Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00Marta Timón Herrero
(1) La emergencia sanitaria en la que nos hallamos inmersos a raíz del COVID 19 y de la aprobación -y sucesivas prórrogas- del estado de alarma en nuestro país ha planteado, además de retos acuciantes en los ámbitos social y económico, numerosos debates en el plano de lo jurídico. La salvaguarda de los derechos fundamentales y el trazado de su contorno es, en este momento, una de las cuestiones esenciales que están siendo objeto de discusión; derechos que pueden verse afectados directamente por los sucesivos decretos-leyes del Estado de alarma -como el derecho a la libertad de circulación expresamente modulado- pero también indirectamente como consecuencia del propio contexto social, informativo y relacional creado -como la libertad de expresión o la libertad de manifestación- o de la adopción de determinadas medidas que se consideran necesarias para coadyuvar a frenar la propagación de la epidemia -como el derecho a la protección de datos de carácter personal o, en definitiva, el derecho a nuestra privacidad (2)-.
El derecho a la privacidad, íntimamente relacionado con otros derechos fundamentales como el derecho a la intimidad o el derecho al honor pero con un contenido autónomo, se encuentra ahora tensionado por la defensa de la salud pública y de intereses vitales de las personas. La voluntad de evitar mayores contagios (para lo que es preciso conocer cómo se mueve la enfermedad en el territorio) subyace en medidas adoptadas como la geolocalización (para determinar movimientos poblacionales), las aplicaciones de autoevaluación de salud o las técnicas de mapeo de contactos. Resulta oportuno reflexionar sobre cuál es la incidencia que este contexto excepcional está teniendo (o puede tener) en nuestra capacidad de disponer (de decidir) sobre el flujo y exposición de nuestros datos (3) -en particular, sobre un determinado tipo de datos caracterizados, tanto por la normativa española como por la europea (4), como datos especialmente sensibles y por ello de protección reforzada: los relativos a la salud-. ¿Este contexto excepcional suscita realmente nuevos interrogantes jurídicos sobre el contenido esencial del derecho y su eficacia? ¿O la normativa vigente y la jurisprudencia que la interpreta son plenamente válidas para solucionar eventuales tensiones? ¿Se trata quizás de un impacto más social y psicológico (filosófico, incluso) que jurídico?
Las cuestiones sobre la eventual afectación de la privacidad se proyectan, básicamente, sobre las medidas adoptadas por el Gobierno en la Orden SND/297/2020, de 27 marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.
Se trata, en mi opinión, de acciones de signo diferente: a) la geolocalización de dispositivos a través de datos ofrecidos por las operadoras de telecomunicaciones de forma anónima y agregada en orden, en principio, a conocer la movilidad geográfica de los españoles (5) y b) la creación de aplicaciones (apps) que facilitan información sobre el Covid19 y permiten la autoevaluación del estado de salud individual (ligado, en ocasiones a la geolocalización individual) (6). A lo anterior se añaden otro tipo de medidas más neutras, como la creación de páginas web de información (modo pasivo de acceso que no requiere la descarga de la aplicación en el dispositivo individual del usuario) o la creación de chatbots para proporcionar información oficial a las consultas de los ciudadanos.
Junto a estas medidas, se trabaja también en otras que suponen una geolocalización no tanto en términos geográficos como en términos de relación social y de salud; esto es, la implementación de aplicaciones que permiten un mapeo de contactos (a partir de la identificación y el posible contagio de círculos o entornos cercanos) a fin de determinar qué zonas son las más afectadas como base de una futura toma de decisiones. Es el caso del proyecto europeo llamado PEPP (Rastreo Paneuropeo de Proximidad para Preservar la Privacidad) cuyo objetivo es rastrear los contactos de los teléfonos mediante la tecnología bluetooth para detectar quién ha estado en contacto con personas contagiadas (7) y en la que MIT, Google y Apple han establecido una alianza para su creación y desarrollo.
Aunque pueda parecer que este marco de emergencia y este variado conjunto de medidas y acciones es susceptible de alterar las reglas del juego, considero sin embargo, que las herramientas y principios contenidos en la LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPD-GDD), aprobada tras la modificación del marco normativo europeo con el Reglamento. (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), aportan un marco suficientemente claro y preciso para afrontar la implantación de estas medidas y preservar el contenido del derecho fundamental a la protección de datos de carácter personal. El verdadero reto se encuentra, entonces, en realizar una aplicación escrupulosa de tales principios y exigencias, controlando y sancionando los eventuales excesos.
La valoración de las medidas enunciadas requiere de un recordatorio previo: la aplicabilidad de la normativa de protección de datos de carácter personal -y, por tanto, el despliegue de todas las garantías y mecanismos de protección que en ella se establecen- depende de que nos encontremos, efectivamente, ante datos personales.
Este recordatorio previo no es baladí porque, para que pueda hablarse de afectación a la privacidad, debemos encontrarnos necesariamente ante información que identifique o haga identificable a una persona física (art.4 RGPD) (8). Esta susceptibilidad de identificación se define de una forma amplia en el Reglamento europeo (9) y ha sido interpretada con esa misma amplitud tanto por el Tribunal de Justicia de la Unión Europea (TJUE) -que parte del objetivo del RGPD, ya presente en la Directiva, de otorgar la protección más efectiva posible a este derecho- como por el Tribunal Supremo en reciente jurisprudencia. La clave o el resorte, el presupuesto, que activa la protección que dispensa este derecho fundamental es, pues, reitero, esa susceptibilidad de identificación de una persona física que, además, no ha de resultar excesivamente onerosa o difícil pues, de lo contrario -si deben realizarse operaciones complejas y de difícil concreción para adicionar los diversos datos que estos permitan dicha identificación individualizada-, la persona ya no se considerará identificable.
El presupuesto de la identificabilidad debe concurrir no sólo respecto de la recopilación y tratamiento originario de los datos, sino también respecto del ejercicio por parte del interesado de las otras facetas que conforman ese poder de disposición sobre los datos personales (esa privacidad), como son el derecho a la supresión de datos o su cancelación. Así lo ha recordado el TJUE en múltiples ocasiones al afirmar que el llamado derecho al olvido se puede ejercer para eliminar aquella información inexacta o irrelevante con el paso del tiempo que hace referencia a una persona física en una búsqueda por nombre (10). No puede obviarse, en este sentido, la posibilidad de futuras demandas en ejercicio de este derecho al olvido en relación con información sobre personas concretas que han sido contagiadas, han fallecido o han superado el virus Covid 19 (11).
¿Cuándo una información o una determinada tipología de datos es susceptible de identificar a una persona física (en aquellos casos en que los datos no son individualizados)? La STS 12-7-19 (RCA 4980/2019) (12) entra de lleno en esta cuestión al entender que los datos contenidos en las denominadas Curvas de Carga Horaria (CCH) -datos de consumo horario, asociados a cada punto de suministro de energía eléctrica- pueden ser considerados como una transmisión de datos de carácter personal en la medida en que la puesta en relación de dichos datos con otros a los que, de forma directa o indirecta, se puede tener acceso no sólo permiten la identificación del consumidor sino la posibilidad de crear y conocer su perfil personal (de hábitos) (13). Se trata de datos que, si bien en una primera aproximación no individualizan a una persona permitirían su identificación ulterior mediante la suma otros datos.
Aunque la citada STS se pronuncia sobre la aplicación de la derogada LOPD, subraya que tales previsiones se recogen (incluso de forma más intensa) en la nueva normativa y pone el acento, en lo que aquí me interesa destacar, en dos cuestiones: a) primera, que la información que constituye el dato puede ser de cualquier naturaleza (14) y b) segunda, que la susceptibilidad de identificación de una persona física debe poder realizarse sin esfuerzos desproporcionados (15) por medios lícitos y razonables.
Desde la perspectiva apuntada, señala la Sección Tercera que la adición a los datos contenidos en las CCH de aquellos otros contenidos en el Código Universal del Punto de Suministro (CUPS) permite identificar, sin demasiado esfuerzo, al consumidor/usuario final y, por ello, a su tratamiento le resultan de aplicación las garantías, prevenciones y excepciones previstas en la normativa de protección de datos. La posibilidad de que el operador del sistema pueda solicitar y obtener de la compañía distribuidora los datos adicionales que permitan determinar la ubicación concreta del punto de consumo se considera un medio razonable (no excesivamente oneroso) para poder identificar a una persona.
Concurre, por tanto, el presupuesto de identificabilidad, subrayando el Tribunal Supremo que la nueva normativa en materia de protección de datos ha desarrollado el concepto de dato personal para dar cabida a los datos seudonimizados; tal como se aclara en el considerando 26 del RGPD (UE): «Los datos personales seudonimizados (16), que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física». Se trata, por tanto, de una susceptibilidad de identificación razonable o no desproporcionada.
En definitiva, de lo anterior se desprende que, ante un eventual acceso y tratamiento de datos personales, se deberá determinar en primer lugar, si se trata de datos individualizados (referidos e identificativos de una persona física), si se trata de datos seudonimizados o si se trata de datos anónimos.
La utilización de datos anónimos no afecta a la privacidad. Un ejemplo de ello, en este contexto de crisis, es la aplicación para la obtención de datos de salud con vistas a la investigación médica desarrollada por el MIT (17) que pretende realizar un análisis con algoritmos mediante la comparación de toses de personas afectadas por el Covid19 y de personas no afectadas (a partir de grabaciones de audio de la tos de las personas participantes) cuyos resultados se compartirán en abierto para la comunidad médica (18). En la página inicial -que exige el consentimiento previo para participar en el estudio (19)- se informa de que no se trata de datos personales (puesto que son anónimos y no identifican directamente a la persona) y se precisa cuál es la concreta finalidad a la que sirve esa recogida de datos (el estudio de investigación), dónde se almacenarán dichos datos (Todos los datos del estudio se almacenarán en un servidor físico en el MIT, donde se cifrarán en todo momento, solo estarán disponibles para los investigadores participantes del MIT) y del proceso de eliminación al que serán sometidos una vez se complete el estudio. A pesar de trabajar con datos anónimos, cifrados, que no permiten una identificación directa de los participantes y que, por tanto, no afectan a la privacidad, se ha optado por una política de transparencia e información, basando la participación en el consentimiento de los participantes.
En cambio, cuando se trate de datos individualizados o de datos seudonimizados que permiten identificar a una persona física mediante la suma de nuevos datos de forma razonable y no excesivamente gravosa, la privacidad puede verse afectada y, por ello, el acceso y tratamiento de tales datos estará sometido a las cautelas y garantías de la normativa de protección de datos; en particular, un acceso y un tratamiento lícito, leal y transparente, con una finalidad limitada, respetando los parámetros de la proporcionalidad -adecuación, pertinencia y limitación-, el principio de exactitud de los datos -o principio de calidad- y su conservación limitada (art.5 RGPD).
La licitud del tratamiento vendrá determinada bien por la existencia del consentimiento de la persona afectada, bien por la concurrencia de alguno de los otros supuestos previstos en el art.6 RGPD(20). Así, en la STS antes aludida, la Sección Tercera considera lícito el tratamiento efectuado por la empresa suministradora de energía, sin necesidad de recabar el consentimiento, pues, partiendo de la existencia de un contrato de suministro, concurre uno de los supuestos previstos en la derogada LOPD: el tratamiento responde «a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros» previsto en el art.11.2.c) LOPD.(21)
Tanto el RGPD como la LOPD-GDD incluyen una mención específica y una protección reforzada para aquellos datos de carácter personal cuya recopilación y tratamiento afectan de manera más intensa a otros derechos fundamentales relacionados, como la libertad de ideología, el derecho a la intimidad o el derecho a la no discriminación. Se trata de datos especialmente sensibles; datos que el art.9.1 RGPD(22) aúna bajo la expresión categorías especiales de datos -como por ejemplo, por citar algunos, los datos relativos a la ideología (23), a la identidad u orientación sexual o, en lo que aquí interesa, los referentes al estado de salud. Esta especial ligazón entre el derecho a la privacidad y el derecho a la intimidad del art.18.1 CE (en ocasiones de difícil escisión) es muy perceptible cuando se trata del acceso a datos relativos a la salud física. En su STC 70/2009, de 23 marzo, el Tribunal Constitucional hizo hincapié en que, dentro de ese ámbito propio y reservado (íntimo) frente al conocimiento de terceros, se comprende, sin duda, la información relativa a la salud física y psíquica de una persona, que es, además, especialmente sensible y, por tanto, digna de especial protección. Y recuerda la necesidad de que las limitaciones e intromisiones sobre ese derecho sean autorizadas por la ley, de forma precisa y proporcionada.
La protección reforzada que se otorga a los datos sensibles se estructura ab initio a partir de la prohibición de su tratamiento ( art.9.1 RGPD); prohibición que, sin embargo, admite excepciones (o no resulta de aplicación) en los casos expresamente previstos en el segundo apartado del precepto (que deberán ser objeto de una interpretación restrictiva). En cualquier caso, como explícitamente recuerda se recuerda en la citada STC 76/2019, el RGPD deja un margen a los Estados Miembros en lo que atañe a la especificación legal de los presupuestos habilitantes así como al establecimiento de medidas adecuadas para garantizar los derechos de los interesados (24).
Los supuestos que permiten levantar la prohibición general de tratamiento de estos datos especialmente sensibles coinciden, en algún caso, con los que el art.6 RGPD, con carácter general, define como tratamiento lícito de datos personales -así, la existencia de un consentimiento previo del afectado o la necesidad de protección de intereses vitales del propio interesado o de terceros- (25). Se añaden, sin embargo, otros supuestos de carácter específico relativos, por ejemplo, a los casos en que el interesado ha hecho manifiestamente públicos esos datos sensibles (art.9.2.e RGPD); o, por razones de interés público esencial, con especial atención al principio de proporcionalidad y las garantías adecuadas (art.9.2.g RGPD); o, respecto de los datos de salud, cuando la finalidad sea la medicina preventiva o laboral, el diagnóstico médico o la prestación sanitaria por parte de profesionales y con sujeción al deber de secreto (art.9.2.h RGPD, en relación con el apartado tercero del precepto); o «el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y0 de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional» (art.9.2.i RGPD). En estos tres últimos casos, el art.9.2 LOPD-GDD, en consonancia con el art.9.2.g RGPD, exige su concreción en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (26). La Disp. Adic. 17ª de la LODP-DGD, bajo la rúbrica tratamientos de salud, contiene un listado de las leyes que amparan su tratamiento con arreglo a lo dispuesto en los apartados g), h), i) y j) del art.9 RGPD y contiene una especial referencia al tratamiento de datos seudonimizados para la investigación biomédica.
Mención concreta merece la previsión de que el consentimiento del interesado pueda levantar la prohibición de tratamiento de datos especialmente sensibles, pues, en ocasiones, no se considera suficiente. El RGPD dispone que el Derecho de la Unión o de los Estados Miembros puede establecer una excepción a la validez de ese consentimiento y, en la misma línea, el art. 9.1 LOPD-GDD establece que «a fin de evitar situaciones discriminatorias el sólo consentimiento del afectado no bastara» para levantar la prohibición de datos cuya finalidad principal sea la de identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico -sin perjuicio de que estos datos puedan ser tratados en los casos que relaciona el art.9.2.g RGPD, evitándose la eventual creación de listas negras o de listas que señalen a determinados colectivos históricamente marginados o más vulnerables (27).
En este listado concerniente a la insuficiencia del consentimiento no se incluyen los datos relativos al estado de salud cuando, en mi opinión, tales datos también tienen un potencial factor de discriminación similar al que pretende evitarse con las cautelas establecidas respecto del consentimiento en el resto de casos. Potencial factor de discriminación que no resulta tan extraordinario en el caso de enfermedades infecciosas o contagiosas -como evidenció el VIH- y que, también ahora, podría revelarse en relación con enfermos o inmunizados por el Covid 19. Desde esta perspectiva, la eventual implantación del llamado pasaporte serológico plantea serias dudas, no sólo desde el punto de vista de su eficacia (28) colectivos, sectores, etc.; a fin de determinar si realmente es necesaria e idónea para el objetivo que se pretende conseguir -frenar la propagación de la pandemia y/o permitir la llamada desescalada- y si se cumple el principio de proporcionalidad (en su vertiente estricta).
La geolocalización de dispositivos móviles permite conocer su ubicación concreta. Ello no necesariamente afecta a la privacidad o a la capacidad de disposición de nuestros datos personales, debiendo distinguirse, por un lado, la geolocalización anonimizada de aquella geolocalización que permite la identificación del usuario de ese dispositivo de forma directa o indirecta.
De hecho, la Ley 9/2014, de 31 de mayo, General de Telecomunicaciones, parte precisamente de esta distinción y prescribe de forma clara en su art. 48.2 (Derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con las guías de abonados) (29), que, en relación con los datos de localización distintos de los datos de tráfico, los usuarios finales de los servicios de comunicaciones electrónicas tienen el derecho «c) A que sólo se proceda al tratamiento de sus datos de localización distintos a los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento informado y únicamente en la medida y por el tiempo necesarios para la prestación, en su caso, de servicios de valor añadido, con conocimiento inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el servicio de valor añadido que vaya a ser prestado. Los usuarios finales dispondrán del derecho de retirar su consentimiento en cualquier momento y con efecto inmediato para el tratamiento de los datos de localización distintos de tráfico (…)».
(i) En efecto, una geolocalización anonimizada, que parte de la aportación de datos por parte de las operadores de comunicaciones electrónicas de forma agregada y anónima, tal como se prevé en la disposición segunda de la Orden de la Secretaría de Tecnología citada al inicio de este comentario, no plantea problemas de privacidad ni activa las garantías de la normativa de protección de datos si, realmente, se cumple con ese principio de anonimato. No se identifica aquí a ningún usuario, ni ello permite elaborar perfiles personales. No se cumple por tanto el presupuesto de susceptibilidad de identificación a que aludía supra. En este tipo de geolocalización los datos son objeto de tratamiento de agregación precisamente para romper la cadena de identificación y hacer imposible la asociación de los datos a una persona física.
(ii) Supuestos distintos son los de la geolocalización de dispositivos móviles no anonimizada o que permiten identificar al usuario de forma indirecta. El acceso a dichos datos se puede fundamentar, entonces, bien en el consentimiento del propio usuario -que adopta una posición activa al descargase una determinada aplicación y permitir el acceso a su ubicación-, bien en la concurrencia de uno de los supuestos de tratamiento lícito previstos en la normativa de protección de datos, como pueda ser la garantía de la salud pública y el freno de la pandemia.
a) Son múltiples los ejemplos que ilustran ambos tipos de fundamentos. Así, en el primer caso -posición activa y consentimiento del afectado- se pueden listar numerosas aplicaciones que implican el establecimiento de una geolocalización o ubicación del usuario -que, en ocasiones requiere de su activación concreta (como google maps) y en otras se activa por defecto (de ahí la importancia de la información clara y precisa al usuario)- porque, precisamente, el servicio de valor añadido que se fundamenta en la proximidad. La aplicación foursquare utiliza la posición para mostrar las opciones de ocio (restaurantes, bares) más próximas; aplicaciones como grindr o tinder -en las que además se proporciona otro tipo de información que permite la elaboración de un perfil personal- permite concretar citas con personas próximas a tu ubicación; y, otras, como swarm permiten conocer dónde se encuentran los conocidos y allegados. A este tipo de aplicaciones (que ponen el acento en el ocio o las relaciones sociales) se añaden otras que han sido desarrolladas para incrementar la seguridad (o su sensación) de la persona que las utiliza, pues permiten que los miembros de un grupo (previamente elegido) conozcan su ubicación en tiempo real del usuario (por ejemplo, Safe365 o la posibilidad de activar la ubicación en tiempo real de whatsapp y Facebook Messenger).
Lo anterior evidencia que el contorno de la privacidad, como también el de los derechos fundamentales a la intimidad y al honor, depende de los usos sociales, del contexto social y tecnológico de la sociedad que determina directamente cómo se percibe la esfera de lo privado o íntimo. Algunas de las aplicaciones a las que se ha hecho referencia pueden proporcionar a terceros datos sobre la orientación sexual, los gustos personales o el perfil económico de una persona; sin embargo, los usuarios permiten el acceso a tales datos y su tratamiento porque perciben que el valor añadido que les proporciona la aplicación prima sobre la exposición de datos sensibles.
De ahí la importancia de la excepción prevista en el art.9.2.e) RGPD a la prohibición de tratamiento en los casos que dichos datos personales se hayan hecho manifiestamente públicos por el interesado (de forma similar a las expectativas razonables de intimidad a las que ha hecho referencia el Tribunal Constitucional). La clave, para trazar el contorno de la privacidad, es entonces la de mantener (30)«la potestad de controlar la información que circule por el escenario público y en las nuevas redes sociales y que le pueda concernir [a uno] como sujeto social que es» y, en el caso de las aplicaciones citadas, los usuarios han hecho uso y libre disposición de esos datos. Para ejercer ese poder de disposición de forma consciente es preciso, entonces, que la información sobre los datos personales que se tratan, cómo se tratan, dónde se almacenan y durante cuánto tiempo, le sea facilitada al usuario de forma directa, precisa y clara o inteligible (art. 12 RGPD).
b) Un ejemplo claro de aquellos otros supuestos en que la geolocalización del dispositivo, aun permitiendo identificar o individualizar a una persona física, no requiere del consentimiento (activándose incluso de forma automática) porque se persigue el cumplimiento de una misión de servicio público, con base legal, es la geolocalización para prestación de servicios de emergencia. En nuestro ordenamiento, el encaminamiento de llamadas a servicios de emergencia (número 112) constituye un servicio de prestación obligatoria por parte de los prestadores de servicios de comunicaciones electrónicas en atención al interés general que persigue (de preservación de la salud física, pero también de la seguridad e integridad física de las personas). Se configura, así, como un servicio público (art. 28.3 LGTel) que resulta gratuito para los usuarios y se establece con independencia del tipo de terminal que se utilice y de la tipología de relación contractual. En estos casos, llamadas de emergencia al 112 o a las entidades designadas para prestar tales servicios, los usuarios finales no pueden ejercer su derecho a que los datos de localización se anonimicen o a que su tratamiento se base en un consentimiento previo (art. 48.2 LGTel).
Esa misión de servicio público justifica la utilización de esos datos sin consentimiento (y, de hecho, obliga a ello). En su sentencia de 5-9-19 (asunto C-417/18) (31), el TJUE es tajante al señalar que, si bien los Estados Miembros gozan de un margen de apreciación para establecer los criterios aplicables a la precisión y la fiabilidad de la información relativa a la ubicación de la persona que efectúa la llamada al 112, dicho margen está limitado por la necesidad de garantizar la utilidad de la información transmitida para permitir una localización efectiva de la persona que efectúa la llamada y, por tanto, la intervención de los servicios de emergencia (32).
Se trata, pues, de una medida que cuenta con una previsión legal expresa, se configura como necesaria, resulta idónea y supera el juicio estricto de proporcionalidad en cuanto esa geolocalización persigue un interés público definido, es limitada y se contrae el momento en que se realiza el encaminamiento de la llamada a los servicios de emergencia (33).
Como ya se ha puesto de manifiesto, la Orden de la Secretaria de Estado de Digitalización e Inteligencia Artificial prevé el desarrollo de aplicaciones tecnológicas que permiten, por un lado, realizar un autodiagnóstico sobre el posible contagio del virus Covid 19 -lo que implica aportar datos relativos a la salud física- y, por otro lado, acceder a la información pública actualizada y a las recomendaciones de las autoridades sanitarias. Estas aplicaciones (como Asistencia Covid19 o Coronamadrid) permiten, también, la geolocalización del usuario sólo en aquellos casos en que este otorgue su consentimiento explícito a fin de poder prestar el servicio de emergencia sin realizar, sin embargo, una función de seguimiento.
Según se describe en la propia aplicación, la finalidad de la recopilación de datos es estrictamente de interés público; en resumen, la de controlar la propagación de la infección y salvaguardar la vida de las personas. Resulta evidente, pues, que mediante estas aplicaciones se accede a datos personales, algunos de carácter sensible, que se aportan directamente por los usuarios bien a través del dispositivo (si se ha realizado la descarga en el móvil), bien a través de la web; identificándose directamente la persona que la utiliza. Parece, sin embargo, que dicho acceso cumple con los requisitos que exige la normativa de protección de datos pues, no sólo se parte del consentimiento expreso de la persona afectada, sino que esa petición de acceso a los datos personales está justificada por una finalidad de interés público, como es la de protección de la salud pública, que está expresamente prevista como uno de los supuestos de tratamiento lícito de los datos, no sólo en la propia legislación de protección de datos, sino en la legislación de sanidad -art. 3 Ley 3/1986, de 14 de abril, o la Ley 33/2011, de 4 de octubre, General de Salud Pública.
La coexistencia de estos dos supuestos de licitud es importante desde una doble perspectiva: a) por un lado, parece dotar de proporcionalidad a la medida (al menos a priori) pues no parece concebible que esa aportación de datos personales de salud, cruzados con una geolocalización individualizada, pudiese imponerse o descargarse automáticamente en los dispositivos como ha ocurrido en otros países -pues ello supondría una injerencia desproporcionada del derecho fundamental a la privacidad, al existir otros medios menos gravosos que permiten trazar un mapa de las zonas más afectadas-; b) desde otra perspectiva, sin embargo, lo anterior puede incidir directamente en la eficacia de la medida pues el número de usuarios será determinante de la relevancia de los resultados.
La clave, entonces, radicará en cómo se realiza ese tratamiento (adecuación estricta a la finalidad y principio de minimización de datos), la finalidad del mismo y la información que debe facilitarse a los ciudadanos con arreglo al art. 12 RGPD en relación con los arts. 13 y 14 RGPD.
Cuestión diferente es la del uso secundario que pudiese hacerse de esos datos que, además, pertenecen a la categoría de los llamados datos sensibles por su especial y simultánea afectación del derecho a la intimidad que gozan de una protección reforzada (34). Debe recordarse, una vez más, que toda limitación o modulación de derechos fundamentales debe responder al principio de proporcionalidad en su triple vertiente y que debe estar prevista en una ley que, de forma clara y precisa, estableciendo su finalidad (35).
En definitiva, de lo hasta ahora expuesto puede concluirse, a mi juicio, que tanto las medidas de geolocalización como las aplicaciones de salud desarrolladas en el estado de alarma cumplen con los estándares de garantía del derecho a la protección de datos de carácter personal.
Así, en unos casos, basándose el tratamiento en datos anónimos, no se atisba fricción alguna con el derecho a la privacidad. En los otros casos, siendo cierto que las aplicaciones implican el acceso a datos sensibles, también lo es que esa inicial prohibición de tratamiento prevista en el art. 9 RGPD puede ser excepcionada pues cuenta con habilitación legal expresa que define la finalidad del tratamiento esos datos -defensa de la salud pública- a la que se suma la el consentimiento de la persona afectada. Parece cumplirse, así -por lo que concierne a las aplicaciones de autoevaluación- con el principio de proporcionalidad, pues su implementación puede calificarse como una medida idónea y necesaria para alcanzar el objetivo (legítimo) perseguido y, en un análisis de proporcionalidad en sentido estricto, los beneficios que pretenden obtenerse superan los costes previstos -fundamentalmente porque el elemento de la voluntariedad impide considerar que se ha producido una injerencia en el ámbito privado, pues es el propio ciudadano el que ha realizado esa ponderación entre la cesión de datos y la obtención de un beneficio mayor, como coadyuvar a frenar la propagación de la enfermedad-.
Mayores dudas plantearía, en concreto respecto al cumplimiento del principio de proporcionalidad en sentido estricto, el establecimiento (obligatorio o automático) de aplicaciones de mapeo que permiten la trazabilidad de los contactos y los eventuales contagios en un grupo, como ha ocurrido en algún país. En caso de desarrollarse estas aplicaciones supeditadas a la voluntariedad la cuestión que se plantearía, como antes apunté, es la de su eficacia -pues el resultado o beneficio pretendido dependería del número de personas que consintieran en descargarse la aplicación-.
En definitiva, los interrogantes que el estado de alarma y la crisis sanitaria suscitan en relación con la privacidad no se proyectan tanto sobre la licitud del acceso y tratamiento de los datos de salud, tal como han sido configurados hasta el momento, sino sobre la percepción social de este tipo de medidas en un contexto social (una realidad) que sí ha sufrido una mutación importante (aunque sea transitoria).
Los retos, ahora, se centran en la forma en que dicho tratamiento se realice, en el cómo. Es necesario que se respeten, de forma escrupulosa, los principios generales de calidad (exactitud) y minimización de los datos; garantizando que la duración del tratamiento y la conservación de datos sean las estrictamente necesarias para el cumplimiento de la finalidad definida. Es preciso también, y quizás este aspecto sería mejorable, dar pleno cumplimiento a las exigencias de información transparente y clara que impone el art. 12 RGPD y, en la medida de lo posible, realizar análisis del impacto normativo de tales medidas. Pero el cuidado y control del correcto tratamiento es algo que ha de analizarse en otra fase.
NOTAS
(1)
Las consideraciones y opiniones vertidas en este comentario son de carácter personales y no representan a la institución en la que se prestan servicios.
(2)
Son numerosos los artículos doctrinales que se cuestionan el uso de tratos personales por los poderes públicos en este contexto. Por ejemplo, I.Guardans plantea tres interrogantes clave: de qué datos hablamos (¿son datos individualizados?, ¿se han anonimizado?); cómo se obtienen (¿el consentimiento es necesario o no?) y quien custodia y trata los datos, en http://agendapublica.elpais.com/los-limites-de-luchar-contra-el-covid-19-con-nuestros-datos/
Por otra parte, en el repositorio de disposiciones y artículos relacionados elaborado por Alego-Ejale, se pueden encontrar comentarios y artículos sobre esta cuestión escritos por J.L. Piñar Mañas, A. Vasco Gómez o Ricard Martínez Martínez, entre otros. Vid. https://www.alego-ejale.com/repositorio-de-disposiciones-y-articulos-relacionados-con-la-crisis-del-covid-19/#5_PROTECCION_DE_DATOS
(3)
El contenido de este derecho fundamental reconocido en el art. 18.4 CE fue definido por el Tribunal Constitucional en la STC 292/2000, de 30 de noviembre (FJ 2) como «ese derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, FJ 5, 94/1998, FJ 4)». Se trata de un derecho intrínsecamente ligado a los derechos a la intimidad y al honor -a la dignidad de la persona-, pero que tiene un contenido propio, más amplio, y una finalidad diferente: un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. Si el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno -es decir, el poder de resguardar su vida privada de una publicidad no querida-, el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos y la consecuente prohibición de que los poderes públicos los conviertan en fuentes de esa información sin las debidas garantías. Definición reiterada en las recientes SSTC 58/2018, de 4 de junio (sobre el derecho al olvido digital) y 76/2019, de 22 de mayo.
(4)
Sobre la relación entre el RGPD y la LOPD-GDD vid. Rallo Lombarte A.(2019), «El nuevo derecho de protección de datos», Revista Española de Derecho Constitucional 116, 45-54. Vid. asimismo, la citada STC 76/2019, de 22 de mayo.
(5)
Vid. el apartado segundo de la orden que, con referencia al estudio emprendido por el Instituto Nacional de Estadística en materia de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, prevé el análisis de la movilidad de las personas en los días previos y durante el confinamiento.
(6)
Así, el apartado primero de la orden encomienda a la mencionada Secretaría el desarrollo de soluciones tecnológicas y aplicaciones móviles para la recopilación de datos con el fin de mejorar la eficiencia operativa de los servicios sanitarios, así como la mejor atención y accesibilidad por parte de los ciudadanos. Aplicación que ha de permitir al usuario la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19, ofrecer información al usuario sobre el COVID-19 y proporcionar al usuario consejos prácticos y recomendaciones de acciones a seguir según la evaluación. La aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.
(7)
https://elpais.com/tecnologia/2020-04-14/espana-se-suma-a-un-proyecto-europeo-de-rastreo-de-moviles-para-despues-de-la-cuarentena.html. Se dice en el artículo que «Este tipo de rastreo no es una solución mágica ni está claro que funcione. Singapur la probó y ahora están en cuarentena. Pero en el país asiático solo el 20% de la población se descargó la aplicación. Para lograr que estas iniciativas lleguen al mayor número de teléfonos posibles y sea más efectiva, Apple y Google anunciaron este fin de semana una colaboración inédita. La idea es hacer un protocolo global y facilitar que esas apps que permitan rastrear los contactos se incorporen a los móviles cuando se actualicen sus sistemas operativos, previa aceptación del usuario».
(8)
Que nos hallemos en presencia de información realmente constitutiva de datos personales -en tanto susceptibles de identificar a una persona física- no es el único presupuesto determinante de la aplicabilidad de la normativa de protección de datos. A ello debe añadirse: a) el factor territorial -vid. por ejemplo, la STS, Sección Tercera, de 5-2-2019 (RCA 629/2018) sobre el concepto de establecimiento con traslación de la doctrina del TJUE al respecto- y b) la no concurrencia de la exclusión consistente en que se trate de un tratamiento de ámbito o uso doméstico, que se entiende inocuo y por tanto no activa las alertas y garantías previstas por el legislador -vid. los AATS 6-6-19 (RCA 1074/2019) (RCA 2134/2019) y de 22-11-19 (RCA 4959/2019) que admiten los recursos de casación a fin de « (i) Qué debe considerarse como un tratamiento de datos de ámbito exclusivamente personal o doméstico a efectos de su exclusión del ámbito de protección que dispensa la LOPD con arreglo a lo dispuesto en el artículo 2 LOPD -actual artículo 2.2.a) LO 3/2018 que remite al artículo 2.2 del Reglamento General (UE)-».
(9)
Se considera como identificable «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».
(10)
Vid. ATS 24-1-20 (RCA 6531/2019), que admite el recurso a fin de delimitar si el concepto de búsqueda por nombre de una persona física se refiere única y exclusivamente a las búsquedas realizadas por nombre y apellidos de una persona o incluye también aquellas búsquedas realizadas únicamente por apellidos, pues la sentencia dictada por la Audiencia Nacional recurrida sostiene que el derecho al olvido se aplica únicamente en los casos en que la búsqueda se realiza con fundamento en el nombre (nombre de pila más los dos apellidos) y no cuando lo utilizado en la búsqueda son simplemente los dos apellidos.
(11)
En este punto, cabe recordar que el TJUE (Gran Sala), en su sentencia de 24-9-19 (asunto c-136/17) remarcó (aun en referencia a la derogada Directiva del año 1995) que las prohibiciones y restricciones de tratamiento de las categorías especiales de datos (datos especialmente sensibles, como puedan ser los de la salud) se aplican también a los motores de búsqueda y que, en principio, el gestor de un motor de búsqueda está obligado a estimar las solicitudes de retirada de enlaces que dirigen a webs donde figuran datos de este tipo (con las excepciones previstas en la Directiva).
(12)
Establece como doctrina jurisprudencial «que los datos de consumo energético individualizados para cada punto de suministro, contenidos en las Curvas de Carga Horaria (CCH), junto al código universal que identifica cada punto de suministro ("CUPS"), que las distribuidoras remiten al operador del sistema, pueden ser considerados datos de carácter personal, en cuanto referidos a una persona identificable, dado que el operador del sistema, utilizando medios lícitos y razonables a su alcance, puede llegar a conocer la identidad del titular del contrato de suministro o del usuario de que se trata. Dada su consideración de datos de carácter personal quedan sometidos a la normativa referida a la protección de datos personales».
(13)
Así, se pone de manifiesto en la STS que los datos de consumo de energía eléctrica individualizados y con desglose horario permiten, a quien tenga acceso a esa información y la vincule con la identidad del titular del contrato de suministro, conocer los hábitos de conducta privados de dicho consumidor proporcionando pautas de comportamiento diario de una persona.
(14)
¿Es la voz un dato personal? Quizás en la medida en que sea significativa y característica de una persona, sí. Y también en la medida en que la adición de otros datos -como pueda ser un número de teléfono- hagan identificable a esa persona física. Sobre esta cuestión deberá pronunciarse la Sección Tercera de la Sala de lo Contencioso-administrativo del Tribunal Supremo, al haberse admitido por la Sección de Admisión diversos recursos sobre la naturaleza de la voz como dato personal. Así, en los ya citados AATS 6 de junio de 2019 (RCA 1074/2019), de 14 de junio (RCA 2134/2019) , entre otros, se plantea como una de las cuestiones de interés casacional objetivo concurrentes, en relación con una aplicación de móvil ideada para gastar bromas, «(ii) En qué circunstancias (o con qué alcance) la voz de una persona puede considerarse como un dato de carácter personal, con arreglo al artículo 3 LOPD en relación con el artículo 5 RLOPD -actualmente artículo 4.1 del Reglamento General (UE)-».
(15)
En esta línea el artículo el artículo 5.1. o) del Reglamento de desarrollo de la LOPD de 1999 disponía que «una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados». Vid., entre otras, STJUE 19-10-16, asunto C-582/14 respecto de lo que deba entenderse por persona identificable. Señala el TJUE que «El hecho de que esa información adicional necesaria para identificar al usuario de un sitio de Internet no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso a Internet de ese usuario, no puede excluir que las direcciones IP dinámicas registradas por el proveedor de servicios de medios en línea constituyan, para éste, datos personales en el sentido del artículo 2, letra a), de la Directiva 95/46/CE».
(16)
Se entiende por seudonimización, según el art. 4.5 RGPD, aquel «tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
(17)
(18)
La primera cuestión sería la de preguntarse si la «tos» puede considerarse un dato personal (de la misma manera en que ese interrogante se ha planteado respecto de la voz, como antes se apuntó) en función de la posibilidad de identificación de una persona.
(19)
«Si da usted su consentimiento...» o «Su participación en esta investigación es voluntaria y puede retirarse en cualquier momento simplemente cerrando el navegador o yendo a una página diferente en cualquier momento».
(20)
Entre ellas, la existencia de un interés legítimo en el responsable del tratamiento de los datos. Sobre la ponderación de derechos en estos casos contemplados en el art. 6.2 RGPD, con atención específica a la mercadotecnia, vid. los AATS la serie de autos por los que se admiten los RRCA 3753, 4037, 4039, 4377, 4697, 4756, 5082 y 5265/2019 a fin de interpretar el citado precepto del Reglamento europeo, en relación con sus considerandos 47 in fine y 70.
(21)
Puntualiza, además, que la obtención de esos datos adicionales únicamente se produce en relación con investigaciones concretas, en el marco del ejercicio de potestades de inspección, que persiguen un fin de interés general que contribuye al mejor funcionamiento del sistema y facilita las funciones de supervisión y control de la red eléctrica.
(22)
Art. 9.2 RGPD:«1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física».
(23)
Vid, respecto de los datos relativos a la opción política, la STC 76/2019 de 22 de mayo, que estima el recurso de inconstitucionalidad interpuesto por el Defensor del Pueblo y anula la modificación de la LOREG incorporada por la LOPD-GDD en relación con la utilización de medios tecnológicos y recopilación de datos personales en actividades electorales; en particular, en lo concerniente a la recopilación por parte de partidos políticos de opiniones políticas, por falta de garantías adecuadas (como la certeza y previsibilidad de la norma).
(24)
Dispone el art. 9.4 RGPD:«4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud».
(25)
Vid. el considerando 46 del RGPD que estima lícito el tratamiento de este tipo de datos «cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano».
(26)
Vid. R. Martínez Martínez, Los tratamientos de datos personales en la crisis del COVID-19. Un enfoque desde la salud pública donde se exponen ejemplos de procesamiento de datos con utilidad en el ámbito de la salud pública y los supuestos en los que el tratamiento sin consentimiento viene amparado por la ley en nuestro ordenamiento jurídico.
(27)
En la Exposición de Motivos de la LOPD-GDD se afirma que «la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2.b) del Reglamento (UE) 2016/679 o por los propios sindicatos en los términos del artículo 9.2.d) de la misma norma europea».
(28)
La OMS ha dictaminado ya que no existe certeza de que una persona que haya superado una primera fase de contagio del COVID quede realmente inmunizada. A lo que se añade que la eventual eficacia de este pasaporte requeriría de la realización masiva de test que permitiesen justificar su uso generalizado.
(29)
La regulación de la necesaria protección de datos personales por parte de los operadores de telecomunicaciones se contiene, con carácter general, en el art. 41 LGTel.
(30)
Carrillo, Marc. «Los ámbitos del derecho a la intimidad en la sociedad de la comunicación», El derecho a la privacidad en un nuevo entorno tecnológico, Asociación de Letrados del Tribunal Constitucional, Colección Cuadernos y Debates, núm. 248, Tribunal Constitucional y Centro de Estudios políticos y Constitucionales, Madrid, 2016.
(31)
Sentencia que resuelve una cuestión prejudicial planteada por Lituania en relación con el número único europeo de llamada de emergencia «112» y la eventual responsabilidad patrimonial por incumplimiento del Derecho europeo. El caso que subyace al planteamiento de dicha cuestión prejudicial es la imposibilidad de los servicios de emergencia de salvar la vida de una mujer (que había sido secuestrada y que llamó en diversas ocasiones al 112) al no hallarse operativo un sistema de geolocalización por tratarse de un móvil con tarjeta SIM.
(32)
Ello supone en resumen, que debe garantizarse también la transmisión de esta información cuando las llamadas se efectúan desde un móvil con tarjeta SIM, puesto que el número único de emergencia 112 impone una obligación de resultado que consiste, precisamente, en garantizar que los datos sobre la ubicación de cada llamada a dicho número se transmitan efectivamente a dichos servicios de emergencia sin excluir ningún tipo de dispositivos.
(33)
Otro ejemplo de geolocalización «individualizada» basada en un interés público y sin necesidad de consentimiento previo del afectado, aunque sí de su previa información, lo constituye el amparado en el art. 90 LOPD-GDD, relativo a la utilización de sistemas de geolocalización en el ámbito laboral para el ejercicio de las funciones de control de los trabajadores o los empleados públicos, previa información a los trabajadores o empleados públicos de forma expresa, clara e inequívoca acerca de la existencia y características de estos dispositivos.
(34)
En la STEHD 29-4-14 (STn L.H. v. Latvia) el Tribunal recuerda la importancia de la protección de datos médicos en directa relación con el derecho a que se respete su vida privada, lo que requiere que la ley que prevea dicho tratamiento debe indicar con suficiente claridad cuál es el ámbito de discrecionalidad que concede a las autoridades públicas competentes y la forma de su ejercicio. En este caso, no se preveía ningún límite para que la Agencia estatal de Latvia recolectase datos médicos, lo que se hizo por un periodo de 7 años (periodo indiscriminado y sin explicar o informar por qué esos datos podían ser potencialmente decisivos o relevantes para el propósito que perseguía
En el sentido contrario, la STJUE 3-10-2019 (asunto C-70/2018), en respuesta a la cuestión prejudicial planteada por el Consejo de Estado de los Países Bajos, considera que no se opone al derecho europeo (en particular al Acuerdo de Asociación entre la Comunidad Europea y Turquía) condicionar la concesión de autorización de residencia temporal a favor de nacionales terceros, incluidos los turcos, a la aportación de datos biométricos (huellas dactilares e imagen facial) que son registrados, y conservados en un fichero central. Se trata de una medida idónea y proporcionada a la consecución del fin legítimo de lucha contra usurpación documental y el fraude documental. Siendo necesario verificar la identidad del solicitante, la captación de los datos antes referidos –que se muestran idóneos- no reviste un carácter íntimo y tampoco supone un inconveniente físico o psíquico particular para la persona de que se trate. Se trata de un medio eficaz para la consecución del objetivo y el periodo de conservación de cinco años, tras el cual se destruyen dichos datos, no parece excesivo el requerimiento).
(35)
No se puede perder de vista, no obstante, que este tipo de medidas generan dificultades como evidencia el derecho de nuestro entorno. Así, en sentencia de 20-2-20, el Tribunal de distrito de la Haya ha considerado que el sistema de evaluación de riesgo de defraudación de los ciudadanos no cumplía las exigencias de proporcionalidad (sorteando el principio de minimización de datos) y transparencia requeridas, vulnerándose el artículo 8 CEDH. Si bien el tribunal considera la finalidad legítima, los medios utilizados le parecen desproporcionados, recriminando además que no se haya público el tipo de algoritmo utilizado.