Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus

La Agencia recuerda los criterios que deben aplicarse para que el tratamiento de los datos personales de salud sea lícito.                                                                                      

Logo AEPD

(26 de marzo de 2020). En la actual situación de emergencia sanitaria derivada de la extensión del virus COVID-19 se están desarrollando iniciativas que implican un elevado volumen de tratamientos de datos personales y, especialmente, de datos sensibles como los de salud.

Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes facilitándoles criterios que permitan compatibilizarlos.

La Agencia ha constatado que se están lanzando iniciativas, tanto desde el ámbito público como desde el privado, que solicitan que los ciudadanos les faciliten información personal, fundamentalmente relacionada con la salud, al amparo de la situación de emergencia que vive nuestro país. Estas iniciativas tienen un espectro amplio, desde el ámbito local al global, y utilizan apps o páginas web.

Ante esta situación, la Agencia recuerda los criterios que deben aplicarse para que el tratamiento de los datos personales sea lícito.

Los fundamentos que legitiman/hacen posible dichos tratamientos son la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.

Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo.

Los datos que pueden obtenerse y utilizarse han de ser los que las autoridades públicas competentes consideren proporcionados/necesarios para cumplir con dichas finalidades.

Estos datos sólo podrán ser facilitados por quienes sean mayores de 16 años. En el caso de tratar datos de menores de 16 años, se requeriría de la autorización de sus padres o representantes legales.

Únicamente podrán tratar dichos datos las autoridades públicas competentes para actuar conforme a la declaración del estado de alarma, es decir, el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas, que podrán cederse datos entre ellas, y a los profesionales sanitarios que traten a los pacientes o que intervengan en el control de la epidemia.

Las entidades privadas que colaboren con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados.

Si los ciudadanos utilizan aplicaciones o webs de las que no son titulares las autoridades públicas, sino que son ofrecidos por entidades o personas privadas, no existirá la legitimidad que se ha indicado anteriormente para el tratamiento de los datos. En este sentido, es importante recomendar a los ciudadanos que sean especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales.

En cuanto a la previsión de que todos aquellos ciudadanos que hayan dado positivo en la prueba del COVID-19 puedan ser geolocalizados a través del teléfono móvil que hayan facilitado previamente, de modo que se pueda llevar a cabo un seguimiento de su cuarentena, hay que partir de nuevo de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia, tienen las autoridades sanitarias, teniendo en cuenta, además, que una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas.

De nuevo, nos encontramos ante una obligación impuesta por las autoridades sanitarias con el fin de evitar la propagación del virus, y que requiere un especial control de las personas que han dado positivo y que han sido obligadas a permanecer en su domicilio en cuarentena, así como también permite conocer las zonas con mayor número de afectados a fin de adoptar las medidas oportunas.

No obstante, el único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad.

En todo caso, quienes pretendan obtener y tratar los datos de los ciudadanos deberán informarles de forma clara, accesible y fácilmente comprensible de todos los aspectos que se han descrito.