Protección de Datos y Covid-19: Webinar en la Cámara de Comercio de Madrid; aplicaciones, datos de salud y teletrabajo
Hemos tenido el honor de participar en el Webinar organizado por la Cámara de Comercio de Madrid dentro de su ciclo de formación online en tiempos de Covid-19 y que está abarcando aspectos de interés para las empresas y profesionales.
Con respecto a la privacidad, son muchas las dudas que se han suscitado en las últimas semanas y que tienen que ver con cuestiones tan diversas como las aplicaciones de control de la pandemia o las de cercanía, con la geolocalización o con el propio teletrabajo, la impartición de clases a través de Internet o con la recogida de datos de salud por parte del empresario en caso de necesidad.
El contexto normativo actual es el siguiente:
Estado de alarma:
- Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19
- Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio
- Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.
Protección de datos:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales
- RECOMENDACIÓN (UE) 2020/518 DE LA COMISIÓN de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados
Otras normas del ámbito de la salud y de la prevención de riesgos laborales
- Ley 31/1995 de 8 de noviembre de prevención de riesgos laborales
- Ley Orgánica 3/1986 de 14 de abril de Medidas Especiales en Materia de Salud Pública
- Ley 33/2011 de 4 de octubre de Salud Pública
- La Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública establece:
..con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.
Ante las posibles dudas sobre la «legalidad» del tratamiento de determinados datos o la adopción de determinadas medidas para prevención, contención e incluso investigación del comportamiento del virus, medidas que sólo son posibles si se dispone de una información a gran escala de quién está infectado, con quién tiene contacto y de esta forma entender cómo se está propagando el virus y muy especialmente una vez que las medidas de confinamiento se relajen y volvamos todos a una progresiva normalidad.
La protección de datos es la protección de las personas. El derecho a la privacidad es un derecho fundamental que no queda confinado. El estado de alarma no supone ni puede suponer en modo alguno una restricción de este derecho fundamental pero, como la propia Agencia Española de Protección de Datos ha señalado, en consonancia con el Comité Europeo de Protección de Datos, la protección de datos tampoco puede suponer un obstáculo para la adopción de medidas encaminadas a mitigar la pandemia.
Es el equilibro del interés público, el propio interés vital de las personas y el derecho de las personas a que el tratamiento de los datos se realice con las debidas garantías el objetivo a conseguir. Las bases de legitimación establecidas en el RGPD están claramente definidas y las situaciones excepcionales como la que vivimos también encuentran su respuesta en esta normativa permitiendo el tratamiento de datos con base al interés público, entre otros.
Cualquier iniciativa pública o privada en este sentido tendrá que respetar escrupulosamente lo dispuesto en la normativa de protección de datos vigente. No en vano, el RGPD contempla garantías suficientes para garantizar la privacidad. La cuestión es que dichas garantías se observen por parte de quienes realizarán del tratamiento.
Cuestiones básicas en este sentido serán:
- Cumplir con los principios del RGPD (licitud, lealtad, transparencia, exactitud, minimización, etc)
- Ser transparente en la información que se ofrece al ciudadano
- Limitar las finalidades: lo que es perfectamente lícito para unos fines puede no serlo tanto o requerir un consentimiento aparte para otros (p.e. fines comerciales)
- Limitación del tiempo de conservación de los datos
- Regulación de los accesos y de las relaciones con terceros que acceden a datos.
- Analizar los riesgos y si es preciso (que en el caso de recogida de datos de salud o de tratamientos a gran escala) realizar una Evaluación de impacto en protección de datos y aplicar las medidas que hayan resultado de las mismas
- Establecer medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la información.
Con respecto a las aplicaciones, por mucho que su instalación sea voluntaria, el tratamiento de los datos no está basado tanto en el consentimiento sino en el interés público y en el interés vital de las personas.
Datos personales y teletrabajo:
Sin ánimo de ser exhaustivos, la improvisación de medidas de teletrabajo puede poner en riesgo la seguridad de la información y por ello es fundamental establecer políticas de trabajo en remoto. Regular la forma de hacer las cosas, establecer procedimientos y políticas, se hace, ahora más que nunca, imprescindible. Un buen acercamiento a esta cuestión se puede obtener de las Guías 800 que el Centro Criptológico Nacional tiene publicadas y que están orientadas al cumplimiento del Esquema Nacional de Seguridad.
Normas claras para trabajar de forma segura tienen que llegar a todos los trabajadores que están confinados en sus casas. La formación online tampoco es descartable ahora que en muchos casos la actividad se ha reducido. No hay que bajar la guardia pues son muchos los posibles fraudes y posibles fugas de datos los que se están produciendo aprovechando esta situación.
Todas estas cuestiones han sido tratadas hoy de forma sucinta y hemos respondido a las dudas de los asistentes.
Pero a pesar de las dificultades de la situación, seguramente que de toda esta situación saldremos juntos y fortalecidos. El confinamiento, desde un punto de vista positivo, nos ha enseñado que otra forma de trabajar es posible.
Gracias a la Cámara de Comercio e Industria de Madrid por acogernos y permitirnos compartir nuestras experiencias.
Abril 2020
#Losdetallesimportan
Paz Martin