Debido a la situación excepcional que se vive no sólo en España, sino a nivel mundial, las medidas de prevención se han extremado, y surgen numerosas preguntas acerca de cómo, de qué forma, durante cuánto tiempo o a través de qué personas debe coordinarse un protocolo de actuación frente al Covid-19, en relación con el RGPD.
En este post, daremos respuesta a:
¿Es lícito el (nuevo) tratamiento de datos personales con motivo de ejecutar el protocolo de prevención frente a casos de infección por el Coronavirus (SARS-CoV-2)?
En primer lugar, hay que tener en cuenta un hecho fundamental: estamos en una situación de emergencia sanitaria, por lo que la protección de datos no debería utilizarse para obstaculizar las medidas y actuaciones sanitarias, teniendo en cuenta además que la normativa de protección de datos prevé estas situaciones y cómo afrontarlas.
Por tanto, ¿sería lícito este nuevo tratamiento de datos, relacionados con la salud de las personas? El RGPD reconoce situaciones excepcionales (Considerando 46) que habilitan este tratamiento de los datos, bien sea por un interés público, bien sea por proteger los intereses vitales de las personas afectadas o de otras personas físicas.
Aún con esto, también nos podríamos apoyar en otro amparo legal para poder tratar estos datos en las organizaciones, puesto que debemos cumplir con la normativa de prevención de riesgos laborales, seguridad y salud en el trabajo tanto de los empleados, como de personas externas que accedan a instalaciones bajo su responsabilidad.
Si bien es cierto que el tratamiento de los datos de salud está prohibido por defecto, hemos de buscar las excepciones que, en la situación de emergencia sanitaria actual, habiliten dicho tratamiento, y las hay, y de diferente índole, por lo que estaríamos amparados legalmente. Algunos ejemplos son:
– Por interés público esencial o interés público en el ámbito de la salud pública (como es el caso actual)
– para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social (que también sería el caso)
La legislación nacional establece que serán las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública, y las organizaciones deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Algunas de estas informaciones se centralizan actualmente en la página web del Ministerio de Sanidad (www.mscbs.gob.es)
Finalmente, y ampliado en un post que elaboraremos próximamente, hablaremos de otras cuestiones de interés relativas a, por ejemplo:
– medidas de seguridad
– plazos de conservación
– recomendaciones sobre privacidad en los protocolos Covid-19