don Jorge Padilla (Profesor en la Graduate School of Economics de Barcelona y Director de Compass Lexecon Europa), que impartió una magnífica conferencia sobre “los efectos económicos de los sistemas de información sobre solvencia en los mercados de crédito”.

El Prof. Padilla analizó los problemas que genera en el funcionamiento del mercado de crédito la información asimétrica y el consiguiente riesgo de selección adversa (que el prestamista no pueda distinguir entre prestatarios fiables y no fiables). Para compensar este efecto, los prestamistas aumentan a todos los tipos de interés a todos los solicitantes o exigen más garantías. Advirtió de los riesgos que conlleva la exigencia de garantías, atrayendo a inversores optimistas con proyectos de inversión dudosos. La exigencia de garantías incentiva a que el prestamista no evalúe adecuadamente el riesgo (lazy banks).

Para paliar estos inconvenientes se diseñan los intercambios de información crediticia. Analizó su impacto sobre los beneficios bancarios. Su conclusión fue clara: a corto plazo, el intercambio de información crediticia reduce los beneficios bancarios porque favorece la competencia. Este efecto es todavía mayor cuando se intercambia información positiva. Todos los bancos compiten saludablemente por los clientes de mejor calidad porque saben quiénes son, ya que la información fluye. Ello provoca que se realicen mejores proyectos de inversión y se optimice su ejecución con beneficio para la economía en general. Bancos más seguros y más transferencia de rentas a la sociedad.

Con base en estudios empíricos el Prof. Padilla demostró que el intercambio de información favorece la solvencia de las entidades financieras y tiene efecto positivo en el PIB y permite el ajuste del coste de crédito a la prima de riesgo. Respecto al tipo de datos que deben compartirse, considera necesario que se compartan datos positivos para determinar el nivel de endeudamiento del deudor que está demostrado que toma dinero prestado de distintas entidades. Cuando se intercambia información positiva los bancos se ven forzados a competir agresivamente. Por ello, el legislador debe regular este intercambio porque los bancos voluntariamente no tienen incentivo a hacerlo cuando el sistema financiero está concentrado. Es necesario un impulso regulatorio que obligue a todos a compartir información, incluyendo a las FinTech.

Complementando la visión económica del problema tratado en el congreso, intervino doña María Lissowska, (representante de la Dirección General de Justicia y consumidores de la Comisión Europea), quien trató del Plan de Acción de Servicios Financieros destinados a consumidores. El objetivo de la iniciativa es lograr un mercado de crédito europeo menos fragmentado y que todos los ciudadanos de la UE puedan contratar servicios financieros en cualquier Estado miembro. En la actualidad, solo el 7% de los ciudadanos europeos recurre a servicios financieros de otro Estado.

Particular atención prestó la ponente a la preocupación de la Comisión Europea por el problema de la evaluación de la solvencia de los consumidores. El 10% de los consumidores europeos están sobreendeudados. Adelantó la intención de la Comisión Europea de establecer unos estándares mínimos en materia de evaluación de la solvencia de los consumidores que deberán cumplir todos los Estados miembros, en la línea de los establecidos por la EBA para crédito hipotecario. Por último, concluyó su ponencia con una referencia a los riesgos para los consumidores del fenómeno FinTech y anunció se publicará plan de acción en este terreno.

Posteriormente se celebró la mesa redonda sobre “Modelos de ordenación de los sistemas información crediticia e impacto económico”.

Se analizaron cuestiones estructurales de los sistemas de información crediticia, con un fuerte componente internacional. Para ello, se invitó a participar a ponentes de primer nivel con una afiliación mixta, que cubriese todas las perspectivas del problema: hubo una perspectiva institucional pública (Banco de España, Doña Dolores Cano. Jefa de División de la Central de Información de Riesgos del Banco de España.), un enfoque institucional privado (Don Martin Schmalzried. Miembro del grupo de expertos de la Comisión Europea, Financial Services User Group (FSUG)), un destacado representante de la industria (Don Enrique Velázquez. Director General de la Association for Consumer Credit Information Suppliers (ACCIS)), y un reputado académico (Don Federico Ferretti. Senior Lecturer in Law at Brunel University London (UK). Miembro del grupo de expertos de la Comisión Europea, Financial Services User Group (FSUG)).

La mesa analizó en primer lugar un tema central: la conveniencia de la inclusión de información positiva en los sistemas de información del crédito. La mayoría de los miembros de la mesa, en línea con las mejores prácticas internacionales (por ejemplo, según establece el Banco Mundial), se mostraron favorables a su inclusión con carácter general. De este modo, los financiadores profesionales podrán valorar el riesgo del crédito contando con información adicional, sin duda relevante.

El tema de la inclusión de información positiva se vinculó con los problemas de falta de competencia en el mercado bancario. A menudo, sobre todo en países en vías de desarrollo y en jurisdicciones de rentas medias, el incremento de la información disponible choca con los intereses egoístas de las entidades financieras, que se muestran contrarias a compartir información que consideran valiosa desde un punto de vista de generación de negocio.

 

La implantación de los ficheros positivos de solvencia exige un cuidadoso respeto al derecho fundamental a la protección de datos personales, tema que también está ahora encima de la mesa con el Proyecto de Ley de Protección de datos personales, al que me referí aquí . Esta cuestión se debatió en la mesa redonda sobre “Los datos sobre solvencia patrimonial ante el Reglamento Europeo de Protección de datos personales (RGPD). ”Tuvimos la oportunidad de debatir con reputados expertos en la materia: Don José Luis Piñar Mañas. Catedrático de Derecho Administrativo de la Universidad San Pablo-CEU y Abogado. Exdirector de la Agencia Española de Protección de datos.
Don Pablo Pascual. Director de la Asesoría Jurídica de Experian España.
Don Lorenzo Prats Albentosa. Catedrático de Derecho Civil de la UAB.
y Don Carlos Alonso Martínez. Director de la Asesoría Jurídica de Equifax Ibérica.

El objetivo es cohonestar las ventajas que para la economía presenta el sistema de información positiva y la necesaria protección de datos personales. En primer lugar, se analizaron los datos de solvencia que se incluyen en los ficheros positivos de solvencia los cuales informan de los préstamos correctamente cumplidos y pasivos asumidos no incumplidos. En ningún caso informan de los gastos realizados con tales créditos.

Se destacó que con el nuevo RGPD el modelo ha cambiado y pueden admitirse los ficheros de solvencia positivos con base en el interés legítimo del responsable del tratamiento de los datos, sin necesidad de que estén específicamente regulados. El consentimiento no es un título de legitimación prioritario, sino que existen otros en el mismo nivel, entre ellos, el interés legítimo. El modelo es más abierto y el responsable deberá probar que existe tal interés legítimo.

Se destacó que este tipo de ficheros no pueden manejarse con el consentimiento del afectado. El consumidor podría revocarlo cuando se ha sobreendeudado, lo cual priva de eficacia al sistema. El título habilitante tiene que ser el interés legítimo y no se puede con el REPD determinar legalmente lo que es interés legítimo. Lo más que puede hacer es presumir el interés legítimo en determinados casos, algo que se hace el en Proyecto de LOPD para los datos negativos.

La obligación legal del prestamista de evaluar la solvencia puede legitimar el interés del responsable del tratamiento de los datos de solvencia, sin que sea necesario el consentimiento del afectado.

Pero esta problemática no sólo afecta a la banca tradicional. Es necesario plantear los retos que en este terreno plantea la digitalización de los servicios financieros, las plataformas crowdlending y su acceso a los datos de solvencia patrimonial. A esta cuestión se refirió la tercera  mesa redonda, que versó sobre “El nuevo escenario financiero para PYMES y consumidores. Fintech y big data”. Se analizó el papel del Fin-Tech, su potencial como motor de cambio en el sector financiero, y sus posibles riesgos, financieros y no financieros. Para ello se contó con una perspectiva institucional privada del sector del Fin-Tech (Don Pablo Blasco. Director de Fintech España), institucional pública del supervisor (Don Jesualdo Domínguez-Alcahud Martín-Peña. Departamento de inversores. Dirección General del Servicio Jurídico de las CNMV), así como con la de reputados expertos en materia de regulación financiera, y en materia de protección de datos (Don Ricard Martínez Martínez.  Director de la Cátedra Microsoft. Privacidad y Transformación digital. Universidad de Valencia, Don Javier Puyol. Director de Puyol- Abogados & Partners. Exdirector de la asesoría jurídica contenciosa de BBVA, Don Fernando Zunzunegui. Abogado especialista en regulación financiera).

La mesa se abrió con una discusión sobre la caracterización del fenómeno del FinTech, y las oportunidades y los riesgos que plantea. La lectura de los ponentes era razonablemente benigna, si bien con la necesidad de observar con atención un fenómeno que ha experimentado un crecimiento muy elevado en los últimos años, y que puede dar lugar a riesgos de sistema derivados de la interconexión.

A continuación, se analizó la perspectiva de la protección del usuario, donde se puso de manifiesto una clara disparidad de criterios entre quienes consideraban que la protección del usuario debía priorizarse más por parte de las autoridades, y quienes se acogían a una filosofía de caveat emptor, donde el usuario debe ser más consciente de dónde invierte.

También se abordó la cuestión del elemento característico del modelo de negocio del FinTech y su ventaja competitiva, como es su superioridad en el manejo de grandes volúmenes de datos, que promete cambiar la estructura del sistema financiero. Esta cuestión plantea algunos de los mayores retos en relación con los derechos individuales de los usuarios. No obstante, los ponentes se manifestaron contrarios a la idea de que exista identidad de razón entre las FinTech y los bancos, por ejemplo, a los efectos de comunicación de datos a la Central de Riesgos, y no hubo consenso sobre la posibilidad de una regulación que tomase el riesgo de tratamiento de datos, en lugar del riesgo financiero, como leit motiv para abordar el fenómeno.

 

En la segunda jornada del congreso se abordó la regulación del régimen de segunda oportunidad a la vista de la Propuesta de Directiva de reestructuración preventiva, segunda oportunidad de 22 de noviembre de 2016.

La primera ponencia versó sobre las “Líneas generales de la Propuesta de Directiva sobre marcos de reestructuración preventiva y segunda oportunidad” impartida por Don Ondrej Vondracek. Representante del Departamento de Justicia de la Comisión Europea. Tuvimos la oportunidad de contar con una de las personas que intervino directamente en la Propuesta de Directiva y contó la situación en que se encuentra actualmente la tramitación en el Parlamento Europeo y el objetivo que se perseguía con la misma.  Alertó de las dificultades de la tramitación de la Propuesta que actualmente está en el Parlamento Europeo. Solo la Comisión de Asuntos jurídicos del PE ha planteado 300 enmiendas al texto y es previsible que el número de enmiendas llegue a 1000, tras su paso por las distintas comisiones.

Posteriormente, uno de los máximos especialistas en insolvencia de persona física, con gran conocimiento del Derecho comparado, el Prof, J. Kilborn, Profesor de Derecho mercantil. Marshall Law School (Chicago), impartió una magnífica conferencia sobre “La insolvencia de la persona natural. Perspectiva internacional”, centrándose en la valoración de la Propuesta de Directiva europea en lo que se refiere a la insolvencia de la persona física. Destacó la escasa armonización que se va a lograr en la materia porque la Propuesta utiliza conceptos indeterminados. ¿Cuándo un deudor está sobreendeudado? ¿Cuándo tiene mala fe? Si cada Estado determina el concepto, poca armonización se va a lograr, habida cuenta de las diferencias existentes actualmente y la presencia de regulaciones europeas muy restrictivas.

Posteriormente se celebró la última mesa redonda sobre el “Nuevo régimen de Segunda Oportunidad. La adaptación del Derecho español” en el que intervinieron Don Juan Mora Sanguinetti. Economista Titulado del Servicio de Estudios del Banco de España-Eurosistema, el profesor I. Tirado y M. Cuena. Después de analizar los efectos económicos de tener un régimen de segunda oportunidad se valoraron los cambios que serían necesarios en la legislación española para su adaptación a la Propuesta de Directiva de segunda oportunidad.

Clausuró el congreso Don Ángel Rojo, quien, entre otros temas, defendió que todos los operadores del mercado se deben beneficiar de un sistema de información crediticia y no debe restringirse a las entidades financieras.

En suma, y como conclusión, el diseño de un sistema de información crediticia tiene un impacto económico importante que permite equilibrar la legislación en materia de insolvencia, sin que ello conlleve necesariamente el encarecimiento del coste del crédito. La legislación en materia de protección de datos personales resulta clave para lograr este equilibrio. Las ponencias pueden visualizarse pinchando en este enlace.

Items de portfolio