¿Es legal que la Policía sepa si eres positivo?

Share on facebook
Share on twitter
Share on linkedin

Dar acceso a la Policía a los datos de Salud Pública. La última región en tomar esta medida ha sido Madrid, que ha anunciado este mismo jueves que empezará a dar los datos personales de positivos por covid y contactos que deben guardar cuarentena obligatoria a cuerpos de seguridad como Policía Nacional y Loca y Guardia Civil. No es la primera comunidad que toma una decisión similar, pues Castilla-La Mancha y Aragón ya lo han hecho con el objetivo de evitar los temidos incumplimientos de cuarentenas y poner una barrera más a la desobediencia, pero ¿es legal tratar así los datos personales de un paciente? Y, si lo es, ¿cómo se debe hacer para cumplir con todos los requisitos de privacidad? Las discrepancias en este sentido han llegado incluso a los especialistas en protección de datos.

La Comunidad de Madrid ha publicado su decisión esta misma mañana a través del BOCM, el Boletín Oficial de la Comunidad de Madrid, en un texto en el que detalla punto por punto en qué normativa se apoyan para tomar esta decisión y hablan de que se amparan en la legislación europea, el conocido como RGPD y en las leyes españolas de Sanidad, pero no todos los abogados expertos en protección de datos lo tienen tan claro. ¿Dónde está el problema? Se habla de dos puntos clave: el objetivo de la recopilación de estos datos personales y las garantías que se dan del cuidado y buen tratamiento de los mismos.

Consultado al respecto, el abogado especializado en privacidad Samuel Parra, asegura que, con la ley en la mano, el plan del gobierno de Isabel Díaz Ayuso y otras comunidades es perfectamente legal. «El Reglamento de Protección de Datos contempla este tipo de medidas si hay un motivo de interés general o para proteger la salud pública, siempre y cuando se respeten los principios marcados en el artículo 5 del mismo, es decir, que el tratamiento de datos sea limitado a la necesidad puntual y luego se deje de hacer, que solo se recojan los datos necesarios o que se aclare bien quién y cómo se accederá a esa información personal».

En esta misma línea habla Sergio Carrasco, también abogado y experto en derecho tecnológico. Para él, la clave está en los puntos ‘c’ y ‘d’ del artículo 6.1 del RGPD, que permiten el tratamiento de datos personales sin el consentimiento del interesado «si es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» o «si es necesario para proteger intereses vitales del interesado o de otra persona física».

«Si se dejan muy claros les detalles, se garantiza el tratamiento para este momento concreto y se pondera el tratamiento con el objetivo que se busca no debería haber problema. Claro, las dudas nacen sobre cómo van a justificar todo esto y qué garantías van a dar para el tratamiento correcto», apunta.

(Foto: EFE)
(Foto: EFE)

Según Parra, es fundamental explicar en detalle cómo va a realizar esta recogida y tratamiento de datos. Y ahí surgen muchas más dudas. «Deberían publicar en el registro de actividades de tratamiento de la consejería de Sanidad exactamente a qué datos van a tener acceso. ¿Nombre y apellidos? ¿Dirección? ¿Edad? ¿Cuándo ha empezado la cuarentena y cuándo acaba? Con eso en principio debería ser suficiente para la función de control, pero es algo que tienen que aclarar. También cuánto tiempo van a conservar los datos y quién los conservará».

Por su parte, la Comunidad de Madrid, en el BOCM, solo aclara que los datos que se traten «serán los estrictamente necesarios para la finalidad pretendida». Un nivel de detalle que no contenta a los expertos y que lleva a algunos, como el abogado Carlos Sánchez-Almeida, a pensar que la medida se salta la normativa. «Creo que no se justifica este uso de los datos personales, y solo podría justificarse, a mi parecer, con una nueva ley orgánica que efectivamente lo permitiese y que han tenido meses para prepararla. Es cierto que hay mucho debate entre los especialistas, pero es que, por lo visto hasta ahora, no se dan garantías claras de un buen tratamiento de estos datos ni de que se vayan a usar para una situación concreta y no para otros motivos».

La importancia de los detalles

Si en algo coinciden los tres abogados consultados por este periódico, es que en los detalles está lo más importante y aún faltan muchos. No se aclara cómo será el sistema de recogida de datos, de tratamiento, ni los detalles a los que tendrá acceso cada eslabón de la cadena. Según Parra, toda esta información es fundamental por un motivo: los ciudadanos tienen el derecho a preguntar si están o no dentro de esa base de datos. Un positivo que ya haya pasado la cuarentena no debería figurar en esa base de datos pero sí tiene el derecho a preguntar y comprobar si sigue o no ahí.

La consejería de Sanidad, según los expertos consultados, debe habilitar los cauces necesarios para que esto ocurra y para que haya máxima transparencia respecto a la recogida y tratamiento de los datos. Consultada sobre sus planes para facilitar esta información, la consejería de Sanidad de la Comunidad de Madrid no ha ofrecido respuesta al cierre de este artículo. «No sabemos si el sistema está bien configurado, ni securizado. Tampoco sabemos cómo se va a dar esa información ni cómo se va a usar… Todo eso es muy importante con algo tan delicado como datos médicos», apunta Carrasco.

(Foto: EFE)
(Foto: EFE)

¿Qué ocurrirá si la CAM no publica esa información sobre qué datos recaba y cómo? «La Agencia Española de Protección de Datos (AEPD) debería entrar a investigar y valorar la situación. Pero ya lo debería haber hecho antes del anuncio de la Comunidad de Madrid, no a posteriori. Si la CAM no ha consultado antes, la cosa ya no se ha hecho bien desde el inicio», explica Parra.

Consultada al respecto por este periódico, la AEPD cree que la decisión se ampara en la normativa vigente. «La legitimación para el tratamiento y la comunicación de los datos a la Policía (con la finalidad de controlar que las personas contagiadas guarden el periodo de cuarentena impuesto por las autoridades sanitarias) en casos excepcionales, como el control de epidemias y su propagación, se basa en la realización de una misión de interés público en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas, y que permita a las autoridades sanitarias el adecuado ejercicio de sus competencias».

Aunque puntualiza igual que los letrados. «En todo caso, el acceso por parte de Policía a los datos de personas concretas debe observar los principios establecidos en el Reglamento General de Protección de Datos, en particular los de minimización, comunicación de los datos estrictamente necesarios; limitación de la finalidad, y minimización de su conservación, solo por el tiempo necesario para la finalidad».

Esta posición cuadra con lo que recuerdan tanto Carrasco como Almeida es que la AEPD podría seguir el argumento que ya mostró en marzo y en el que se posicionó a favor del tratamiento partiendo para ello de lo establecido en el considerando número 46 del RGPD que, realiza una mención expresa a una posible situación de epidemia y está muy relacionado con los puntos del artículo 6.1. La agencia considera que en dicha situación el tratamiento de datos personales puede ser lícito tanto por motivos de interés público como por motivos de protección de los intereses vitales de los interesados y de otras personas.

La gran duda que queda por resolver son las garantías del tratamiento. Más que si es lícito recurrir a una información médica para un caso concreto y excepcional, que lo es, la sospecha radica en si esa información se usará correctamente y cómo se garantizará que no se usará para otro objetivo. Esto, a día de hoy, queda totalmente en el aire.

(M.A. Mendez | Guillermo Cid. El Confidencial)

Deja un comentario