Los derechos fundamentales de la privacidad: derecho y necesidad en tiempo de crisis

La crisis de salud pública provocada por la actual pandemia de la COVID-19 obliga a la Unión Europea y a los Estados miembros a afrontar un desafío sin precedentes que ha puesto en jaque no solamente sus sistemas de asistencia sanitaria, el normal desarrollo de la actuación administrativa o su estabilidad económica, sino también derechos y libertades fundamentales garantizadas en el ordenamiento jurídico, especialmente el derecho a la intimidad y el derecho a la protección de datos personales. El presente estudio tiene como finalidad despejar, sobre la base del Derecho, las principales incógnitas que rodean el empleo de la tecnología en tiempos de zozobra, contribuyendo a clarificar el difícil equilibrio entre desarrollo tecnológico y garantía de los derechos fundamentales de la ciudadanía, prestando especial atención a la protección de datos de carácter personal.

Daniel Terrón Santos (Profesor Contratado Doctor de Derecho Administrativo), José Luis Domínguez Álvarez (Personal Investigador en Formación (FPU)) y Marcos M. Fernando Pablo (Catedrático de Derecho Administrativo) en la Universidad de Salamanca

El artículo se publicó en el número 55 de la Revista General de Derecho Administrativo (Iustel, octubre 2020)

RESUMEN: La crisis de salud pública provocada por la actual pandemia de la COVID-19 (en lo sucesivo, <<crisis de la COVID-19>>) obliga a la Unión Europea y a los Estados miembros a afrontar un desafío sin precedentes que ha puesto en jaque no solamente sus sistemas de asistencia sanitaria, el normal desarrollo de la actuación administrativa o su estabilidad económica, sino también, el conjunto de valores y la forma de vida que integran la concepción de ciudadanía europea. En este contexto, el desarrollo tecnológico derivado de los profundos procesos de digitalización y datificación de la sociedad a los que estamos asistiendo en los últimos años, se plantea como una alternativa cierta para informar a los ciudadanos y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus. Además, pueden ser un valioso instrumento para diseñar la estrategia de desescalada del confinamiento con modelos basados en datos que señalen los posibles efectos de relajar las medidas de distanciamiento social. Sin embargo, la implementación de algunas de estas medidas plantean interrogantes desde el punto de vista de varios derechos y libertades fundamentales garantizadas en el ordenamiento jurídico, especialmente el derecho a la intimidad y el derecho a la protección de datos personales. El presente estudio tiene como finalidad despejar, sobre la base del Derecho, las principales incógnitas que rodean el empleo de la tecnología en tiempos de zozobra, contribuyendo a clarificar el difícil equilibrio entre desarrollo tecnológico y garantía de los derechos fundamentales de la ciudadanía, prestando especial atención a la protección de datos de carácter personal.

I. LA IMPORTANCIA DE DESARROLLAR NUEVAS TECNOLOGÍAS SUSTENTADAS EN EL TRATAMIENTO DE DATOS PERSONALES COMO RESPUESTA AL COVID-19

El pasado 31 de diciembre de 2019, apareció en Wuhan, China, un nuevo brote de coronavirus, causando una enorme conmoción entre la comunidad médica y el resto del mundo. Esta nueva especie de coronavirus fue denominada como 2019-nCoV (en adelante COVID-19), causante de un gran número de casos y fallecimientos en China y en cantidad creciente fuera de ella, convirtiéndose en una emergencia de salud pública a nivel mundial(1).

Europa no ha sido ajena en forma alguna a los devastadores efectos de la pandemia mundial(2), su crudeza se refleja en multitud de cifras que esconden tras de sí dramáticas pérdidas humanas, económicas y sociales. Cada día, millones de ciudadanos asisten impávidos a la enumeración, por parte de las autoridades sanitarias y expertos, del creciente número de contagios y fallecimientos, y al bombardeo de funestas noticias, solo roto por la esperanza del paulatino incremento del número de recuperados(3).

Ante esta difícil tesitura, el Gobierno de España acordó la adopción del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma(4) para la gestión de la situación de crisis sanitaria ocasionada por la COVID-19, norma que contempla una serie de medidas inmediatas dirigidas a proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública.

La gravedad y excepcionalidad de esta medida nos permite afirmar que la crisis de la COVID-19 nos enfrenta a multitud de escenarios desconocidos hasta la fecha, y propicia la necesidad de que el conjunto de la ciudadanía aporte, en la medida de sus posibilidades, su cuota alícuota de responsabilidad para superar esta difícil situación. En este sentido, desde el estudio salmantino queremos prestar nuestra particular visión acerca de la mejora de los procesos de investigación clínica que las autoridades sanitarias están intentando emprender, a través de la búsqueda de respuestas en el viejo, pero más que nunca necesario Estado de Derecho, que permitan acompasar el desarrollo tecnológico con elevados niveles de garantía para los derechos y libertades fundamentales de la ciudadanía.

Como es bien sabido, las tecnologías y los datos digitales tienen un valioso papel que desempeñar en la lucha contra la crisis de la COVID-19. Estas tecnologías y datos ofrecen en muchos casos una herramienta importante para informar al conjunto de la ciudadanía y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus o para permitir que las organizaciones sanitarias intercambien datos sobre la salud. Sin embargo, como ha puesto de relieve la Comisión Europea <<un enfoque fragmentado y descoordinado [del empleo de nuevas tecnologías basadas en el tratamiento de datos personales] pone en peligro la eficacia de las medidas destinadas a combatir la crisis de la COVID-19, dañando gravemente tanto al mercado único como a los derechos y libertades fundamentales>>(5).

En este sentido, son muchos los esfuerzos destinados por parte de las diferentes Administraciones públicas al diseño de aplicaciones móviles que pueden contribuir al seguimiento y la contención de la actual pandemia sanitaria(6). Animados por las múltiples oportunidades que ofrecen estas herramientas, entre las que destacan la posibilidad de proporcionar orientación a los ciudadanos acerca de las medidas de distanciamiento social, facilitar la organización del seguimiento médico de los pacientes o el rastreo de los contactos, limitando con ello la propagación de la enfermedad e interrumpiendo las cadenas de transmisión; lo cierto es que combinadas con estrategias adecuadas de realización de pruebas y con el seguimiento de los contactos, las aplicaciones pueden ser especialmente importantes a la hora de proporcionar información sobre el nivel de circulación del virus, evaluar la eficacia de las medidas de distanciamiento físico y confinamiento y orientar las estrategias de desescalada para agilizar en la medida de lo posible la tenebrosa tarea de recuperación económica y social que esta por venir.

De esta forma, no resulta difícil encontrar distintas iniciativas públicas y privadas(7) orientadas a la creación de aplicaciones y recursos web estrechamente relacionados con la pandemia de la COVID-19, iniciativas que en la mayor parte de los casos están sustentadas en el tratamiento de datos sanitarios, o lo que es lo mismo, en datos personales especialmente protegidos conforme al art. 9 RGPD. Dentro de estas aplicaciones tecnológicas encontramos dos grandes grupos, en función de su finalidad y tipología: las aplicaciones de alerta y seguimiento; y las aplicaciones de autodiagnóstico y análisis de síntomas.

En lo que se refiere al primer conjunto de herramientas, las aplicaciones de alerta y seguimiento permiten que los Estados miembros efectúen el rastreo de los contactos(8), pudiendo desempeñar un papel importante en la contención del virus en las situaciones de desescalada que las autoridades sanitarias deberán afrontar una vez doblegada la curva de contagios provocada por la COVID-19. Como se ha reiterado en numerosos foros, además de ser un instrumento útil para los poderes públicos pueden, igualmente, convertirse en un importante elemento a tener en cuenta por parte del conjunto de la ciudadanía para mantener un distanciamiento social eficaz y más selectivo. En otras palabras, el seguimiento de los contactos implica que las autoridades de salud pública puedan detectar con rapidez a todos los contactos de un paciente contagiado por COVID-19, pedirles que practiquen el autoaislamiento y, en caso de desarrollar síntomas, realizarles pruebas y aislarlos de forma rápida, reduciendo considerablemente la expansión del virus, y los devastadores efectos que a este acompañan.

Según el criterio del Comité Europeo de Protección de Datos (CEPD), es en este tipo de aplicaciones donde se debe prestar mayor atención para minimizar las interferencias con la vida privada y al mismo tiempo permitir el procesamiento de datos con el objetivo de preservar la salud pública. De igual forma, el CEPD señala la necesidad de apostar por la adopción voluntaria de tales aplicaciones, elección que deberán hacer las personas como muestra de responsabilidad colectiva. Esta voluntariedad esta íntimamente relacionada, como ha señalado en reiteradas ocasiones la propia Comisión Europea, con la precepción que la ciudadanía posee acerca de la confianza y la seguridad derivadas de la utilización de este tipo de herramientas, lo que ilustra la importancia de respetar los principios de protección de datos como mecanismo para incrementar el uso de estas apps por parte de la población, maximizando su eficacia(9).

En el segundo grupo de aplicaciones encontraríamos aquellas destinadas al autodiagnóstico y al análisis de síntomas(10), las cuales podrían proporcionar información pertinente sobre el número de casos que presentan síntomas compatibles con la COVID-19, por edades y semanas, en zonas bien delimitadas donde la aplicación tenga una cobertura elevada(11). Si se obtienen resultados positivos, las autoridades nacionales de salud pública pueden decidir utilizar los datos de la aplicación para la vigilancia sindrómica de atención primaria en relación con la COVID-19.

Independientemente de la tipología de las aplicaciones o herramientas a las que hagamos referencia, lo cierto es que, la implementación de nuevas tecnologías sustentadas en el tratamiento de datos personales, unido al uso de técnicas propias de la analítica de datos e inteligencia artificial, comportan importantes beneficios y representan una importante oportunidad para ganar la batalla al COVID-19, en tanto en cuanto, permiten mejorar la capacidad de previsión y decisión de las autoridades sanitarias, contribuyen a fortalecer la eficacia de las medidas de distanciamiento social, reduciendo con ello significativamente la propagación de la pandemia, o mediante la maximización de la anhelada eficiencia administrativa, idea-fuerza que nuestra Constitución recoge en su art. 103.1 como principio rector de la actuación de las Administraciones públicas, y que hoy más que nunca se hace imprescindible a la hora asignar estratégicamente los medios y recursos sanitarios para minimizar el coste humano, el cual a estas alturas es ya insufrible.

Sin embargo, dadas las funciones de las aplicaciones y herramientas habilitadas para teléfonos inteligentes, descritas anteriormente, su uso es susceptible de afectar al ejercicio de determinados derechos fundamentales(12) como el derecho al respeto de la vida privada y familiar o el derecho a la protección de datos de carácter personal(13), entre otros.

En este punto, conviene señalar que la declaración del estado de alarma no conlleva aparejada la suspensión de los derechos y libertades fundamentales de la ciudadanía, más allá de las disposiciones contempladas en el artículo 11 de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio(14). En ningún caso, además, pueden suspenderse derechos, sino tan solo adoptar medidas que condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución que tan solo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aun así no todos los derechos pueden ser suspendidos, sino solo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos personales es un derecho autónomo(15) que deriva del artículo 18.4 CE, de modo que ni tan siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma.

Esta idea se traduce, como ha indicado acertadamente la AEPD en reiteradas ocasiones(16), en que la normativa de protección de datos personales, cuya finalidad no es otra que salvaguardar la tutela jurídica de un derecho fundamental, se aplica en su integridad a aquellas situaciones derivadas del tratamiento de datos personales relacionadas con la extensión de la COVID-19, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada.

Ahora bien, sin perjuicio de lo anterior, conviene señalar que la propia normativa de protección de datos personales, es decir, tanto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), como la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), contienen las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general. Por ello, al aplicarse dichos preceptos previstos para estos casos en la normativa de protección de datos personales, en consonancia con la regulación sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos —dentro de los límites previstos por las leyes— no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común.

Por tanto, debe entenderse que la protección de datos personales no pretende obstruir o dificultar la realización de aquellos tratamientos de datos personales necesarios para la adopción de medidas eficaces frente al COVID-19, sino todo lo contrario, lo que se persigue es la correcta aplicación de la regulación de un derecho fundamental, la protección de datos, que recordemos es el instituto básico para la plena eficacia y garantía del conjunto de derechos fundamentales reconocidos constitucionalmente, erigiéndose como piedra angular del Estado social y democrático de Derecho ante la (r)evolución digital.

No se trata, en definitiva, de crear impedimentos poniendo como barrera infranqueable e inamovible la protección de datos personales, como han señalado algunos académicos, sino más bien de potenciar la aplicación normal del viejo Estado de Derecho. En este sentido, resultan reconfortantes las palabras de PIÑAR MAÑAS, experto conocedor de la normativa de protección de datos de carácter personal y cuya actuación al frente de la AEPD ha dejado una huella imborrable para el avance de la privacidad en nuestro ordenamiento jurídico, al señalar que <<la situación de excepcionalidad no admite una aplicación excepcional o incluso la inaplicación de la Ley, sino la más normal de sus aplicaciones>>(17).

En este sentido, como se analizará más adelante, los tratamientos a que se refiere la Orden SND/297/2020, de 27 de marzo han de basarse en un título habilitante que los haga lícitos, título que sin duda puede encontrarse en el artículo 6.1.d) y e) y en varios apartados del artículo 9.2, ambos del RGPD, y deben respetar el conjunto de principios propios de la protección de datos de carácter personal, entre otros los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación. Y en particular el principio de responsabilidad proactiva, piedra angular de la nueva regulación de la protección de datos(18), que a su vez exige tener en cuenta la protección de datos desde el diseño y por defecto —cuestión especialmente importante cuando se trata de desarrollar aplicaciones o herramientas tecnológicas destinadas al apoyo en la gestión de la crisis sanitaria—, la realización de una evaluación de impacto a la protección de datos, pues se dan sin duda las condiciones previstas en el artículo 35 RGPD, y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 RGPD, que además debe hacerse público, según el art. 31.2 LOPDGDD.

Por otra parte, es imprescindible informar a los interesados en los términos previstos, según los casos, en los artículos 13 y 14 RGPD salvo que se acredite que se dan algunas de las circunstancias que prevén los apartados 4 y 5, respectivamente, de ambos artículos. De igual forma, deberán aplicarse las previsiones del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones (19). Estas mismas ideas que ahora enunciamos, las recoge de idéntica forma el Supervisor Europeo de Protección de Datos (SEPD) en sus últimos posicionamientos(20).

Precisamente con el espíritu de aunar desarrollo tecnológico, como punta de lanza frente al avance de la COVID-19, y elevados estándares de privacidad, la Unión Europea ha creado recientemente el Rastreo de Proximidad Paneuropeo con Preservación de Privacidad(21) (PEPP-PT, por sus siglas en inglés), proyecto que pretende ofrecer una solución única y de código abierto para recabar datos móviles en los países de la Unión Europea, respetando escrupulosamente la legislación y los principios europeos de privacidad y protección de datos.

Con esta tecnología, la Unión Europea da un paso de gigante en la lucha contra la COVID-19, fortaleciendo la interoperabilidad entre países, garantizando una mayor trazabilidad que asegure el intercambio de datos anónimos en relación a la pandemia entre los Estados miembros y avanzando en la adopción de un enfoque paneuropeo para el uso de aplicaciones móviles, con el fin de capacitar a los ciudadanos para adoptar medidas de distanciamiento social eficaces y más específicas, así como con el fin de alertar, prevenir y hacer un seguimiento de contactos con miras a limitar la propagación de la enfermedad COVID-19.

II. LOS DATOS REFERENTES A LA SALUD COMO CATEGORÍA ESPECIAL DE DATOS PERSONALES: RÉGIMEN JURÍDICO Y POSIBILIDADES DE TRATAMIENTO

Como se ha puesto de manifiesto, la declaración del estado de alarma decretada tras la adopción del Real Decreto 463/2020, de 14 de marzo, no permite limitar derechos y libertades más allá de lo que dispone el citado artículo 11 de la Ley Orgánica 4/1981, lo que habida cuenta tiene una serie de implicaciones desde el punto de vista de la protección de datos personales. Con carácter general, tanto el Comité Europeo de Protección de Datos(22) como las diferentes Autoridades de control(23), entre ellas la AEPD, han hecho públicas sendas declaraciones en relación con el tratamiento de datos personales en el contexto de la crisis de la Covid-19. Todos estos pronunciamientos manifiestan un sentir común, al resaltar que la normativa sobre protección de datos y en particular el Reglamento (UE) 2016/679, no impiden tomar medidas en la lucha contra la pandemia del coronavirus, pero advierten que incluso en estas excepcionales circunstancias quienes traten datos personales deben asegurar su protección, más si tenemos en cuenta que en muchos casos dichos tratamientos utilizan datos especialmente sensibles, como son los datos relacionados con la salud.

Conforme a la regulación actual, los datos relativos a la salud representan lo que se conoce como categorías especiales de datos personales. Como señala acertadamente MEDINA GUERRERO, el RGPD califica como tales a aquellos datos que <<por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales>> (Considerando 51). Y el apartado primero del artículo 9 RGPD mantiene en lo esencial los datos que ya se consideraban merecedores de una mayor protección en el artículo 8 de la Directiva 95/46/CE : origen étnico o racial; opiniones políticas; convicciones religiosas o filosóficas; afiliación sindical; salud y sexualidad, aunque en lo concerniente a este último ahora se precisa: <<datos relativos a la vida sexual o a las orientaciones sexuales>>(24).

Por su parte, el art. 4.15) RGPD concreta y clarifica el concepto <<datos relativos a la salud>>, a diferencia de la Directiva 95/46/CE, que no abordaba su conceptuación. En virtud de dicho precepto, se entiende por datos relativos a la salud aquellos <<datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud>>.

Precisado lo anterior, conviene clarificar el régimen jurídico y las posibilidades de tratamiento de estos datos sanitarios, los cuales como hemos revelado son fundamentales para propiciar el desarrollo tecnológico suficiente y necesario para ganarle la partida al COVID-19.

En este sentido, lo primero que tenemos que señalar es que el propio RGPD, en su considerando 46, reconoce que, en situaciones excepcionales, como la que vivimos en el presente momento, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

(46) <<El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano>>.

Por lo tanto, como base jurídica para un tratamiento lícito de datos personales(25), sin perjuicio de que puedan existir otras bases, como por ejemplo, el cumplimiento de una obligación legal ex art. 6.1.c) RGPD, como pueden ser aquellos tratamientos de datos personales desarrollados por el empleador en materia de prevención de riesgos laborales de sus empleados; el RGPD reconoce explícitamente dos bases jurídicas legitimadoras(26) del tratamiento de datos personales diferenciadas: el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física —art. 6.1.d) —; y el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento —art. 6.1.e) —.

El art. 6.1, letra d) RGPD considera no solo que el interés vital es suficiente base jurídica del tratamiento para proteger al interesado(27), sino que dicha base jurídica puede ser utilizada para proteger los intereses vitales <<de otra persona física>>, lo que por extensión supone que dichas personas físicas pueden ser incluso no identificadas o identificables; es decir, dicha base jurídica del tratamiento —el interés vital— puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados, y ello es reconocido por la normativa de protección de datos personales(28).

Sentado lo anterior, no parece extraño que esta base jurídica del tratamiento(29), se haya vinculado tradicionalmente a la establecida en el artículo 9.2 c) del RGPD, en tanto en cuanto permite levantar la prohibición de tratamiento de las categorías especiales de datos reguladas por el mismo cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento(30).

Sin embargo, para el tratamiento de datos relacionados con la salud no basta con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD debe existir necesariamente una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos.

En el caso concreto en el que nos encontramos, estas circunstancias conviene buscarlas en varios de los apartados reseñados en el art. 9.2 RGPD. Así, la prohibición de proceder al tratamiento de datos personales relacionados con la salud no operará en los siguientes casos:

Primero, a tenor de lo establecido en la letra b) del citado precepto, cuando el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

Segundo, conforme al art. 9.2.g) RGPD, cuando el tratamiento sea necesario por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y especificas para proteger los intereses y derechos fundamentales del interesado.

Tercero, en virtud de lo señalado en la letra i), cuando el tratamiento de este conjunto de datos especialmente sensibles sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

Cuarto, y al hilo de lo preceptuado en la letra h), cuando el tratamiento sea necesario para realizar un diagnóstico médico, la evaluación de la capacidad laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario, así como para la gestión de los sistemas y servicios de asistencia sanitaria y social.

A estas excepciones, la AEPD considera necesario añadir una quinta y última circunstancia de cierre que permitiría el tratamiento de datos relacionados con la salud. De esta forma, según el criterio de la Agencia <<podría ser incluso la establecida en la letra c), en el caso de que se den las circunstancias previstas en este apartado, que aplicaría cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento>>(31).

En consecuencia, en una situación de emergencia sanitaria como en la que nos encontramos, es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la citada regulación permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, siempre y cuando se respete el contenido esencial del derecho a la protección de datos y se establezcan las medidas adecuadas(32) y específicas para proteger los intereses y derechos fundamentales del interesado.

En este sentido, los responsables del tratamiento, en aras de garantizar su correcta actuación y salvaguardar de forma efectiva los intereses vitales de la ciudadanía, deberán actuar conforme a las instrucciones facilitadas por las autoridades sanitarias, en virtud de lo establecido en las disposiciones normativas sectoriales a tal efecto.

Justamente, conviene señalar que nuestro —denostado por algunos— ordenamiento jurídico, establece una serie de disposiciones legales, necesarias y oportunas para hacer frente a situaciones de riesgo sanitario como el escenario provocado por la irrupción de la COVID-19. Nos estamos refiriendo, como no podía ser de otra manera, a la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública, publicado en el Boletín Oficial del Estado de 11 de marzo de 2020) y a la Ley 33/2011, de 4 de octubre, General de Salud Pública.

A este respecto, el art. 3 de la LO 3/1986, establece que:

<<[c]on el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible>>.

Por su parte, el art. 54.1 de la Ley 33/2011, de 4 de octubre, General de Salud Pública (LGSP), establece lo siguiente:

<<[s]in perjuicio de las medidas previstas en la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, con carácter excepcional y cuando así lo requieran motivos de extraordinaria gravedad o urgencia, la Administración General del Estado y las de las comunidades autónomas y ciudades de Ceuta y Melilla, en el ámbito de sus respectivas competencias, podrán adoptar cuantas medidas(33) sean necesarias para asegurar el cumplimiento de la ley>>.

Por lo tanto, en materia de enfermedades transmisibles, la normativa sectorial sanitaria anteriormente relacionada otorga a las autoridades sanitarias las competencias precisas para adoptar las medidas necesarias cuando así lo exijan razones sanitarias de urgencia o necesidad.

En consecuencia, desde el punto de vista del tratamiento de datos personales, la salvaguardia de los intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes Administraciones públicas, quienes podrán adoptar las medidas pertinentes para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública. Entre estas actuaciones se incluyen aquellas relacionadas con el tratamiento de datos personales, para lo que debe estrecharse la colaboración con la Agencia Española de Protección de Datos, institución que debe cobrar un extraordinario protagonismo a la hora de garantizar que los datos personales se procesan de forma adecuada, respetando tanto los derechos del conjunto de la ciudadanía como el cumplimiento exhaustivo de las disposiciones contempladas en la normativa de protección de datos de carácter personal.

De este modo, serán estas mismas autoridades sanitarias las encargadas de velar por el correcto tratamiento de los datos personales, conforme a las exigencias y obligaciones establecidas en la normativa de protección de datos de carácter personal. Especialmente en lo que se refiere al estricto cumplimiento de los principios enunciados en el art. 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad(34) (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos, cuya importancia ya se ha referenciado con anterioridad, garantizando que los datos tratados serán exclusivamente los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad(35), sin perjuicio de que, como se ha dicho, la propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria(36).

III. EL DIFÍCIL EQUILIBRIO ENTRE EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALES Y EL INTERÉS PÚBLICO

1. Derechos fundamentales en tiempos de crisis. El mal ejemplo de la libertad de circulación (art. 19.1 CE)

Pareciera como si, de repente, todo lo que trabajosamente había construido la doctrina ius-publicística española sobre los derechos fundamentales no sirviera ya de nada, y en el asunto del derecho fundamental a la privacidad (aunque, desgraciadamente no solo en éste) se presentara como <<evidente>> o <<natural>> la afectación a su contenido sin respetar aquella construcción. La cláusula de necesidad implícita en la ordenación jurídico-pública de las instituciones podría, según este tipo de aproximación, desplegar sus consecuencias y condicionar, limitar o excluir consecuencias normales, incluso en el núcleo duro de derechos fundamentales que tocan de lleno a la dignidad de la persona. Una reflexión inicial parece necesaria para destacar, primero, que no todo el contenido constitucional de todos los derechos fundamentales es discrecionalmente <<limitable>> o configurable por la situación de “estado de necesidad”, y que, en segundo lugar, cuando tal circunstancia es admitida, solo lo es previa declaración formal y transitoria de un determinado y concreto estado de excepcionalidad constitucional, que abre un singular régimen específico.

Hay que recordar, por tanto, la <<superación constitucional del normativismo positivista>> presente en nuestra Constitución, conforme al cual, <<el ordenamiento jurídico no se legitima per se, por proceder del Estado y atenerse a los cauces procedimentales de elaboración y formulación formalmente enunciados por la propia Constitución; bien al contrario, el ordenamiento se nos ofrece como el instrumento para la realización de los fines que la Norma suprema enuncia como valores>>(37). Los valores materiales enunciado en los arts. 1 y 10.1 de la Constitución expresan un orden axiológico, lejano a la <<neutralidad positiva>>, contienen un orden de valoraciones y principios asumidos como de alcance universal. Los derechos fundamentales tal cómo han sido construidos en nuestro sistema constitucional, son, (al menos los atinentes a la libertad, art. 1 C.E y la dignidad de la persona, art. 10.1 CE) posiciones jurídicas absolutamente principales, a los cuales debe tender la aplicación del ordenamiento, incluso en condiciones de excepcionalidad. En consecuencia, no hay, no puede haber, más <<cláusula de necesidad>> que las expresamente establecidas que, además, deben ser aplicadas conforme a una interpretación legal de las misma que maximice aquellos valores.

De entenderse que la aplicación que se ha hecho del Estado de Alarma es plenamente constitucional y entra dentro de los cánones comunes de este régimen de excepcionalidad constitucional, habría que decir que el resto de situaciones excepcionales sobrarían, puesto que al amparo del régimen propio del Estado de Alarma se han producido (con habitualidad) restricciones y limitaciones (eliminación de la circulación por todo el territorio nacional, prohibición de la <<presencia y o circulación de personas en horas y lugares determinados>>) que, son propias del Estado de Excepción. Basta leer el art. 20 de la LO 4/81 que contiene esas menciones referidas al Estado de Excepción(38), pero que se han impuesto bajo el rótulo de declaración del Estado de Alarma. Y al amparo de éste mismo régimen, se han eliminado actos de ejercicio de la libertad de culto o de manifestación, que tienen un régimen concreto en la regulación del Estado de Excepción y su incidencia en la libertad de circulación. Seguramente el enjuiciamiento por parte del Tribunal Constitucional no transitará por esta lectura del derecho constitucionalmente dado, sino que seguirá la senda de la <<ponderación>> y la <<proporcionalidad>>, con ejercicio, por tanto, del poder constituyente residual que corresponde a esa magistratura. Pero resulta evidente que, siendo la LO 4/81 parte del Bloque de la Constitucionalidad, su contenido es el que es, y contenidos propios del Estado de Excepción se han <<habilitado>> como partes del contenido del Estado de Alarma.

El mal ejemplo que, desde el inicio de la crisis, ofreció la declaración del estado de excepcionalidad constitucional se está, inevitablemente, reproduciendo en sus fases finales dando lugar al peligro que el constituyente quiso evitar a toda costa: la <<supervivencia>> de limitaciones o delimitaciones creadas en la situación de crisis, su prolongación en una situación <<mixta>> que desdibuja, penosamente, los contenidos constitucionales que considerábamos cuasi intangibles. La normalidad se puede, con facilidad, ver coloreada por peligrosos matices, excepciones o reglas que afecten a los propios derechos fundamentales. De ahí la importancia, notable del precepto del art. 1.3 de la LO 4/81 que advierte que finalizada la vigencia de los estados excepcionales decaerán las competencias sancionadoras y preventivas <<así como las concretas medidas adoptadas en base a ellas salvo las que consistiesen en sanciones firmes>>(39).

Este precepto, con todo, no oculta la posibilidad de que, al igual que ha ido sucediendo en la así llamada <<desescalada>>, también en el conjunto de derechos de la privacidad quede un peligroso rastro en el derecho ordinario.

En el fondo de todo el asunto está el modelo impuesto de estado de excepcionalidad constitucional, mal medido y peor ajustado, porque se comenzó por <<prohibir todo>> y señalar por excepción, una serie de actividades o comportamientos permitidos. Contra la lógica más elemental de la doctrina de los derechos fundamentales, y la de la <<vinculación positiva>>, solo actividades o ejercicios concretos de los derechos fundamentales resultaron posibles sin (por lo menos) <<amenazas>> de intervención (¡se llegó a regular por Orden Ministerial el número de personas que debían admitirse en un domicilio particular!).

He aquí, por tanto, el ejemplo a evitar a toda costa en materia de limitaciones a los derechos de la privacidad como herramienta de protección de la salud pública. Limitaciones expresas, tasadas, claras, y frente a ellas, el autogobierno de la personalidad, porque ese es el fundamento del orden constitucional.

2. Suspensión y limitación de los derechos en materia de protección de datos personales. Los datos relativos a las comunicaciones. Contact tracing sobre bluetooth

Conviene recordar que los derechos de la personalidad ahora examinados se encuentran recogidos, fundamental pero no exclusivamente, según la común opinio iuris (pero puede verse también, la LO 3/2018) en el art. 18.4 CE. Y este es un precepto distinto del aludido en el art. 18 de la LO 4/81 que se refiere, únicamente, a la suspensión del derecho al secreto de las comunicaciones (art. 18.3) en caso de declaración del Estado de Excepción. No creemos, sin embargo, que este dato literal, aunque importante, pueda tener hoy mayor trascendencia, debidamente interpretado.

Por una parte, los derechos relativos a los datos cubiertos por el secreto de las comunicaciones electrónicas, están también protegidos por el RGPD, en la medida en que el acceso a los datos de tráfico (con o sin geolocalización) de las comunicaciones, implica también una injerencia en el derecho a la protección de los datos personales (STJUE en la C- 207/16, apartado 37). Por eso mismo, a la vista de nuestro derecho constitucional, parece evidente que solo mediante la declaración del Estado de Excepción puede imponerse a los operadores el suministro obligatorio de datos de geolocalización, con <<suspensión>> de los derechos aludidos en el art. 18.3 CE. Desde el punto de vista del ciudadano, tal hecho supone una <<injerencia>> que, justificada por el estado de excepcionalidad constitucional permite suspender el contenido del derecho fundamental. El uso, por tanto, de aplicaciones que, por razones de seguridad pública sanitaria, impliquen una monitorización de nuestra ubicación y estado de salud, solo se justifica, a falta de consentimiento expreso debidamente informado, en tanto los derechos del art. 18 CE se encuentren expresamente suspendidos: es precisamente la <<suspensión>> (con las limitaciones constitucionales consiguientes) la que hace posible el tratamiento en ausencia de consentimiento. Esos mismos derechos hacen, en nuestro criterio, inconstitucional la aprobación o el uso por los poderes públicos de cualesquiera aplicaciones que, en situaciones de normalidad constitucional (o incluso vigente el mero Estado de Alarma) impliquen la puesta a disposición de los datos de tráfico (en particular, los relativos a la geolocalización) de las comunicaciones electrónicas. Bastará recordar aquí la larga serie de sentencias del Tribunal de Justicia en el sentido de que ese uso de los datos personales (puesto que de datos personales se trata, datos además cubiertos por el secreto de las comunicaciones), si <<permitan esbozar el retrato total o parcial de una persona>> o de sectores de su vida privada, constituye una injerencia grave en la privacidad que puede ser suficiente para exigir la previa intervención judicial al efecto de levantar el secreto de las comunicaciones o la necesidad del consentimiento del afectado. Tal jurisprudencia, es sistematiza por el Abogado General Sr. PITRUZZELLA, en sus conclusiones en la causa C-747/1: El número de afectados, el periodo de acceso, la categoría de los datos —identificación, localización, estado de salud, movilidad, contactos— son datos relevantes respecto de la regularidad de este tipo de injerencia.

Los datos de tráfico, en nuestra opinión, no pueden ser utilizados de manera genérica e indiferenciada para construir un mecanismo (llámese app o no) de monitoreo de contactos y detección temprana de contagios o casos en investigación, en un plan de control epidemiológico. No, a menos que se decrete el Estado de Excepción y mientras esté vigente tal situación.

Puesto que en la cultura europea no caben aplicaciones tan intrusivas como las que se han utilizado en oriente para prevenir la diseminación de los contagios (basadas en geolocalización obligatoria)(40), otra cuestión presenta el análisis de otras posibilidades de rastreo de contactos basado en tecnología móvil (bluetooth), por las que parece que, finalmente, opta la Unión Europea(41), sobre la base de una previa alianza Google-Apple que ofrecerán las bases para construir aplicaciones interoperables.

Sobre este punto (ya tratado anteriormente en sus fundamentos) lo que procede, en términos de contraste de la constitucionalidad de su uso como mecanismo de rastreo de contactos es analizar (i) si estamos en presencia de tecnologías que supongan utilización de datos personales en las comunicaciones electrónicas, (ii) si los datos relativos a la salud admiten, en cuanto datos personales especialmente sensibles, este tratamiento. No repetiremos la mecánica o el funcionamiento de estos mecanismos de rastreo de contactos, ya ampliamente difundidos, y antes aludidos.

Los <<contactos>> marcados a través del empleo y uso del estándar de comunicación de datos de corto alcance designados bajo la denominación bluetooth no dejan de ser datos personales, por que dan lugar a una información relativa a una persona física identificada (la información consiste, precisamente, en la existencia de contacto de ciertas características(42), con otra persona). Por otra parte, de conformidad con la Directiva 2002/58 CEE relativa a los datos personales en las comunicaciones electrónicas, <<los equipos terminales, así como toda la información almacenada en dichos equipos, forman parte de la esfera privada de los usuarios>> —considerando 24—. En consecuencia, los datos que se obtengan con cualquier modalidad de contact tracing sobre bluetooth están sujetos al derecho de protección de datos y el acceso a sus resultados cubiertos por el conjunto de cautelas que aquél implica. La discusión de si puede limitarse ese conjunto de derechos, por razones de salud pública, tiene su respuesta en el art. 6 del RGPD, de manera que el empleo de estas modalidades requiere el consentimiento expreso del interesado titular del terminal o una base legislativa expresa que habilite la hipotética imposición forzosa. En nuestro derecho, tal base legislativa necesitaría el rango de Ley Orgánica (por afectar a los derechos del art. 18 CE) o bien la previsión en norma de ese rango, de una imposición forzosa(43) a ciertas personas (por ejemplo, por su mayor exposición al riesgo) que pueda ser activada mediante decisión pública.

Pero, por otra parte, se trata de datos relativos a la salud, datos sensibles. Por ello, las tecnologías que se están implementado (vid. supra) tratan de dar respuesta a las exigencias de la regulación de protección de datos, especialmente en dos puntos: anonimizando los datos de movilidad y la identidad de los <<contactos>> y no centralizando el tratamiento de datos posterior.

En algunos protocolos de vigilancia frente al nuevo coronavirus, (puesto que la enfermedad está caracterizada como de declaración obligatoria) se recoge, lógicamente, un teléfono de contacto del caso en investigación. ¿Los rastreadores y el equipo de vigilancia podrán acceder a los contactos marcados por la aplicación instalada en ese terminal? ¿O debe, por el contrario, en virtud de la anonimización, esperarse y confiar que la aplicación avise a tales contactos de que ha estado interrelacionando con un caso positivo? Si, no se olvide, pueden imponerse medidas de <<aislamiento obligatorio>>, parece lógico imponer la obligatoriedad de permitir el acceso al terminal y a la información sobre los contactos que pueda suministrar. Pero, si tales contactos están anonimizados ¿Tendrán los rastreadores alguna posibilidad de acceder a comunicarse con ellos? Naturalmente, si existiese una base centralizada, bastaría con autorizar legalmente su consulta al personal de vigilancia epidemiológica. Pero el diseño descentralizado del sistema confía en que, ante un diagnostico positivo, la información sea (anónimamente) trasladada a sus contactos.

Tal restricción del sistema puede, contra lo que parece ser idea dominante, no ser una virtud si no un importante límite a la actividad del factor humano de seguimiento. Es ahora el interés público el que reclama la pronta identificación de personas de cierto riesgo de haber sido contagiado. ¿El imponderable miedo a la estigmatización permitirá que se generalice el voluntario uso de la aplicación?(44)¿Confiaremos en la sola tecnología o haremos de ella un instrumento de los profesionales de salud pública?

IV. CUESTIONES ESENCIALES A TENER EN CUENTA EN EL DESARROLLO TECNOLÓGICO DE APPS FRENTE AL COVID-19

Siendo innegable la relación entre los tratamientos de datos, las nuevas tecnologías y la lucha contra la COVID-19, es preciso establecer las pautas que deben imperar en la misma para que el resultado, desde todas las perspectivas, incluida la legal, sea efectivamente, transponible. No se trata de ponderar cuestiones legales, dándoles más importancia que la que pueda tener la salud pública, como se ha apuntado(45). Hay que analizar las situaciones en su contexto y la irrupción del COVID-19 no conlleva, como hemos subrayado con anterioridad, la inaplicación de una normativa que prevé este tipo de circunstancias excepcionales basadas en motivos de salud pública, sin menoscabar las garantías de los ciudadanos en sus derechos, en particular en lo que se refiere a determinadas cuestiones del tratamiento de sus datos(46).

Ante todo, conviene tener presente qué normativa resulta de aplicación y qué preceptos de la misma son aplicables ante situaciones que impliquen emergencias sanitarias que desemboquen en situaciones como la actual.

Al margen de las previsiones del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (47), será el propio Reglamento General de Protección de Datos y la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas (Directiva e-Privacy) las normas que prevean las reglas de aplicación al tratamiento de datos cuando se lleve a cabo en un contexto como el actual, que permitiría incluso obviar en ciertos casos hasta el consentimiento de los afectados. Lo reamente importante en todo el proceso debe ser el respeto de todos los derechos fundamentales, principalmente aquellos relativos a la privacidad, así como la protección de datos personales, acentuándose en cuanto se refiere a la prevención que implica vigilancia y la posible estigmatización.

En su virtud, cualquier herramienta debería adoptar mecanismos de protección dirigidos a lograr que el procesamiento de datos personales se limitara exclusivamente a combatir la COVID-19, evitando, en todo caso, que los datos personales se utilizaran para fines que se alejaran de este objetivo, sobre todo los que se pretendieran con inaplicación de la ley. Esto implica tener que revisar el tratamiento bajo un paraguas de continuidad, al tiempo que sería preciso establecer cláusulas adecuadas que garantizaran un procesamiento limitado a los fines para los que se determina, limitación que será tanto temporal como material. Así, cuando el procesamiento ya no sea estrictamente necesario para su fin primigenio, se terminará de forma efectiva y los datos personales tratados bajo su vigencia serán irreversiblemente destruidos, para garantizar los derechos de los afectados. Solo por su valor científico al servicio del interés público, siempre y cuando supere al impacto sobre los derechos en cuestión, previo informe favorable de los órganos específicos de asesoramiento y consulta en materia sanitaria, sin olvidarnos del componente ético, y con autorización de las autoridades de protección de datos, podrán guardarse estos datos.

Pro futuro parece que de la situación pasada se obtendrá una lectura cierta, que interpretará, como imprescindible que las nuevas tecnologías marquen el devenir en el proceso de toma de decisiones relacionadas con este tipo de crisis sanitarias. Se ha hecho una apuesta decisiva por las aplicaciones (apps) como arma contra la pandemia, porque las mismas pueden ofrecer información muy valiosa a tener en cuenta en los procesos decisorios. Esto tiene una interpretación más que interesante desde la perspectiva de la garantía de derechos relativos al tratamiento de los datos personales. En este punto, conviene precisar que no es que las apps sean la mejor de las soluciones, pero si una que se basa en el consentimiento de los titulares de los datos que instalan la aplicación de turno en su terminal. Quizá se obvien soluciones ingeniosas, que pudieran haber supuesto un avance temporal importante en la adopción de medidas, siempre desde el respeto a los derechos de los titulares de los datos que se fueran a tratar. Una posible <<campaña de colaboración>>, en la que los interesados, titulares de sus datos, pusieran voluntariamente a disposición de las administraciones sus datos almacenados en las cuentas de Google hubiera dado resultados mucho más rápidos.

Todo esto trae causa en los sistemas empleados en distintos países basados en la geolocalización de determinados sujetos para, empleando la tecnología bluetooth, determinar con cuantas personas ha entrado en contacto el titular del equipo geolocalizado, generalmente infectado o agente de riesgo, dependiendo de la fase en la que decidamos aplicar la medida. Evidentemente esto supondría uso de datos masivos, por lo que entraría en juego el big data, el tratamiento automatizado de datos, de tal forma que a través de Inteligencia Artificial se podría proceder a la toma de decisiones —evitando, en todo caso, una vigilancia, más allá de la función sanitaria prevista y, en todo caso, la estigmatización del usuario—.

Si bien es cierto que <<aprovecharse>> de Google no es cosa sencilla, de lograrlo, se antojan resultados que ayudarían enormemente en la lucha contra la pandemia desde el uso de los datos. Una campaña de publicidad, bien diseñada, sería un esfuerzo menor, dado que se podrían aprovechar los propios recursos de Google, incluyendo la información difundida a través de sus propias cuentas, para que los usuarios cedieran sus datos. De esta forma, se obtendrían voluntariamente perfiles, entendemos que más que suficientes, para poder ser tomados en consideración para comprobar la evolución de la pandemia, determinar cómo se ha expandido, los sectores con mayor transmisibilidad, etc. Independientemente de lo que tardara Google en <<encenderse>>, es previsible una reacción rápida y no limitada, más allá de los supuestos a los que hacemos referencia, pero al tratarse de datos personales cedidos, con consentimiento, su maniobrabilidad es mucho mayor. Implementar apps nuevas es sustancialmente más lento(48) y, si no van acompañadas de una difusión suficiente, cabe el riesgo de que el éxito sea relativo, lo que implica que el carácter masivo de los datos no lo sea tanto, por lo que los resultados pueden no ser <<ciertos>>, en términos de significancia, lo que llevaría a la adopción de decisiones escasamente fundadas.

La propuesta de seguir modelos de geolocalización a partir de una aplicación de implementación voluntaria tiene la ventaja añadida de que previamente hay que cumplimentar datos para determinar un autodiagnóstico. Pero tampoco sería problema desde la perspectiva alternativa. Bastaría con aplicar una encuesta a través de las propias cuentas de Google. Además, de esta forma se evitaría uno de los problemas que plantea la disociación de los datos personales, separar estos desde el momento de la captura de la información, permitiendo su uso, en la medida en que estos pasan a ser <<meramente>> datos estadísticos y nunca serán trazables a los dispositivos móviles donde se generaron. Pero eso limita el objetivo, aunque ofrece un resultado aprovechable sin duda alguna.

Parece que si no todas, la mayor parte de las propuestas de geolocalización se basan en apps, pero no se debería descartar otras opciones, ni tampoco denostarlas. Sería recomendable que se tomaran en consideración como alternativas, es más, simplemente como herramientas distintas, que, en su conjunto, comparando respuestas, daría lugar a modelos predictivos más exactos.

Indudable es que habría que despejar algunas incógnitas, la principal si, una vez obtenidos los datos, tras la correspondiente solicitud a las operadoras, las mismas estarían obligadas a suprimirlos. Realmente esto dependería del tipo de datos a los que nos refiramos. Si se trata de datos que se generan a partir del tráfico de una cuenta de Google, no sería necesario darlos de baja, cuestión aparte es que datos puede, con carácter general, mantener la operadora, aplicándose a este supuesto la normativa general en toda su extensión. En cambio, si nos encontráramos ante datos específicos generados para combatir específicamente la COVID-19, no tendría sentido alguno que la operadora procediera a su conservación, toda vez transmitidos, y por tanto deberían darlos de baja.

La voluntariedad como elemento necesario para poner a disposición los datos, sean de nuestros terminales o de nuestras cuentas de Google, está clara, pero debería ser también expresa, dado que no cabe el consentimiento indirecto. Restaría solventar el problema de los receptores en cuanto estarían recolectando y almacenando datos personales y que, en este caso, tendrían la consideración de datos sanitarios, es decir, datos especialmente protegidos. Tendría que darse, que una entidad se responsabilizara del tratamiento dando instrucciones a los operadores, que no perderían la condición de responsables, solo la compartirían, lo que, aun siendo debatible como obligación, para evitar cualquier problema futuro sería deseable que se produjera, siendo la mejor opción la notificación a la AEPD, como persona jurídica pública responsable(49). El poder disponer de esos datos no alteraría la obligación del equipo o de la institución pública que los recibiera, en cuanto obligada a la adopción de medidas de seguridad. La Orden SND/297/2020 establece una relación de responsable-encargado en los tratamientos a que se refiere. En un caso (geolocalización por motivos de la COVID-19) el responsable es el Ministerio de Sanidad y el encargado la Secretaria General de Administración Digital; en el otro (estudio de movilidad de la población), el responsable es el Instituto Nacional de Estadística y los encargados <<los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo>>(50).

La situación generada, pese a todo, no es una cuestión nueva o desconocida, al menos no desde la perspectiva del derecho. Afirmar que ante situaciones excepcionales hay que buscar la aplicación normal del Derecho es algo que va de suyo, cuando además la aplicación normal de las disposiciones ya prevé escenarios anormales como el existente. Los derechos, sobre todo los fundamentales, ni pueden ni deben limitarse o condicionarse de forma alguna en base a situaciones transitorias, ya que los daños y los efectos nocivos para el conjunto de la sociedad podrían ser irreparables, toda vez dejada atrás la dificultad que amparó el tratamiento indebido(51). Además, se trata de un sinsentido. No se puede justificar un tratamiento que no respete los derechos mínimos garantizados, cuando la propia normativa vigente determina su vigencia aún en caso de emergencias sanitarias.

Cabría preguntarse qué persiguen realmente quienes han sufrido de visiones apocalípticas provocadas por una falsa sobreprotección de datos, porque desde luego no son los fines directamente relacionados con la salud. Dado que esta se puede garantizar empleando datos desde el más estricto cumplimiento de la legalidad en cuanto a su protección se refiere. Luchar contra una epidemia —pandemia—, que genera una crisis, ante todo sanitaria, pero también económica de alcance mundial, no puede encontrar en la protección de datos un obstáculo, ni salvable ni muchos menos insalvable. Simplemente la protección de datos, su régimen, es una indicación para hacer un tratamiento de estos allí donde sea preciso, incluyendo, no puede ser de otra manera, la lucha contra una pandemia como la de la COVID-19, como cualquier otro objetivo deseable desde la perspectiva del interés general como la seguridad o cualquier otro. Pero hacerlo sin que las consecuencias de su tratamiento sean más negativas que los resultados obtenidos con ello. Ni más, pero tampoco menos. Seguridad y privacidad son complementarias. Así es y así hay que verlo. De otro modo corremos el riesgo de quebrar instituciones que ha costado mucho conseguir y que una vez fracturadas, son de difícil recomposición.

Por eso, no hay más que detenerse en el propio Considerando 46 RGPD, para ver la vis preventiva que el tratamiento de datos tiene para el legislador. Por eso, debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado como, por ejemplo, cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano. Luego esto no es ajeno a lo que supone controlar una epidemia y su propagación.

Es claro que el RGPD concede una libertad más amplia a los responsables del tratamiento, bajo ciertos auspicios. Para ello es preciso que la salud pública o el cumplimiento de obligaciones legales se vean afectadas. Dada esta premisa y dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable, se permitirá al responsable del tratamiento adoptar cuantas decisiones resulten precisas, entre otros motivos, para garantizar la salvaguarda de los intereses vitales de las personas físicas o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable, incluida la de protección de datos personales. La salvaguarda de estos intereses no implica necesariamente una inaplicación de la normativa, más bien todo lo contrario, supone aplicar ésta para aquellos supuestos que están específicamente contemplados, con sus garantías, adecuadas a las circunstancias.

Aquí se abre otro punto de discusión importante. Al poner en relación la salud de las personas con la cuestión del tratamiento de los datos personales, nos encontramos con que no es posible, probablemente tampoco lícito, que cualquier sujeto (incluyendo a autoridades públicas), distinto de las autoridades sanitarias competentes, sea quién transmita instrucciones a los responsables de los tratamientos de datos personales. Al fin y al cabo, se trata de datos de carácter personal, pero de naturaleza sanitaria. Evidentemente el tratamiento de los datos se tiene que hacer por el responsable de los mismos, que incluso puede tener conferido el ejercicio de poderes públicos, conforme el Considerando 10 RGPD, lo que no supone que los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de forma libre, si no que deben hacerse desde el estricto cumplimiento de la normativa.

Vayamos por partes, está claro que el responsable del tratamiento va a ser la Administración sanitaria de forma directa, aunque no sea ésta la que recabe los datos, al menos no los de geolocalización ya que éstos serán siempre facilitados por los operadores, por ser quienes tienen acceso a los mismos. Los facilitados directamente por el interesado como consecuencia de la cumplimentación de un formulario, etc., los tratará exclusivamente la autoridad sanitaria. En aquellos otros casos, serán los operadores conjuntamente con ésta quienes traten los datos, pero esto no convierte en responsable a un operador que facilite los datos de geolocalización a la autoridad de turno, en este caso la sanitaria. Dado que estos datos se tratan con un fin específico que viene determinado por la propia autoridad sanitaria o de forma conjunta de ésta con otros órganos de decisión, serán éstos, por tanto, los responsables, habida cuenta, que por definición legal, responsable es aquel o aquellos que determinan los fines y medios del tratamiento, no quien trata los datos que será el encargado.

Esta no es una cuestión vana, ya que en caso de existir un tratamiento ilegal será preciso depurar responsabilidades y para ello el primer paso es identificar al responsable. Obviamente aquí subyace otro problema. Los operadores que tienen acceso a los datos de geolocalización, lo tienen en base al consentimiento facilitado por los interesados, con carácter general. En tales circunstancias tendrán la consideración de responsables del tratamiento, ya que este es previo a todas las circunstancias sanitarias que amparan la intervención de la Administración, que entiende la utilización de tales datos como una herramienta eficaz contra la COVID-19. Ahora bien, en aquellos casos en los que tales datos no se tuvieran y hubiera que obtenerlos por indicación de la autoridad sanitaria, algo que está amparado desde la normativa por las circunstancias excepcionales, solo sería esta última la responsable ya que determina los fines y ordena al operador que realice un tratamiento cierto, convirtiendo, en lo que a tales datos se refiere en encargado, pero no en responsable.

Toda vez que los datos existen, con carácter previo u obtenidos con posterioridad a la situación de emergencia sanitaria, está claro que se pueden emplear con los fines ya analizados, dentro de las limitaciones señaladas por la legislación vigente. Determinado también el quién es quién en relación con estos datos y su tratamiento, resta entrar a dilucidar qué actuaciones y bajo qué condiciones se pueden llevar a cabo respecto de tales datos.

La cuestión que se ha mostrado más polémica, precisamente la más interesante desde la perspectiva de combatir la pandemia, radica en la geolocalización (dato personal) de determinadas personas, previamente determinadas por la autoridad sanitaria —esto no puede admitir discusión alguna—, en la medida en que sea preciso comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública)(52).

Esto no plantearía problema alguno siempre que dicha información se trate siguiendo unos parámetros ciertos. En primer lugar, como hemos adelantado, es imprescindible que sea una autoridad sanitaria la que determine a quien se ha de geolocalizar (generalmente será una persona que ha dado positivo en test verificados) a fin de identificar aquellas personas con las que ésta ha tenido contacto, por decirlo así, estaríamos ante una segunda geolocalización, con el objetivo de verificar la existencia o ausencia de contagio. Evidentemente en ambos supuestos (primera y segunda geolocalización) se tienen que salvaguardar, dentro de los límites legales, los derechos de los interesados, en relación con sus datos personales y con el tratamiento de los mismos. Lógicamente no tiene sentido no identificar a la persona cuyo positivo está confirmado, de otra manera sería difícil proceder a su geolocalización, como tampoco lo tendría no identificar a sus contactos, si a estos hay que realizarles test para comprobar el contagio o la ausencia del mismo. Cuestión distinta es que se tenga que comunicar a los contactos que el test se les realiza como consecuencia del positivo de una persona determinada, lo cual ni es preciso, ni, por tanto, lícito —principio de minimización y anonimización—.

Debemos tener presente que la propia normativa de prevención de riesgos laborales prevé la vigilancia del estado de salud de los trabajadores, incluso sin su consentimiento, cuando el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa(53). Esto supone un tratamiento de los datos, que tendrá que ser llevado a cabo conforme a la normativa y con las garantías contempladas para tal fin. Se trata de una prescripción que, en aras de garantizar la salud de todos sus empleados, evitando contagios dentro de la empresa o centro de trabajo, afectará tanto al interesado como al resto de empleados. Esto supone, en este ámbito concreto, tanto un deber del empresario, según el art. 14 y concordantes de la LPRL, como una obligación para los trabajadores, permitir el tratamiento y colaborar suministrando información, según el art. 29 de la misma Ley, que viene a transponer el art. 13 de la Directiva del Consejo (89/391/CEE), de 12 de junio de 1989, relativa a la aplicación de medidas para promover la mejora de la seguridad y de la salud de los trabajadores en el trabajo.

Está claro pues que la normativa no es ajena a los supuestos de tratamiento de datos personales en situaciones de emergencia relacionadas con la salud, más bien todo lo contrario. De hecho, precisamente prevé su utilización como herramienta para evitar contagios, pero lo hace desde el cumplimiento de los principios y garantías, que la misma normativa que contempla su uso, determina para su tratamiento. Esto supone la necesidad de respetar el art. 5 RGPD. En particular en lo que atañe al tratamiento de datos personales en base a una serie de principios esenciales, los cuales constituyen los cimientos del sistema europeo de tutela jurídica de la protección de datos de carácter personal, como son los principios de licitud, lealtad y transparencia, limitando la finalidad de su uso(54), respetando el principio de exactitud, sin dejar a un lado el principio de minimización de datos e incluso la anonimización cuando ésta fuera posible.

En definitiva, se trata de adaptar los límites del art. 5 RGPD a la especial situación generada por la irrupción de la COVID-19, sin perder de vista que estamos haciendo referencia al uso de medios tecnológicos. Así lo ha entendido la propia Unión Europea, que en la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, <<Una Estrategia Europea de Datos>> COM/2020/66 final, de 19 de febrero de 2020, reconociendo la importancia de los datos para la economía y la sociedad, y que las personas generarán cantidades cada vez mayores de datos, la manera en que se recogen y utilicen los datos debe situar los intereses de la persona en primer lugar, de conformidad con los valores, los derechos fundamentales y las normas europeos. Los ciudadanos solo confiarán y harán suyas las innovaciones basadas en los datos si confían en que todo intercambio de datos personales en la UE estará sujeto al pleno respeto de sus estrictas normas en materia de protección de datos.

Medidas tales como la creación de repositorios de datos que puedan ser tratados desde la inteligencia artificial y el aprendizaje automático, son el futuro. Estos repositorios podrán estar conformados por datos, tanto públicos como privados, hasta el punto que distintos Estados miembros han dado los primeros pasos con la adaptación de su normativa, la de la Unión Europea ya lo permite, en lo referente al uso de datos de titularidad privada por parte de las autoridades gubernamentales, de conformidad con la legislación en materia de protección de datos y con la legislación en materia de competencia, contribuyendo así a la implantación de ecosistemas basados en los datos(55).

Quizá un buen ejemplo de todo lo expuesto sea Finlandia que a través de una modificación de su Act on the Electronic Processing of Client Data in Healthcare and Social Welfare, en relación con el uso secundario de los datos sanitarios y sociales, crea una autoridad de autorización de datos, para permitir el uso de estos con fines de investigación y prevención(56).

Por lo tanto, la normativa que regula el tratamiento de datos personales, tanto nacional, con carácter general, como de la Unión Europea, no suponen un impedimento a la investigación y por extensión a la salud pública. En contraposición, es necesario subrayar una exigencia que debe estar presente en todo caso, y que no es exclusiva del modelo europeo de protección de datos personales, como es el respeto escrupuloso de los principios de protección de datos personales, y especialmente el de finalidad (en estos momentos limitado a la contención de la propagación del coronavirus y no otras distintas), lo que a su vez supone conservar los datos no más del tiempo necesario para tal finalidad.

Más allá del oportunismo para atacar sin razón la normativa de protección de datos personales(57) dado que tanto el RGPD y la LOPDP, la legislación sectorial y la normativa que declara, regula y desarrolla el estado de alarma legitiman tratamientos de datos de salud sin consentimiento de los afectados. Muy al contrario, legitiman cualquier tratamiento que sea imprescindible (solo el que sea imprescindible) para luchar contra la pandemia global que sufrimos. Pero del mismo modo esas normas exigen que tales tratamientos sean escrupulosos con los principios que fundamentan el derecho a la protección de datos. No es oportuno anteponer unos derechos fundamentales por encima de otros, sobre todo porque no está justificado por no ser necesario. Todo ello nos lleva inexorablemente ha reafirmar el absoluto vigor de la frase de BEJAMIN FRANKLIN, recuperada recientemente por PIÑAR MAÑAS, “aquellos que renunciarían a la libertad esencial, para comprar un poco de seguridad temporal, no merecen ni la libertad ni la seguridad”(58).

Una vez clarificadas las posturas referenciadas con anterioridad, corresponde entrar en el pormenor de los derechos, que habrá que entenderlos y aplicarlos en el tenor que marca la línea que indica cómo deben hacerse las cosas cuando impera un estado excepcional, pero previsto por la misma legislación que impera en circunstancias normales.

Partiremos de que, dadas las circunstancias, lo normal, por así estar expresamente previsto, es limitar el ejercicio del derecho a la protección de datos. Será preciso adoptar medidas que no son extraordinarias, sino que lo es la situación que genera su aplicabilidad, por lo tanto, no hablaremos de exceptuar la aplicación y, en cambio, lo haremos sin temor de restricción interpretativa de los principios configuradores del derecho fundamental a la protección de datos.

Esto no supone otra cosa que no sea aplicar el meritado art. 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva, adaptándolo a la realidad fáctica dentro de los límites legales.

La cuestión de la licitud del tratamiento se ha de basar en una finalidad cierta, que no es otra que la de combatir la situación de pandemia en la que nos encontramos. Pero más allá de esto, dicho principio implica, de igual forma, que se limiten los datos a los que resultará de aplicación esta regulación especial, por lo que el tratamiento para abordar la crisis producida por la pandemia en que se ha convertido la COVID-19, se ceñirá única y exclusivamente a los estrictamente necesarios para la finalidad pretendida, que tendrán además carácter imprescindible. Determinados éstos, no será posible extender el tratamiento a cualquier otro dato, que quedarán sometidos a su tratamiento habitual al no ser necesarios, no pudiendo, como hemos reiterado, aprovechar la coyuntura para modificar el tratamiento de los datos en general. Esta posibilidad está expresamente prevista en el Considerando 54 RGPD, precepto que tas determinar que el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública(59) no duda en señalar que el tratamiento de datos basado en razones de interés público en el ámbito de la salud pública, no puede amparar comportamientos de terceros, como puedan ser empresarios, compañías de seguros o entidades bancarias, entre otros, que traten los datos personales con fines distintos de los del art. 3.c) Reglamento (CE) 1338/2008.

No obstante, conviene precisar que el consentimiento tras el cambio de paradigma propiciado por la irrupción del RGPD no lo es todo, como demuestra que puede no ser requerido a la hora de adoptar medidas o llevar a cabo determinados tratamientos de datos personales. Aunque no sea necesario recabar el consentimiento, sin embargo, resulta indispensable informar a los interesados en los términos previstos, según los casos, en los arts. 13 y 14 RGPD salvo que se acredite que concurre alguna de las circunstancias previstas en los apartados 4 y 5, respectivamente, de ambos artículos, lo que no es fácil que suceda(60).

Para completar la licitud del tratamiento este ha de basarse en un título habilitante que lo haga lícito. Sin afán de reiterarnos, a este fin justificativo servirían perfectamente, tanto el art. 6.1.d) y e), como, con carácter general el art. 9.2, ambos del RGPD. Pero además de lo anterior se deben respetar el resto de los principios propios de la protección de datos que antes hemos recordado. Entre otros, a efectos meramente descriptivos, los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación.

El cumplimiento de los principios, que expresamente señala la propia Comisión Europea en relación con las herramientas tecnológicas, en particular las aplicaciones móviles(61), debe realizarse desde el prisma y la perspectiva de la responsabilidad proactiva. Esto supone que el responsable del tratamiento lo será también del cumplimiento de lo dispuesto en el art. 5.1 RGPD —el respeto de los principios relativos al tratamiento— y capaz de demostrarlo.

En todo caso, estos principios hay que entenderlos dentro del marco social en el que se desenvuelve una pandemia, no pudiendo simplemente reproducir el enunciado del art. 5.1 RGPD. Así la limitación de la finalidad, implicará un uso de datos de movilidad anónimos y agregados, pero exclusivamente de aquellos propicios para comprender la dinámica de la propagación del virus y ser capaces de determinar los efectos económicos de la crisis, en busca de las decisiones correctoras necesarias. Ciertamente, quizá sea más fácil cumplir con las estrategias de minimización de datos personales que con la anonimización de los citados datos, sobre todo cuando estos vayan a ser tratados con herramientas de big data. En todo caso, tendrá que demostrar el responsable que, dentro de lo razonable, ha intentado cumplir con los parámetros de la normativa al respecto(62). La minimización también se logra mediante la restricción en el procesamiento de los datos, de modo que exclusivamente se usen para los fines indicados al tiempo que se excluye cualquier posibilidad de intercambio de datos con terceros, más allá de los responsables y, en su caso, los encargados del tratamiento.

Abrimos aquí un paréntesis tecnológico de necesaria presencia. Hasta ahora el cifrado, se ha mostrado como una herramienta eficaz en los procesos de anonimización de datos. Empleado junto con el borrado de las informaciones personales —entendidas aquí como nombres y apellidos, números de identificación personales, etc.—, el nombre de usuario, e incluso la dirección IP, sustituyendo todos éstos por identificaciones numéricas únicas y posteriormente cifrando la información se garantizaba, al menos en términos de razonabilidad en cuanto a las medidas adoptadas, la seguridad y confidencialidad de la información, por ende, el anonimato de los datos empleados. Pero hoy en día esta técnica habría que sustituirla, quizá sería cuestionable el esfuerzo en relación a la garantía de anonimato ofrecida, por la tokenización(63). De seguir siendo empleado, el cifrado, en todo caso, debe hacerse empleando algoritmos certificados por el CCN-CERT.

Directamente relacionado con lo anterior, es la necesaria búsqueda de asesoramiento en el seno de las autoridades públicas sobre cómo solicitar por parte de estas a los proveedores de datos, no solo los propios datos, sino también la metodología empleada para anonimizar los datos a fin de realizar una prueba de integridad de la metodología aplicada. Labor fundamental aquí la de la AEPD, nadie mejor para orientar a las Administraciones qué datos, información de metodologías, etc., han de solicitar, al tiempo que les indiquen, cuando no sea ella la que la lleve a cabo, la prueba para comprobar los resultados de la metodología aplicada por los proveedores. Si además contamos con la colaboración del CCN-CERT, presente en el ámbito de lo público, del INCIBE para los operadores (en cuanto responsables o encargados), se antoja un nivel de protección estricto cumplidor de la normativa y garante de la privacidad en los términos contemplados por esta.

Por otra parte, es seguro que ya se han debido realizar las evaluaciones necesarias para concluir qué tipo de aplicación, qué tratamiento de datos basado en las técnicas de big data y qué medidas se han adoptado o deben adoptarse para garantizar plenamente el derecho a la privacidad de la ciudadanía. Todo va a depender de los sistemas y los datos que se pretendan utilizar, sin que podamos dar una respuesta universalmente válida. Experiencias similares a la nuestra, se han mostrado reticentes cuando se ofrecía como herramienta a las técnicas basadas en la geolocalización.

Esto no supone que no pueda ni deba hacerse, si no que, de hacerlo, hay que hacerlo bien. El documento <<Decentralized Privacy-Preserving Proximity Tracing. Overview of Data Protection and Security>>, incluye, no solo la técnica del tratamiento de datos a partir de la geolocalización, sino que además cuanta con un detallado estudio de las medidas de seguridad que deben implantarse, para lograr unos objetivos ciertos y legales(64).

Por su parte el Supervisor Europeo de Protección de Datos también ha abogado por el uso de la tecnología para acabar con el virus y ha instado a poner en marcha una red pan-Europea <<COVID-19 mobile application>>, coordinada a nivel comunitario, al objeto de evitar las posibles diferencias que puedan existir entre las aplicaciones que vayan desarrollándose en cada país.

Todas estas aplicaciones y herramientas al final tienen un resultado cierto, tratan datos médicos, incluso algunos que pueden formar parte de la historia clínica de un paciente, lo que conduce a la cuestión de la custodia de estos datos. ¿Es un operador de telefonía móvil o de comunicaciones el ideal de responsable de este tratamiento? Al menos parece que puede serlo desde la excepcionalidad de la norma, siempre que cumpla con las garantías en ella previstas. Además, la tecnología nos lleva a otro tipo de interrogantes. La localización de sujetos ciertos, previstos inicialmente por el hecho cierto de haber dado positivo en una prueba de COVID-19 o pertenecer a determinado sector, es un supuesto defendible desde el imperio de la Ley. ¿Ocurre lo mismo a quienes se identifican como sujetos que han entrado en contacto con este porque así lo determine el bluetooth del primero?, ¿puede llevarse a cabo una localización a través de un terminal que tiene deshabilitada tal opción? No es lugar para aportar respuestas a estas preguntas, pero sin duda será interesante leer las mismas.

La gestión de información a través de metadatos también tiene su letra pequeña, al igual que las aplicaciones basadas en Blockchain, por extensión en Smart Contracts. En definitiva, nos encontramos con la problemática que deriva de la presencia en red de información —datos—(65). Soluciones como el <<histórico nulo>> del registro —eliminación total de los datos— en Blockchain, una gestión proactiva adecuada, que marque pautas, comportamientos y actuaciones a llevar a cabo por los responsables, ayudarán a que la tecnología no sirva como pértiga para saltarse la legislación.

Utilizar la tecnología no equivale a prescindir de salvaguardas en materia de protección de datos, más bien todo lo contrario. La propia tecnología nos ofrece herramientas para garantizar el cumplimiento de la normativa en protección de derechos de los usuarios de las apps o de cualquier otro sistema de geolocalización o que utilice la tecnología en aras de combatir la pandemia. Así ha de ser, la anonimización y evitar la reidentificación de las personas, tecnológicamente es posible. Como también lo es establecer niveles de datos y sus garantías adecuadas a través de la seguridad de TI y evaluación de riesgos de reidentificación cuando se correlaciona el dato, en principio anonimizados, con otros datos(66). Esto incluye la eliminación, si no automática, si inmediata e irreversible de todos aquellos datos procesados accidental o indebidamente capaces, por si mismos o en interrelación con otros, de identificar individuos. Esto incluye participar a los proveedores de los datos, así como a las autoridades competentes.

También la eliminación de datos juega un papel importante, esencial más bien, en todo este proceso. Y lo hace desde una perspectiva doble. Por un lado, siendo preciso adoptar medidas para evitar la eliminación accidental de datos, de forma que se tenga que proceder a una segunda obtención. Por otro, más plausible, la eliminación de los datos en principio después de un período de 90 días o, en cualquier caso, una vez se haya declarado la pandemia bajo control; y cualquier medida adoptada para hacer frente a la crisis del coronavirus ha de cesar en cuanto la situación excepcional en la que se enmarca desaparezca(67). Hasta ahora se ha planteado que las continuadas prórrogas del estado de alarma implican la ampliación de la vigencia de las medidas adoptadas en su aplicación. Pero, únicamente desde la perspectiva de la adopción de medidas con ocasión del estado de alarma, en particular por cuanto esas medidas derivan del ejercicio de la potestad reglamentaria de la Administración. El carácter excepcional de las mismas radica en su cobertura por el estado declarado, dependiendo de la vigencia del mismo para extender sus efectos. Desaparecidas las circunstancias que motivan la declaración de uno de los estados del art. 116 CE, pierden todo sentido las medidas acordadas bajo su vigencia, por lo que, con la vuelta a la normalidad, ni tan siquiera sería preciso derogar formalmente las medidas adoptadas, con independencia de la forma de externalización que revistan.

Sin embargo, no es tanta cuestión de ver si se prorroga el estado de alarma o no. La pandemia se controlará —probablemente permanecerá por un tiempo aun reconvertida en epidemia—, pero durará más que las prórrogas de este. Mientras dure la emergencia sanitaria podrán hacer lo propio las medidas que, de carácter higiénico-sanitario, están amparadas por una norma, dictada en periodos de normalidad. Ni tan siquiera es necesario su pronunciamiento durante el estado de alarma, aunque puede haber sido así, el cuál, además, podrá haber finalizado. Luego las medidas que se adopten antes o después de la declaración de un estado, el de alarma en este caso, de naturaleza sanitaria, con independencia de la forma que revistan, si fuera la de reglamento no lo sería de necesidad, por estar amparadas por norma de rango legal dictada fuera de cualquiera de los estados del 116 CE, por no precisarlo, encajan dentro de la normal aplicación de la Ley y el Derecho.

Será cuando se recupere la normalidad real, no la jurídica, restablecida tras el cese del estado de alarma, el momento de restablecer el ejercicio de los derechos, incluyendo el de la protección de datos, si en términos de normalidad fáctica queremos referirnos. Superada la situación sanitaria, no antes, se levantarán las limitaciones, correspondiendo a los poderes públicos garantizar que las mismas quedan sin efectos, perdiendo el sentido y la justificación legal la geolocalización masiva de nuestros móviles, caballo de batalla de los derechos relativos a la protección de datos(68).

Se acentúa la importancia de las garantías en cuanto se refiere a verificar que el levantamiento de las medidas restrictivas es realmente efectivo, ya que, a diferencia de otros derechos, la privacidad de los datos, es uno <<fácilmente>> quebrantable desde el mantenimiento de las medidas que, antes con amparo legal, suponían la captación de información —por extensión su tratamiento— que, en circunstancias normales, no hubiera sido posible obtener. Esta vulnerabilidad además se refrenda dado que se trata de derechos que se pueden violar sin que su titular tenga conocimiento de ello. Salvo contadas ocasiones, el conocimiento de actuaciones irregulares relativas a la protección de datos se produce por las consecuencias de la violación, envío de publicidad perfilada, etc., difícilmente antes.

El haber estado sometidos a vigilancia, de forma masiva e intensiva, genera desconfianza, lógica por otra parte. No es de locos o necios pensar que, habiéndolo estado por ser necesario, no seguimos sometidos, no siéndolo, a una vigilancia constante, por cuanto es posible(69). La herramienta que nació para acabar con la pandemia no puede convertirse en elemento que persiga otros fines distintos a aquellos para los que se creó(70).

Todo esto implica una manifestación del principio de responsabilidad proactiva, que a su vez exige tener en cuenta la protección de datos desde el diseño y por defecto (especialmente importante cuando se trata de desarrollar una aplicación informática para el apoyo en la gestión de la crisis sanitaria), la realización de una evaluación de impacto a la protección de datos (pues se dan sin duda las condiciones previstas en el artículo 35 RGPD) y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 del RGPD, que además debe hacerse público, según el art. 31.2 LOPDP. Además, el carácter proactivo se manifiesta en la previsión de las medidas a adoptar para garantizar que, finalizada la vigencia de las medidas excepcionales, se cumpla con la vuelta a la normalidad en el ejercicio por parte de todos los sujetos intervinientes en el tratamiento de datos personales. Será la Administración, la que verifique el cumplimiento del plan de retorno –proactividad-, comprobando que no se mantienen medidas indebidas que buscarán, a partir de ese momento de ausencia de necesidad, cumplir con otros fines menos loables y sobre todo exorbitantes en lo económico y también en lo moral.

V. CONCLUSIONES

El vertiginoso desarrollo tecnológico se presenta en nuestros días como una herramienta poderosa, capaz de contribuir significativamente en los complejos procesos de toma de decisión por parte de las autoridades sanitarias encaminados a superar la situación de <<alarma>> provocada por la COVID-19, pandemia que ha provocado unos efectos devastadores, dejando tras de si un doloroso rastro de pérdidas humanas y socioeconómicas, y que ha azotado los pilares de la Unión Europea, llegando incluso a poner en duda los propios valores inherentes al concepto de ciudadanía europea.

Pero más allá de estos efectos demoledores visibles, la COVID-19 ha planteado importantes incógnitas o interrogantes que han propiciado la creación de importantes debates en los que, en múltiples ocasiones, ha llegado a estar en juego la propia vigencia y eficacia del Estado social y democrático de Derecho. Un ejemplo de estos encarnizados debates lo encontramos en la confrontación virulenta que algunos sectores académicos, políticos y sociales han planteado entre salud pública y protección de datos personales en términos reduccionistas, esgrimiendo una serie de argumentos tautológicos que abogaban por la defensa fervorosa de la salud pública en detrimento de los derechos fundamentales de la privacidad, los cuales, como hemos apuntado, no solo no pueden suspenderse en forma alguna mediante la declaración del Estado de Alarma, sino que constituyen el fundamento mismo del conjunto de derechos constitucionalmente reconocidos ante los crecientes procesos de digitalización y datificación de la sociedad.

En nuestra opinión, no es cierto que la protección de datos personales y su poderosa regulación presidida por el RGPD se presenten como elementos obstruccionistas, conducentes a dificultar la implementación y realización de tratamientos de datos personales necesarios para la adopción de medidas eficaces frente al COVID-19; nada más lejos de la realidad, lo que se persigue, y así lo hemos puesto de manifiesto en las páginas precedentes, es la correcta aplicación de una avanzada regulación de un derecho fundamental, la protección de datos, que recordemos, contempla entre sus disposiciones la realización de actuaciones de tratamiento de datos personales en escenarios atípicos o sobrevenidos como en el que nos encontramos. Por tanto, desde nuestro punto de vista, impregnado quizá por el devenir histórico y el marcado carácter humanista del estudio salmantino es que, el enfrentamiento entre salud pública y protección de datos no es tal, sino más bien todo lo contrario: ambas cuestiones son elementos indisolubles de una misma ecuación. En un contexto de emergencia como el que nos ha tocado vivir es imposible lograr una garantía cierta de la salud pública sin salvaguardar unos elevados estándares de protección de datos personales, derecho este último que como ya hemos insistido, constituye el instituto básico para la plena eficacia y garantía del conjunto de derechos fundamentales reconocidos constitucionalmente, erigiéndose como piedra angular del Estado social y democrático de Derecho ante la (r)evolución digital.

BIBLIOGRAFÍA

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Informe Jurídico 0017/2020, Madrid, 2020. Disponible en: https://www.aepd.es/es/documento/2020-0017.pdf

ÁLVAREZ GARCÍA, V., <<El coronavirus (COVID-19): Respuestas jurídicas frente a una situación de emergencia sanitaria>>, en El cronista del Estado Social, Democrático y de Derecho, núms. 86-87, 2020.

- <<Coronavirus y Derecho (XXIX): la necesaria reforma del Derecho sancionador para los supuestos de estado de alarma>>, del día 13-5-2020, disponible en: http://laadministracionaldia.inap.es/noticia.asp?id=1198067

COMITÉ EUROPEO DE PROTECCIÓN DE DATOS, EDPB Letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic, Bruselas, 14 de abril de 2020. Disponible en: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

FERNÁNDEZ DE GATTA SÁNCHEZ, D., <<Los problemas de las medidas jurídicas contra el coronavirus: las dudas constitucionales sobre el Estado de Alarma y los excesos normativos>>, en Diario La Ley, núm. 9634, Sección Doctrina, 2020.

FERNANDEZ SEGADO, F., <<La teoría jurídica de los derechos fundamentales en la doctrina constitucional>>, Revista Española de Derecho Constitucional, núm. 39, 1993.

FERRETI & WYMANT et al., <<Quantifyng SARS-CoV-2 transmission suggest epidemic control with digital contact tracing>>. Science, 31 March, 2020.

LOZANO CUTANDA, B., <<Análisis de urgencia de las medidas administrativas del estado de alarma>>. Diario La Ley, núm. 9601, 2020.

MARTÍNEZ MARTÍNEZ, R., <<Los tratamientos de datos personales en la crisis del COVID-19. Un enfoque desde la salud pública>>. Diario La Ley, núm. 9601, 2020.

- <<Protección de datos y geolocalización en la Orden SND/297/2020>>, disponible en: https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/

- <<A la muerte por protección de datos>>, disponible en: http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/

MARZO PORTERA, A., <<La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19>> en Expansión-Hay Derecho, 18 de marzo de 2020, disponible en: https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/.

MEDINA GUERRERO, M., <<Categorías especiales de datos>>. En Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Tirant lo Blanch, Valencia, 2019.

PALACIOS CRUZ, M. et al. <<COVID-19, una emergencia de salud pública mundial>>. Revista Clínica Española, 2020.

PIÑAR MAÑAS, J.L., <<El derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro>>, en Asamblea. Revista Parlamentaria de la Asamblea de Madrid, núm. 13, 2005.

- <<Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones>>. Revista Derecho Digital e Innovación, Wolters Kluwer, núm. 3, 2020.

- <<Privacidad en estado de alarma y normal aplicación de la Ley>>. Hay Derecho, Expansión, 9 de abril de 2020. Disponible en: https://hayderecho.expansion.com/2020/04/09/privacidad-en-estado-de-alarma-y-normal-aplicacion-de-la-ley/

PUENTE ESCOBAR, A., <<Principios y licitud del tratamiento>>. En Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Tirant lo Blanch, Valencia, 2019.

PUYOL MONTERO, J., <<Los principios del derecho a la protección de datos>>. En Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad. Editorial Reus, Madrid, 2016.

TERRÓN SANTOS, D. & DOMÍNGUEZ ÁLVAREZ, J.L., Nueva regulación de la protección de datos y su perspectiva digital. Comares, Granada, 2019.

VOLOKH, E., <<Liberty, safety, and Benjamin Franklin>>, Washington Post, 11 de noviembre de 2014, disponible en: https://www.washingtonpost.com/news/volokh-conspiracy/wp/2014/11/11/liberty-safety-and-benjamin-franklin/

WERY, E. et LÉONARD, T., “Tracing social: il faut sauver le soldat <<démocratie>>!”, Droit & Tecnologies, disponible en: https://www.droit-technologie.org/actualites/tracing-social-il-faut-sauver-le-soldat-democratie/

NOTAS:

(1). 2019-nCoV es un virus con alta homología con otros coronavirus patogénicos, como los originados por zoonosis con murciélagos (SARS-CoV) causantes de aproximadamente 646 muertes en China a principios de la década. Su tasa de mortalidad no es tan elevada (aproximadamente del 2-3%), pero su rápida propagación ha propiciado la activación de protocolos para detener su diseminación. Pese a la adopción de estas medidas y protocolos el COVID-19 ha terminado por convertirse en una pandemia sin precedentes en nuestra historia reciente, propiciando la saturación de los recursos sanitarios y provocando enormes pérdidas humanas, económicas y sociales. Cfr. PALACIOS CRUZ, M. et al. <<COVID-19, una emergencia de salud pública mundial>>. Revista Clínica Española, 2020, pág. 1.

(2). La Organización Mundial de la Salud elevó el pasado 11 de marzo de 2020 la situación de emergencia de salud pública ocasionada por la COVID-19 a pandemia internacional.

(3). Mientras escribimos estas líneas, en España son ya más de 28.500 las personas que han perdido la vida como consecuencia de la pandemia.

(4). Recordamos que el artículo cuarto, apartado b), de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio, habilita al Gobierno para, en el ejercicio de las facultades que le atribuye el artículo 116.2 de la Constitución, declarar el estado de alarma, en todo o parte del territorio nacional, cuando se produzcan crisis sanitarias que supongan alteraciones graves de la normalidad.

Sobre el estado de alarma ha tenido ocasión de pronunciarse el Tribunal Constitucional, en el Auto 7/2012 y la Sentencia 83/2016, en relación al decretado por el Real Decreto 1673/2010, por el que se declaró el estado de alarma para la normalización del transporte aéreo ante la huelga de los controladores y con el Real Decreto 1717/2010 que lo prorrogó. En estos pronunciamientos, el TC no solo reconoce carácter normativo a la decisión gubernamental por la que se declara el estado de alarma, en cuanto dispone la legalidad aplicable durante su vigencia, sino que afirma que, aunque formalizada mediante decreto del Consejo de Ministros, debe entenderse como una norma con rango de ley. Vid. LOZANO CUTANDA, B., <<Análisis de urgencia de las medidas administrativas del estado de alarma>>. Diario La Ley, núm. 9601, 2020, págs. 2-3.

En palabras del Tribunal Constitucional, <<aunque formalizada mediante decreto del Consejo de Ministros, la decisión de declarar el estado de alarma, dado su contenido normativo y efectos jurídicos, debe entenderse que queda configurada en nuestro ordenamiento como una decisión o disposición con rango o valor de ley. Y, en consecuencia, queda revestida de un valor normativo equiparable, por su contenido y efectos, al de las leyes y normas asimilables cuya aplicación puede excepcionar, suspender o modificar durante el estado de alarma.>> (STC 83/2016, FJ 10).

(5). Cfr. Recomendación de la Comisión Europea, de 8 de abril de 2020, relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.

(6). Buen ejemplo de ello lo encontramos en la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por la COVID-19.

(7). Siguiendo esta estela de iniciativas y movimientos en tiempos de COVID-19, y teniendo en consideración el tratamiento de datos personales y, particularmente, los datos relacionados con la salud que muchas de estas iniciativas implican, la Agencia Española de Protección de Datos (AEPD) emitió, el pasado 26 de marzo, un comunicado sobre los criterios que permiten compatibilizar el uso de estas apps y web de autoevaluación de COVID-19 con la regulación existente en materia de protección de datos. Conforme a las indicaciones facilitadas por la AEPD, <<únicamente podrán tratar dichos datos las autoridades públicas competentes para actuar conforme a la declaración del estado de alarma, es decir, el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas, que podrán cederse datos entre ellas, y a los profesionales sanitarios que traten a los pacientes o que intervengan en el control de la epidemia. Las entidades privadas que colaboren con dichas autoridades solo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados>>. Comunicado oficial de la AEPD disponible en [última consulta 13.04.2020]: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad

(8). Investigadores de la Universidad de Oxford han puesto de manifiesto la incapacidad y la ineficacia en la lucha por controlar la expansión de la pandemia a través del rastreo manual de contagios, subrayando las potencialidades de utilizar aplicaciones digitales de rastreo que maximicen la privacidad de la ciudadanía: <<The newly emergent human virus SARS-CoV-2 is resulting in high fatality rates and incapacitated health systems. Preventing further transmission is a priority. We analyzed key parameters of epidemic spread to estimate the contribution of different transmission routes and determine requirements for case isolation and contact-tracing needed to stop the epidemic. We conclude that viral spread is too fast to be contained by manual contact tracing, but could be controlled if this process was faster, more efficient and happened at scale. A contact-tracing App which builds a memory of proximity contacts and immediately notifies contacts of positive cases can achieve epidemic control if used by enough people. By targeting recommendations to only those at risk, epidemics could be contained without need for mass quarantines (‘lock-downs’) that are harmful to society. We discuss the ethical requirements for an intervention of this kind>>. Vid. FERRETI & WYMANT et al., <<Quantifyng SARS-CoV-2 transmission suggest epidemic control with digital contact tracing>>. Science, 31 March, 2020, pág. 1.

(9). Cfr. COMITÉ EUROPEO DE PROTECCIÓN DE DATOS, EDPB Letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic, Bruselas, 14 de abril de 2020. Disponible en [última consulta el 16.04.2020]: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

(10). Son varias las Comunidades Autónomas españolas que ya han desarrollado sus propias herramientas de autodiagnóstico y conocimiento de síntomas. En el caso de la Comunidad de Madrid, dicho aplicación recibe el nombre de CORONAMADRID, y en el caso de la Comunidad de Cataluña halamos de STOP COVID19 CAT. Otras CCAA, en cambio, han optado por habilitar test con las cuestiones clave acerca de los modos de contagio y los mecanismos para protegerse de la enfermedad a través de sus respectivas páginas web, como por ejemplo, Andalucía o Galicia. Por su parte, el Gobierno de España ha implementado un chatbot a través de la archiconocida aplicación de mensajería WhatsApp, herramienta con la que se pretende garantizar la atención al ciudadano y no saturar líneas de atención o emergencia (112), cuando se trata de casos leves o dudas principalmente.

(11). Como ha señalado la Unión Europea en numerosos documentos de posicionamiento acerca de la cuestión que nos ocupa, la eficacia de estas aplicaciones móviles depende de una serie de factores, entre los que se encuentra el porcentaje de la población que utiliza un dispositivo móvil y, dentro de ese grupo, el porcentaje que ha descargado la aplicación, ha otorgado su consentimiento para el tratamiento de sus datos personales y no ha retirado dicho consentimiento.

(12). Un buen ejemplo de ello lo encontramos en la aplicación para móviles, promovida por el Gobierno de Pekín, conocida como <<Código de salud>>, herramienta que fue distribuida en las populares plataformas Alipay y WeChat para proceder a la recopilación de enormes cantidades de datos relativos a la movilidad y la salud de la ciudadanía —lejos de los principios que deben informar todo tratamiento de datos personales en el continente europeo—. Esta herramienta permite asignar un color identificativo a cada persona, en función de los datos introducidos por el propio individuo. Este código (verde, amarillo o rojo) determina la movilidad del individuo, y puede ser requerido para su comprobación por las autoridades en la vía pública, en los accesos a los establecimientos comerciales o en el transporte público. Según los expertos, esta aplicación ha desarrollado un papel crucial a la hora de reducir considerablemente la expansión de la pandemia en el gigante asiático, renunciando eso sí a la privacidad del conjunto de la sociedad, algo extremadamente peligroso en las turbulentas aguas del mundo de la digitalización y datificación. Cfr. MOZUR, P., ZHONG, R., & KROLIK, A., <<In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags>>. New York Times, 1 March 2020. Disponible en: www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html.

(13). En este sentido, destacados académicos, expertos en el campo de la privacidad, señalan que <<la pandemia provocada por el patógeno COVID-19 ha puesto sobre la mesa las virtudes y carencias del modelo europeo de protección de datos personales. Este modelo se caracteriza por ofrecer un marco altamente tuitivo en la garantía del derecho fundamental a la protección de datos, particularmente funcional para la garantía de este derecho, pero también por un planteamiento proactivo que implica un compromiso de responsables y encargados en la garantía del derecho fundamental. Este modelo aporta sin duda enormes ventajas desde el punto de vista de la garantía de nuestras libertades en una sociedad democrática. Pero no está exento de inconvenientes cuando su aplicación no se modula desde un enfoque funcional. Y la crisis de COVID-19 ha puesto de manifiesto la existencia de enfoques puramente reactivos, centrados exclusivamente en un enfoque desde el Reglamento General de Protección de Datos, con una interpretación del entero ordenamiento jurídico a la luz del derecho a la protección de datos>>. Vid. MARTÍNEZ MARTÍNEZ, R., <<Los tratamientos de datos personales en la crisis del COVID-19. Un enfoque desde la salud pública>>. Diario La Ley, núm. 9601, 2020, pág. 1.

(14). En este sentido, el citado precepto establece que <<el decreto de declaración del estado de alarma, o los sucesivos que durante su vigencia se dicten, podrán acordar las medidas siguientes: a) Limitar la circulación o permanencia de personas o vehículos en horas y lugares determinados, o condicionarlas al cumplimiento de ciertos requisitos. b) Practicar requisas temporales de todo tipo de bienes e imponer prestaciones personales obligatorias. c) Intervenir y ocupar transitoriamente industrias, fábricas, talleres, explotaciones o locales de cualquier naturaleza, con excepción de domicilios privados, dando cuenta de ello a los Ministerios interesados. d) Limitar o racionar el uso de servicios o el consumo de artículos de primera necesidad. e) Impartir las órdenes necesarias para asegurar el abastecimiento de los mercados y el funcionamiento de los servicios de los centros de producción afectados por el apartado d) del artículo cuarto>>.

(15). El Tribunal Constitucional ha definido específicamente el derecho a la protección de datos personales como derecho autónomo en su Sentencia 292/2000, de 30 de noviembre, de la siguiente manera: <<el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos>>. Vid. Sentencia 292/2000, de 30 de noviembre, FJ 7.

(16). Es preciso destacar el clarificador Informe 0017/2020 de la Agencia Española de Protección de Datos, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19.

(17). Vid. PIÑAR MAÑAS, J.L., <<Privacidad en estado de alarma y normal aplicación de la Ley>>. Hay Derecho, Expansión, 9 de abril de 2020. Disponible en: https://hayderecho.expansion.com/2020/04/09/privacidad-en-estado-de-alarma-y-normal-aplicacion-de-la-ley/ [última consulta el 14.04.2020].

(18). Vid. TERRÓN SANTOS, D. & DOMÍNGUEZ ÁLVAREZ, J.L., Nueva regulación de la protección de datos y su perspectiva digital. Comares, Granada, 2019, pág. 14.

(19). Vid. PIÑAR MAÑAS, J.L., <<Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones>>. Revista Derecho Digital e Innovación, Wolters Kluwer, núm. 3, 2020.

(20). En respuesta a una consulta del Director General de la Dirección General de Comunicaciones, Redes, Contenido y Tecnología de la Comisión Europea, Roberto Viola, el actual Supervisor Europeo de Protección de Datos, Wojciech Rafał Wiewiórowski, publicó el pasado 25 de marzo de 2020, una carta, otorgando su opinión sobre la posibilidad de utilizar los datos de tráfico de los dispositivos móviles de la población para su monitorización como medida para la expansión contra la pandemia actual. De esta forma, el SEPD señala lo siguiente: <<Firstly, let me underline that data protection rules1 currently in force in Europe are flexible enough to allow for various measures taken in the fight against pandemics. I am aware of the discussions taking place in some Member States with telecommunications providers with the objective of using such data to track the spread of the COVID-19 outbreak. I share and support your call for an urgent establishment of a coordinated European approach to handle the emergency in the most efficient, effective and compliant way possible. There is a clear need to act at the European level now. On the basis of the information provided in your letter and in absence of a more specific data model, please find below some elements for your consideration>>. El texto integro de la carta puede consultarse en https://edps.europa.eu/sites/edp/files/publication/20-03-25_edps_comments_concerning_covid-19_monitoring_of_spread_en.pdf [última consulta el 14.04.2020].

(21). España se sumo el pasado 13 de abril de 2020, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial (IA), al consorcio de Rastreo Paneuropeo de Proximidad para Preservar la Privacidad. El consorcio cuenta con más de 130 miembros de ocho países europeos (España, Alemania, Francia, Italia, Suiza, Bélgica, Dinamarca y Austria), que incluyen científicos, tecnólogos y expertos de reconocidas instituciones internacionales de investigación y de empresas.

(22). Así, el Comité Europeo de Protección de Datos en su declaración sobre el tratamiento de datos personales en el contexto de la crisis del Covid-19, de 16 de marzo, establece la ausencia de impedimentos por parte de la normativa sobre protección de para proceder a la lucha contra la pandemia del coronavirus, al señalar que: <<the GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation. For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”). When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy>>.

(23). Frente a quienes manifiestan su disconformidad con la actuación desarrollada por las Autoridades de control, demonizando el diligente quehacer de las mismas, no podemos más que mostrar nuestro más profundo desacuerdo. Recordemos que este tipo de instituciones, entre las que destaca la Agencia Española de Protección de Datos, encarnan el <<principio de control independiente>>, es decir, constituyen un requisito indispensable para considerar que el derecho a la protección de datos está suficientemente garantizado. De modo que se presume que, faltando esa autoridad, no es posible en ningún caso considerar aceptable el marco jurídico regulador del derecho a la protección de datos de carácter personal. Cfr. PIÑAR MAÑAS, J.L., <<El derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro>>. Asamblea. Revista Parlamentaria de la Asamblea de Madrid, núm. 13, 2005, pág. 24.

(24). Vid. MEDINA GUERRERO, M., <<Categorías especiales de datos>>. En Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Tirant lo Blanch, Valencia, 2019, pág. 251.

(25). El artículo 5 RGPD recoge los principios a los que debe someterse el tratamiento de los datos personales, constituidos, como señala PUYOL MONTERO <<por un conjunto de reglas que determinan cómo se deben recoger, tratar y ceder los datos de carácter personal, a los efectos de garantizar la intimidad y demás derechos fundamentales de los titulares de los datos, los consumidores y usuarios, y en definitiva los ciudadanos>>. Vid. PUYOL MONTERO, J., <<Los principios del derecho a la protección de datos>>. En Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad. Editorial Reus, Madrid, 2016, pág 135.

(26). De conformidad con el considerando 40 RGPD, <<para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento []>>

(27). En virtud del art. 4.1) RGPD, debemos entender por interesado toda persona física identificada o identificable.

(28). En torno a esta cuestión, la AEPD en su Informe Jurídico 0017/2020, establece que <<el apartado 3 del artículo 6 RGPD no establece la necesidad de que la base del tratamiento por razón de interés vital haya de ser establecida por el Derecho de la Unión o el Derecho de los Estados Miembros aplicables al responsable del tratamiento, pues dicho apartado se refiere exclusivamente a los tratamientos establecidos para el cumplimiento de una obligación legal, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, ambas referidas en las letras c) y e) de dicho artículo 6 RGPD, pero no para los tratamientos incluidos en la letra d)>>. Cfr. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Informe Jurídico 0017/2020, Madrid, 2020, pág. 2. Disponible en [última consulta 15.04.2020]: https://www.aepd.es/es/documento/2020-0017.pdf

(29). En este sentido, el Grupo del artículo 29 en su Dictamen 6/2014 consideraba: <<() que debe hacerse una interpretación restrictiva de esta disposición, respetando el espíritu del artículo 8. Aunque el artículo 7, letra d), no limita específicamente el uso de este fundamento jurídico a situaciones en las que el consentimiento no puede utilizarse como fundamento jurídico por los motivos especificados en el artículo 8, apartado 2, letra c), es razonable suponer que en situaciones en las que exista la posibilidad y la necesidad de solicitar un consentimiento válido, el consentimiento deberá, por supuesto, solicitarse siempre que sea posible. Esto también limitaría la aplicación de esta disposición a un análisis caso por caso y no puede normalmente utilizarse para legitimar cualquier recopilación o tratamiento masivos de datos personales. En caso de que esto resultara necesario, las letras c) o e) del artículo 7 serían motivos de legitimación más apropiados para el tratamiento>>.

(30). Vid. PUENTE ESCOBAR, A., <<Principios y licitud del tratamiento>>. En Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Tirant lo Blanch, Valencia, 2019, pág. 138

(31). Vid. Op. cit. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Informe Jurídico 0017/2020, pág. 4.

(32). Atendiendo al principio de responsabilidad proactiva —art. 5.2 RGPD—, y a los principios de protección de datos desde el diseño y por defecto —art. 25 RGPD—, deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización de los datos relacionados con la salud. Además, conforme al principio de minimización de datos —art. 5.1.c) RGPD—, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.

(33). De esta forma, según el criterio del legislador, en virtud del art. 54.2 LGSP, <<la autoridad competente podrá adoptar, mediante resolución motivada, las siguientes medidas: a) La inmovilización y, si procede, el decomiso de productos y sustancias; b) La intervención de medios materiales o personales; c) El cierre preventivo de las instalaciones, establecimientos, servicios e industrias. d) La suspensión del ejercicio de actividades; e) La determinación de condiciones previas en cualquier fase de la fabricación o comercialización de productos y sustancias, así como del funcionamiento de las instalaciones, establecimientos, servicios e industrias a que se refiere esta ley, con la finalidad de corregir las deficiencias detectadas; f) Cualquier otra medida ajustada a la legalidad vigente si existen indicios racionales de riesgo para la salud incluida la suspensión de actuaciones de acuerdo a lo establecido en el Título II de esta ley>>.

(34). El considerando 54 RGPD es claro a este respecto: <<el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y especificas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, <<salud pública>> debe interpretarse en la definición del Reglamento (CE) núm. 1338/2008 del Parlamento Europeo y del Consejo, es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así́ como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines>>.

(35). En definitiva, el desarrollo de las aplicaciones tecnológicas orientadas a combatir la expansión de la pandemia provocada por el COVID-19, debe hacerse de manera responsable, documentando con una evaluación de impacto de protección de datos toda la privacidad implementada por diseño y la privacidad por mecanismos predeterminados, y el código fuente debe estar disponible públicamente para el escrutinio más amplio posible por la comunidad científica. Cf. COMITÉ EUROPEO DE PROTECCIÓN DE DATOS, EDPB Letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic, Bruselas, 14 de abril de 2020. Disponible en [última consulta el 16.04.2020]: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

(36). Op. cit. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Informe Jurídico 0017/2020, pág. 7.

(37). Vid. FERNANDEZ SEGADO, F., <<La teoría jurídica de los derechos fundamentales en la doctrina constitucional>>, Revista Española de Derecho Constitucional, núm. 39, 1993, pp.195 y ss.

(38). Acerca de esta cuestión, vid. FERNÁNDEZ DE GATTA SÁNCHEZ, D., <<Los problemas de las medidas jurídicas contra el coronavirus: las dudas constitucionales sobre el Estado de Alarma y los excesos normativos>>, en Diario La Ley, núm. 9634, Sección Doctrina, 2020, pp. 1 y ss.

(39). ALVAREZ GARCIA ha llamado la atención sobre la importancia de este hecho, además de en sus estudios sobre el derecho de necesidad, en la serie de comentarios que ha publicado en el blog La Administracion al Dia, en particular “Coronavirus y Derecho (XXIX): la necesaria reforma del Derecho sancionador para los supuestos de estado de alarma”, de 13 de mayo de 2020, disponible en: http://laadministracionaldia.inap.es/noticia.asp?id=1198067

(40). Y en este sentido se han manifestado también un importante número de hombres de ciencia y tecnología en el manifiesto denominado “Joint Statement on Contact Tracing” de 19 de abril de 2020, y la Universidad de California en el paper Principles for Technology-Assisted Contact-Tracing de 16 de abril.

(41). En el seno de la Unión la cuestión de las tecnologías móviles como herramienta en la crisis, ha sido debatida por las más diferentes instituciones: El Parlamento, la Comisión El documento que finalmente parece haber fijado una estrategia común es la Recomendación 2020/518 de la Comisión, de 8 de abril de 2020 (DOUE L-11/7 de 14 de abril de 2020). Se insiste allí, además de en los aspectos técnicos que permitan herramientas paneuropeas, en el “derecho común” europeo sobre esta cuestión de datos personales y comunicaciones electrónicas y, en lo que es más importante, en la necesidad de evitar la “estigmatización” de quien aparece identificado como sospechoso de contagio.

(42). Parte de la necesidad de dar un tratamiento paneuropeo a esta herramienta de seguimiento de la pandemia tiene que ver con la definición de estos parámetros de definición del contacto: Distancia mínima del otro terminal, tiempo de exposición, etc., definiciones que tratan de seleccionar los contactos relevantes de los puramente ocasionales. Aquí, las limitaciones del estándar bluetooth no ayudan mucho pues la distancia, en particular, puede ser engañosa, dado que la señal que “marca” el contacto salta las barreras físicas.

Sobre este aspecto, es muy aleccionador, sobre lo que cabe esperar de las futuras aplicaciones (se espera que la del Reino de España esté en marcha en breve), el post de R. ANDERSON en https://www.lightbluetouchpaper.org/ <<Contract tracing in the real world>>, que advierte que el sistema, incluso con los últimos desarrollos se presenta altamente problemático: primero, no es anónimo, los rastreadores de contactos tienen acceso a todo tipo de datos, por tanto también a tu terminal; una aplicación voluntaria está permanentemente abierta al troleo. No tardaremos en encontrarnos con personas que atan su móvil al perro y lo sueltan en el parque, o al pequeño Johnny auto informando para que toda la escuela se vaya a casa; finalmente, la gente suele preferir una llamada del rastreador del servicio de salud que un aviso en tu móvil que diga <<alguien con quien has estado los últimos cuatro días ha reportado síntomas. Debes aislarte>>.

(43). Aquí, en realidad, la cuestión es si ese mecanismo, una vez que la alianza Google-Apple se imponga, se va a llevar, por defecto, al sistema operativo, porque entonces es evidente que se hurta “el consentimiento” y la imposición mediante ley.

(44). Por lo demás, este es un factor crítico: Si un porcentaje importante de la población decide no instalar y sujetarse a las reglas de la aplicación, parece que su utilidad puede ser mínima, especialmente si no se opera sobre una base centralizada.

(45). Vid. MARTÍNEZ MARTINEZ, R., <<Protección de datos y geolocalización en la Orden SND/297/2020>>, disponible en: https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/, así el autor señala que dadas las circunstancias excepcionales basadas en la salud pública, no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría. DE MIGUEL BERLAIN, I.: “¿Estaba nuestro ordenamiento jurídico preparado para afrontar una crisis de salud pública”, Revista del Consejo General de la Abogacía Española, abril, 2020, págs. 21 y ss., va un poco más allá recordando que una de las herramientas fundamentales para afrontar una situación de estas características es la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, una norma con cuatro artículos que, por destacar un punto particularmente llamativo, dota a la Administración de competencias tan abrumadoras como las de “adoptar medidas de reconocimiento, tratamiento, hospitalización o control cuando se aprecien indicios racionales que permitan suponer la existencia de peligro para la salud de la población debido a la situación sanitaria concreta de una persona o grupo de personas o por las condiciones sanitarias en que se desarrolle una actividad”. También hace referencia a la normativa sobre investigación biomédica, afirmando que tampoco facilita demasiado la adopción de medidas necesarias para afrontar la urgencia del momento. Como dispone el art. 2 del Convenio de Oviedo, recogiendo en parte contenidos de la Declaración de Helsinki, “El interés y el bienestar del ser humano deberán prevalecer sobre el interés exclusivo de la sociedad o de la ciencia”. Lo que lleva a afirmar que, obviamente, incluso en momentos excepcionales resulta necesario sostener la prevalencia del bienestar individual sobre los intereses de la sociedad en su conjunto.

(46). Sobre la función preventiva del Derecho, vid. ÁLVAREZ GARCÍA, V., <<El coronavirus (COVID-19): Respuestas jurídicas frente a una situación de emergencia sanitaria>>, en El cronista del Estado Social, Democrático y de Derecho, núms. 86-87, 2020, p. 7. En este caso, tenemos que tener en cuenta que la normativa vigente, corresponde romper una lanza en favor del legislador, previsor en este caso, ya contempla la especialidad en la aplicación del articulado de las normas, en base a la concurrencia de circunstancias excepcionales relacionadas con la salud pública o el interés general.

(47). Como su preámbulo reconoce la hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública y exige una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano. La administración electrónica agudiza la dependencia de las tecnologías de la información y extiende la posible superficie de ataque, incrementando el riesgo de utilización del ciberespacio para la realización de actividades ilícitas que impactan en la seguridad pública y en la propia privacidad de los ciudadanos.

(48). Véase como muestra el supuesto de la App española “Radar COVID”, la cual ha demorado su aparición hasta bien entrado el mes de agosto, y sin la posibilidad de desplegar todo su potencial debido al retraso de las labores de interconexión entre la app y los diferentes sistemas sanitarios de las distintas autonomías.

(49). Sin perjuicio de que ésta se relacione con el Gobierno a través del Ministerio de Justicia (art. 44.1 LOPDP). La ímproba labor de control llevada a cabo por la Agencia Española de Protección de Datos ha de estar presente, por lo que mejor será consultar previamente con ella a esperar que nos sancione, lo que lleva aparejado el cese inmediato de la actividad y la reparación del daño causado. Ello sin olvidar el acceso a la vía judicial en su caso, como ha advertido el Comité Europeo de Protección de Datos precisamente en relación con el posible uso de datos de geolocalización a partir del uso de los móviles, vid. <<Statement on the processing of personal data in the context of the COVID-19 outbreak>>, de 19/03/2020, donde aboga por la intervención de las autoridades nacionales en este mismo sentido https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf. Sin olvidar el Comunicado de la AEPD de 16 de marzo de 2020, en relación con webs y apps que sirven para autoevaluar y aconsejar en relación con el coronavirus. En el mismo, se reconoce su uso legítimo en tanto que se respeten los principios del derecho a la protección de datos, lo que no ocurre con aquellas páginas web y apps no aportan la detallada información exigible para identificar a los responsables, ni incluyen las finalidades para las que podrían tratarse los datos. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-de-la-aepd-en-relacion-con-webs-y-apps-que-ofrecen

(50). Cfr. MARZO PORTERA, A., <<La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19>> en Expansión-Hay Derecho, 18 de marzo de 2020. Puede consultarse en https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/. El punto central de la crítica gira en torno al hecho de que se exija que deba ser personal sanitario en exclusiva el que pueda llevar a cabo tratamientos de datos de salud, tales como la tomar la temperatura de los posibles afectados, sin dar pie a la posibilidad de que otras personas (por ejemplo, personal de seguridad) pueda llevar a cabo tales controles en una situación tan excepcional como la del coronavirus. No creo, sin embargo, que sea la única interpretación posible del documento de la Agencia.

(51). Vid. PIÑAR MAÑAS, J.L., <<La protección de datos durante la crisis del coronavirus>>, Newsletter del Consejo General de la Abogacía Española, disponible en [última consulta el 21 de mayo de 2020]: https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/.

(52). Vid. Op. cit. PIÑAR MAÑAS, J.L., <<La protección>>. También, en el mismo sentido, a mayor abundamiento, el informe del Gabinete Jurídico de la AEPD núm. ref. 0017/2020 ya citado, mantiene idéntica postura e interpreta la normativa desde esa misma perspectiva.

(53). Cfr. Art. 22.1, párrafo segundo de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (LPRL), En todo caso, los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador (epígrafe cuarto del mismo artículo).

(54). Única y exclusivamente se podrían tratar con el fin de controlar enfermedades transmisibles, conforme con el art. 3 de Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública). Se contempla que la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible. No podemos olvidar los arts. 5 y 84 de la Ley 33/2011, de 4 de octubre, General de Salud Pública, que en relación directa con la Ley orgánica 3/1986, establecen la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades.

(55). La gestión de estos repositorios será público o privada y podrán estar centralizados u operar de forma distribuida, estando la diferencia entre ambos sistemas en que el caso de la distribución se aplican las herramientas directamente a los datos, en lugar de trasladar éstos a un lugar central para analizarlos junto con otros activos. Así se facilita la seguridad de los datos, garantizando el control del acceso a los mismos y la finalidad con que se hace. Por ejemplo, el texto legal francés <<LOI n.º 2016-1321 du 7 octobre 2016 pour une République numérique>>, arts. 17 y ss., que permite al sector público acceder a determinados datos (del sector privado) de interés general. En el mismo sentido incide el Informe de la Comisión Europea sobre política de competencia en la era digital (“Competition policy for the digital era”, European Union, 2019, Jacques Crémer, elaborado por Yves-Alexandre de Montjoye y Heike Schweitzer): https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf, en particular, Vid. epígrafe 5 “Data”, págs. 73 y ss. Para añadir seguridad jurídica, en el caso de la gestión privada de estos repositorios, la Comisión Europea emitió, en mayo de 2019, un conjunto de orientaciones prácticas para las empresas sobre cómo procesar los conjuntos de datos, Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea COM(2019) 250 final.

(56). Cfr. Act 1197/2019, por la que se modifica la Act on the Electronic Processing of Client Data in Healthcare and Social Welfare.

(57). Vid. MARTÍNEZ MARTINEZ, R., <<A la muerte por protección de datos>>, disponible en: http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/

(58). Vid. op. cit. PIÑAR MAÑAS, J.L., <<La protección de datos>>, donde recoge la referencia a la frase de Benjamin Franklin, en su literalidad: <<Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety>>. Vid. VOLOKH, E., <<Liberty, safety, and Benjamin Franklin>>, Washington Post, 11 de noviembre de 2014, disponible en: https://www.washingtonpost.com/news/volokh-conspiracy/wp/2014/11/11/liberty-safety-and-benjamin-franklin/

(59). El concepto salud pública debe interpretarse conforme la definición contenida en el art. 3.c) del Reglamento (CE) 1338/2008 del Parlamento Europeo y del Consejo de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo. Esta definición la contempla desde una perspectiva abierta comprendiendo todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad.

(60). Tanto los apartados b) y c) del epígrafe 5 en el caso del art. 13 y el epígrafe 4 del art. 14, facultan a no tener que ni tan siquiera informar, ni facilitar copia de la información, pero limitando las posibilidades para hacerlo a que resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de investigación científica, hasta el punto de imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. Luego complicado será que en este supuesto se pueda hacer valer tal posibilidad. Es más, aun cuando así fuera, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información.

(61). Commission Recommendation of 8.4.2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data.

(62). Vid. op. cit. TERRÓN SANTOS, D. & DOMÍNGUEZ ÁLVAREZ, J. L., <<Nueva regulación de>>, p. 138, donde se subraya que no es posible afirmar que exista una anonimabilidad absoluta, lo que produce que, pese a costosos esfuerzos, nuestra intimidad pueda ser violada, consecuencia de prácticas basadas en los datos masivos.

(63). Fundamentalmente la tokenización es una herramienta utilizada para evitar que lleguen a duplicar la información de un titular a nivel digital u online, al sustituir sus datos por un token. Por hacer una similitud comprensible sería algo parecido al chip que encontramos en la tarjeta de crédito/débito físico, sobre todo si no apareciera ningún otro dato en la misma. En definitiva, es un método de encriptación como el cifrado, incluido el de extremo a extremo, caracterizado por quedar protegido bajo un sistema de cifrado algorítmico que emite un código numérico único formado por dígitos similares (el token) que reemplaza a la clave. Esta es la esencia del cifrado, que se basa en una clave, que, toda vez aplicada, descifra los datos. En cambio los token no son matemáticamente reversibles, por lo que es más fiable, al proporcionar ante un ataque, datos pero carentes de significado, salvo que se conozca el algoritmo, por lo que en aplicación del Esquema Nacional de Evaluación y Certificación de Seguridad de las TIC se debe, cuando no es obligación, utilizar algoritmos certificados por el Centro Criptológico Nacional a la hora de utilizar diferentes productos o características de los sistemas, como en el caso de utilización de dispositivos físicos.

(64). El trabajo que aúna esfuerzos investigadores de Universidades como la de Oxford, Leuven, University College London, etc., toma como base los sistemas de localización a través de apps, que instaladas, generan una semilla secreta —secret seed— (SK) y deriva en ID efímeras de Bluetooth (EphID), la cuales se graban y trasmiten. Hasta ahí la autorización basada en consentimiento (es una app voluntaria) garantiza los límites legales. En el caso de pacientes diagnosticados, solo con su consentimiento y con autorización de una autoridad sanitaria, se podrán cargar datos específicos de su teléfono al servidor. A partir de estos datos, sin que la identidad del paciente pueda ser conocida —anonimización—, se lleva a cabo el rastreo para determinar con carácter local si el usuario de la aplicación estaba cerca físicamente de un infectado y potencialmente en riesgo de infección. Si lo fueran, la aplicación puede informar al usuario para que proceda a tomar medidas. Desde el resto de perspectivas de los derechos de privacidad de los datos personales, se garantizará la minimización de datos, ya que las entidades dentro del sistema reciben la cantidad indispensable de información y siempre adaptada a sus requerimientos, de forma que ninguna entidad pueda observar o mantener un registro global de carácter social de una población, ni tan siquiera anónimo. El tratamiento debe implicar que nadie pueda abusar de los datos en busca de otros propósitos, ni pueda coaccionar a entidades o particulares para que los datos estén disponibles. Pero no solo se protege a los usuarios infectados —evitando la estigmatización— si no que se ha de hacer lo propio con los usuarios no infectados, evitando la captura de información de los mismos. Finalmente, el sistema, después del final de la epidemia, se desmontará, empezando por los pacientes infectados que dejarán de cargar sus datos al servidor central, a continuación, los usuarios dejarán de utilizar la aplicación, para finalizar con la eliminación de los datos en el servidor después de 14 días.

(65). Los metadatos en sí mismos no resultan peligrosos, pero quizá esa información añadida en la Red si cae en manos no adecuadas puede resultar dañina, dependiendo de la utilidad que se le dé a la misma.

(66). Vid. INCIBE, <<Guía: Educando en Seguridad TI>>, donde determina que alcanzar un adecuado nivel de seguridad es una tarea que pasa por desarrollar acciones en los distintos ámbitos de la materia, como son el técnico, el jurídico o normativo y el organizativo. La seguridad de TI sirve para proteger la integridad de las tecnologías de la información (como puedan ser los sistemas informáticos, las redes y, por supuesto, los datos) tanto de los ataques, como de los daños o del propio acceso no autorizado a estos. https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/guia_educando_seguridad_tic.pdf

(67). Commission Recommendation of 8.4.2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data, que en relación con el uso de los datos de movilidad, determina su borrado tras un periodo de 90 días, en su literalidad deletion of the data in principle after a period of 90 days, or in any event no later than when the pandemic is declared under control.

(68). Comunicación de la Comisión “Orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de covid-19 en lo referente a la protección de datos” (2020/C 124 I/01).

(69). Preocupación que va más allá de nuestras fronteras, incluso aventurando que la “prueba” de esta herramienta –el control intrusivo y discriminatorio de la geolocalización o rastreo social- servirá, al menos así podría ser, para otros fines (terrorismo, impuestos, delincuencia, inmigración y, por qué no, mañana, la vigilancia de los opositores y todos aquellos que no lo hagan). Vid. WERY, E. ET, LÉONARD, T., “Tracing social : il faut sauver le soldat << démocratie >> !”, Droit & Tecnologies, publié le 23/04/2020, https://www.droit-technologie.org/actualites/tracing-social-il-faut-sauver-le-soldat-democratie/

(70). Así lo ha advertido el European Data Protection Supervisor (EDPS) en su informe “EU Digital Solidarity: a call for a pan-European approach against the pandemic”, de 6 de abril de 2020, en el que determina que las medidas que se adopten en materia de protección de datos, han de ser temporales, sus finalidades determinadas, han de suponer un acceso limitado a los datos que sean imprescindibles y, teniendo presente que volveremos a la normalidad, por lo que dichas medias no pueden tener aplicabilidad de forma permanente. https://edps.europa.eu/sites/edp/files/publication/2020-04-06_eu_digital_solidarity_covid19_en.pdf

Comentarios