13 jul
2020

Protección de datos de carácter personal y crisis sanitaria (Covid 19)


Marta Timón Herrero

  • I. Protección de datos de carácter personal y salud en tiempos de coronavirus ¿nuevos interrogantes en un marco excepcional?

    (1) La emergencia sanitaria en la que nos hallamos inmersos a raíz del COVID 19 y de la aprobación -y sucesivas prórrogas- del estado de alarma en nuestro país ha planteado, además de retos acuciantes en los ámbitos social y económico, numerosos debates en el plano de lo jurídico. La salvaguarda de los derechos fundamentales y el trazado de su contorno es, en este momento, una de las cuestiones esenciales que están siendo objeto de discusión; derechos que pueden verse afectados directamente por los sucesivos decretos-leyes del Estado de alarma -como el derecho a la libertad de circulación expresamente modulado- pero también indirectamente como consecuencia del propio contexto social, informativo y relacional creado -como la libertad de expresión o la libertad de manifestación- o de la adopción de determinadas medidas que se consideran necesarias para coadyuvar a frenar la propagación de la epidemia -como el derecho a la protección de datos de carácter personal o, en definitiva, el derecho a nuestra privacidad (2)-.

    El derecho a la privacidad, íntimamente relacionado con otros derechos fundamentales como el derecho a la intimidad o el derecho al honor pero con un contenido autónomo, se encuentra ahora tensionado por la defensa de la salud pública y de intereses vitales de las personas. La voluntad de evitar mayores contagios (para lo que es preciso conocer cómo se mueve la enfermedad en el territorio) subyace en medidas adoptadas como la geolocalización (para determinar movimientos poblacionales), las aplicaciones de autoevaluación de salud o las técnicas de mapeo de contactos. Resulta oportuno reflexionar sobre cuál es la incidencia que este contexto excepcional está teniendo (o puede tener) en nuestra capacidad de disponer (de decidir) sobre el flujo y exposición de nuestros datos (3) -en particular, sobre un determinado tipo de datos caracterizados, tanto por la normativa española como por la europea (4), como datos especialmente sensibles y por ello de protección reforzada: los relativos a la salud-. ¿Este contexto excepcional suscita realmente nuevos interrogantes jurídicos sobre el contenido esencial del derecho y su eficacia? ¿O la normativa vigente y la jurisprudencia que la interpreta son plenamente válidas para solucionar eventuales tensiones? ¿Se trata quizás de un impacto más social y psicológico (filosófico, incluso) que jurídico?

    Las cuestiones sobre la eventual afectación de la privacidad se proyectan, básicamente, sobre las medidas adoptadas por el Gobierno en la Orden SND/297/2020, de 27 marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

    Se trata, en mi opinión, de acciones de signo diferente: a) la geolocalización de dispositivos a través de datos ofrecidos por las operadoras de telecomunicaciones de forma anónima y agregada en orden, en principio, a conocer la movilidad geográfica de los españoles (5) y b) la creación de aplicaciones (apps) que facilitan información sobre el Covid19 y permiten la autoevaluación del estado de salud individual (ligado, en ocasiones a la geolocalización individual) (6). A lo anterior se añaden otro tipo de medidas más neutras, como la creación de páginas web de información (modo pasivo de acceso que no requiere la descarga de la aplicación en el dispositivo individual del usuario) o la creación de chatbots para proporcionar información oficial a las consultas de los ciudadanos.

    Junto a estas medidas, se trabaja también en otras que suponen una geolocalización no tanto en términos geográficos como en términos de relación social y de salud; esto es, la implementación de aplicaciones que permiten un mapeo de contactos (a partir de la identificación y el posible contagio de círculos o entornos cercanos) a fin de determinar qué zonas son las más afectadas como base de una futura toma de decisiones. Es el caso del proyecto europeo llamado PEPP (Rastreo Paneuropeo de Proximidad para Preservar la Privacidad) cuyo objetivo es rastrear los contactos de los teléfonos mediante la tecnología bluetooth para detectar quién ha estado en contacto con personas contagiadas (7) y en la que MIT, Google y Apple han establecido una alianza para su creación y desarrollo.

    Aunque pueda parecer que este marco de emergencia y este variado conjunto de medidas y acciones es susceptible de alterar las reglas del juego, considero sin embargo, que las herramientas y principios contenidos en la LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPD-GDD), aprobada tras la modificación del marco normativo europeo con el Reglamento. (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), aportan un marco suficientemente claro y preciso para afrontar la implantación de estas medidas y preservar el contenido del derecho fundamental a la protección de datos de carácter personal. El verdadero reto se encuentra, entonces, en realizar una aplicación escrupulosa de tales principios y exigencias, controlando y sancionando los eventuales excesos.

  • II. Un recordatorio previo: ¿qué es un dato personal? Datos individualizados, anonimización y seudonimización

    La valoración de las medidas enunciadas requiere de un recordatorio previo: la aplicabilidad de la normativa de protección de datos de carácter personal -y, por tanto, el despliegue de todas las garantías y mecanismos de protección que en ella se establecen- depende de que nos encontremos, efectivamente, ante datos personales.

    Este recordatorio previo no es baladí porque, para que pueda hablarse de afectación a la privacidad, debemos encontrarnos necesariamente ante información que identifique o haga identificable a una persona física (art.4 RGPD) (8). Esta susceptibilidad de identificación se define de una forma amplia en el Reglamento europeo (9) y ha sido interpretada con esa misma amplitud tanto por el Tribunal de Justicia de la Unión Europea (TJUE) -que parte del objetivo del RGPD, ya presente en la Directiva, de otorgar la protección más efectiva posible a este derecho- como por el Tribunal Supremo en reciente jurisprudencia. La clave o el resorte, el presupuesto, que activa la protección que dispensa este derecho fundamental es, pues, reitero, esa susceptibilidad de identificación de una persona física que, además, no ha de resultar excesivamente onerosa o difícil pues, de lo contrario -si deben realizarse operaciones complejas y de difícil concreción para adicionar los diversos datos que estos permitan dicha identificación individualizada-, la persona ya no se considerará identificable.

    El presupuesto de la identificabilidad debe concurrir no sólo respecto de la recopilación y tratamiento originario de los datos, sino también respecto del ejercicio por parte del interesado de las otras facetas que conforman ese poder de disposición sobre los datos personales (esa privacidad), como son el derecho a la supresión de datos o su cancelación. Así lo ha recordado el TJUE en múltiples ocasiones al afirmar que el llamado derecho al olvido se puede ejercer para eliminar aquella información inexacta o irrelevante con el paso del tiempo que hace referencia a una persona física en una búsqueda por nombre (10). No puede obviarse, en este sentido, la posibilidad de futuras demandas en ejercicio de este derecho al olvido en relación con información sobre personas concretas que han sido contagiadas, han fallecido o han superado el virus Covid 19 (11).

    ¿Cuándo una información o una determinada tipología de datos es susceptible de identificar a una persona física (en aquellos casos en que los datos no son individualizados)? La STS 12-7-19 (RCA 4980/2019) (12) entra de lleno en esta cuestión al entender que los datos contenidos en las denominadas Curvas de Carga Horaria (CCH) -datos de consumo horario, asociados a cada punto de suministro de energía eléctrica- pueden ser considerados como una transmisión de datos de carácter personal en la medida en que la puesta en relación de dichos datos con otros a los que, de forma directa o indirecta, se puede tener acceso no sólo permiten la identificación del consumidor sino la posibilidad de crear y conocer su perfil personal (de hábitos) (13). Se trata de datos que, si bien en una primera aproximación no individualizan a una persona permitirían su identificación ulterior mediante la suma otros datos.

    Aunque la citada STS se pronuncia sobre la aplicación de la derogada LOPD, subraya que tales previsiones se recogen (incluso de forma más intensa) en la nueva normativa y pone el acento, en lo que aquí me interesa destacar, en dos cuestiones: a) primera, que la información que constituye el dato puede ser de cualquier naturaleza (14) y b) segunda, que la susceptibilidad de identificación de una persona física debe poder realizarse sin esfuerzos desproporcionados (15) por medios lícitos y razonables.

    Desde la perspectiva apuntada, señala la Sección Tercera que la adición a los datos contenidos en las CCH de aquellos otros contenidos en el Código Universal del Punto de Suministro (CUPS) permite identificar, sin demasiado esfuerzo, al consumidor/usuario final y, por ello, a su tratamiento le resultan de aplicación las garantías, prevenciones y excepciones previstas en la normativa de protección de datos. La posibilidad de que el operador del sistema pueda solicitar y obtener de la compañía distribuidora los datos adicionales que permitan determinar la ubicación concreta del punto de consumo se considera un medio razonable (no excesivamente oneroso) para poder identificar a una persona.

    Concurre, por tanto, el presupuesto de identificabilidad, subrayando el Tribunal Supremo que la nueva normativa en materia de protección de datos ha desarrollado el concepto de dato personal para dar cabida a los datos seudonimizados; tal como se aclara en el considerando 26 del RGPD (UE): «Los datos personales seudonimizados (16), que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física». Se trata, por tanto, de una susceptibilidad de identificación razonable o no desproporcionada.

    En definitiva, de lo anterior se desprende que, ante un eventual acceso y tratamiento de datos personales, se deberá determinar en primer lugar, si se trata de datos individualizados (referidos e identificativos de una persona física), si se trata de datos seudonimizados o si se trata de datos anónimos.

    La utilización de datos anónimos no afecta a la privacidad. Un ejemplo de ello, en este contexto de crisis, es la aplicación para la obtención de datos de salud con vistas a la investigación médica desarrollada por el MIT (17) que pretende realizar un análisis con algoritmos mediante la comparación de toses de personas afectadas por el Covid19 y de personas no afectadas (a partir de grabaciones de audio de la tos de las personas participantes) cuyos resultados se compartirán en abierto para la comunidad médica (18). En la página inicial -que exige el consentimiento previo para participar en el estudio (19)- se informa de que no se trata de datos personales (puesto que son anónimos y no identifican directamente a la persona) y se precisa cuál es la concreta finalidad a la que sirve esa recogida de datos (el estudio de investigación), dónde se almacenarán dichos datos (Todos los datos del estudio se almacenarán en un servidor físico en el MIT, donde se cifrarán en todo momento, solo estarán disponibles para los investigadores participantes del MIT) y del proceso de eliminación al que serán sometidos una vez se complete el estudio. A pesar de trabajar con datos anónimos, cifrados, que no permiten una identificación directa de los participantes y que, por tanto, no afectan a la privacidad, se ha optado por una política de transparencia e información, basando la participación en el consentimiento de los participantes.

    En cambio, cuando se trate de datos individualizados o de datos seudonimizados que permiten identificar a una persona física mediante la suma de nuevos datos de forma razonable y no excesivamente gravosa, la privacidad puede verse afectada y, por ello, el acceso y tratamiento de tales datos estará sometido a las cautelas y garantías de la normativa de protección de datos; en particular, un acceso y un tratamiento lícito, leal y transparente, con una finalidad limitada, respetando los parámetros de la proporcionalidad -adecuación, pertinencia y limitación-, el principio de exactitud de los datos -o principio de calidad- y su conservación limitada (art.5 RGPD).

    La licitud del tratamiento vendrá determinada bien por la existencia del consentimiento de la persona afectada, bien por la concurrencia de alguno de los otros supuestos previstos en el art.6 RGPD(20). Así, en la STS antes aludida, la Sección Tercera considera lícito el tratamiento efectuado por la empresa suministradora de energía, sin necesidad de recabar el consentimiento, pues, partiendo de la existencia de un contrato de suministro, concurre uno de los supuestos previstos en la derogada LOPD: el tratamiento responde «a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros» previsto en el art.11.2.c) LOPD.(21)

  • III. Datos especialmente sensibles: los datos sobre el estado de salud

    Tanto el RGPD como la LOPD-GDD incluyen una mención específica y una protección reforzada para aquellos datos de carácter personal cuya recopilación y tratamiento afectan de manera más intensa a otros derechos fundamentales relacionados, como la libertad de ideología, el derecho a la intimidad o el derecho a la no discriminación. Se trata de datos especialmente sensibles; datos que el art.9.1 RGPD(22) aúna bajo la expresión categorías especiales de datos -como por ejemplo, por citar algunos, los datos relativos a la ideología (23), a la identidad u orientación sexual o, en lo que aquí interesa, los referentes al estado de salud. Esta especial ligazón entre el derecho a la privacidad y el derecho a la intimidad del art.18.1 CE (en ocasiones de difícil escisión) es muy perceptible cuando se trata del acceso a datos relativos a la salud física. En su STC 70/2009, de 23 marzo, el Tribunal Constitucional hizo hincapié en que, dentro de ese ámbito propio y reservado (íntimo) frente al conocimiento de terceros, se comprende, sin duda, la información relativa a la salud física y psíquica de una persona, que es, además, especialmente sensible y, por tanto, digna de especial protección. Y recuerda la necesidad de que las limitaciones e intromisiones sobre ese derecho sean autorizadas por la ley, de forma precisa y proporcionada.

    La protección reforzada que se otorga a los datos sensibles se estructura ab initio a partir de la prohibición de su tratamiento ( art.9.1 RGPD); prohibición que, sin embargo, admite excepciones (o no resulta de aplicación) en los casos expresamente previstos en el segundo apartado del precepto (que deberán ser objeto de una interpretación restrictiva). En cualquier caso, como explícitamente recuerda se recuerda en la citada STC 76/2019, el RGPD deja un margen a los Estados Miembros en lo que atañe a la especificación legal de los presupuestos habilitantes así como al establecimiento de medidas adecuadas para garantizar los derechos de los interesados (24).

    Los supuestos que permiten levantar la prohibición general de tratamiento de estos datos especialmente sensibles coinciden, en algún caso, con los que el art.6 RGPD, con carácter general, define como tratamiento lícito de datos personales -así, la existencia de un consentimiento previo del afectado o la necesidad de protección de intereses vitales del propio interesado o de terceros- (25). Se añaden, sin embargo, otros supuestos de carácter específico relativos, por ejemplo, a los casos en que el interesado ha hecho manifiestamente públicos esos datos sensibles (art.9.2.e RGPD); o, por razones de interés público esencial, con especial atención al principio de proporcionalidad y las garantías adecuadas (art.9.2.g RGPD); o, respecto de los datos de salud, cuando la finalidad sea la medicina preventiva o laboral, el diagnóstico médico o la prestación sanitaria por parte de profesionales y con sujeción al deber de secreto (art.9.2.h RGPD, en relación con el apartado tercero del precepto); o «el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y0 de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional» (art.9.2.i RGPD). En estos tres últimos casos, el art.9.2 LOPD-GDD, en consonancia con el art.9.2.g RGPD, exige su concreción en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (26). La Disp. Adic. 17ª de la LODP-DGD, bajo la rúbrica tratamientos de salud, contiene un listado de las leyes que amparan su tratamiento con arreglo a lo dispuesto en los apartados g), h), i) y j) del art.9 RGPD y contiene una especial referencia al tratamiento de datos seudonimizados para la investigación biomédica.

    Mención concreta merece la previsión de que el consentimiento del interesado pueda levantar la prohibición de tratamiento de datos especialmente sensibles, pues, en ocasiones, no se considera suficiente. El RGPD dispone que el Derecho de la Unión o de los Estados Miembros puede establecer una excepción a la validez de ese consentimiento y, en la misma línea, el art. 9.1 LOPD-GDD establece que «a fin de evitar situaciones discriminatorias el sólo consentimiento del afectado no bastara» para levantar la prohibición de datos cuya finalidad principal sea la de identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico -sin perjuicio de que estos datos puedan ser tratados en los casos que relaciona el art.9.2.g RGPD, evitándose la eventual creación de listas negras o de listas que señalen a determinados colectivos históricamente marginados o más vulnerables (27).

    En este listado concerniente a la insuficiencia del consentimiento no se incluyen los datos relativos al estado de salud cuando, en mi opinión, tales datos también tienen un potencial factor de discriminación similar al que pretende evitarse con las cautelas establecidas respecto del consentimiento en el resto de casos. Potencial factor de discriminación que no resulta tan extraordinario en el caso de enfermedades infecciosas o contagiosas -como evidenció el VIH- y que, también ahora, podría revelarse en relación con enfermos o inmunizados por el Covid 19. Desde esta perspectiva, la eventual implantación del llamado pasaporte serológico plantea serias dudas, no sólo desde el punto de vista de su eficacia (28) colectivos, sectores, etc.; a fin de determinar si realmente es necesaria e idónea para el objetivo que se pretende conseguir -frenar la propagación de la pandemia y/o permitir la llamada desescalada- y si se cumple el principio de proporcionalidad (en su vertiente estricta).

  • IV. Tratamiento de datos personales en tiempos de coronavirus: de la geolocalización anonimizada al mapeo de contactos

  • A. Geolocalización anonimizada y geolocalización individual a través de dispositivos móviles

    La geolocalización de dispositivos móviles permite conocer su ubicación concreta. Ello no necesariamente afecta a la privacidad o a la capacidad de disposición de nuestros datos personales, debiendo distinguirse, por un lado, la geolocalización anonimizada de aquella geolocalización que permite la identificación del usuario de ese dispositivo de forma directa o indirecta.

    De hecho, la Ley 9/2014, de 31 de mayo, General de Telecomunicaciones, parte precisamente de esta distinción y prescribe de forma clara en su art. 48.2 (Derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con las guías de abonados) (29), que, en relación con los datos de localización distintos de los datos de tráfico, los usuarios finales de los servicios de comunicaciones electrónicas tienen el derecho «c) A que sólo se proceda al tratamiento de sus datos de localización distintos a los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento informado y únicamente en la medida y por el tiempo necesarios para la prestación, en su caso, de servicios de valor añadido, con conocimiento inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el servicio de valor añadido que vaya a ser prestado. Los usuarios finales dispondrán del derecho de retirar su consentimiento en cualquier momento y con efecto inmediato para el tratamiento de los datos de localización distintos de tráfico (…)».

    (i) En efecto, una geolocalización anonimizada, que parte de la aportación de datos por parte de las operadores de comunicaciones electrónicas de forma agregada y anónima, tal como se prevé en la disposición segunda de la Orden de la Secretaría de Tecnología citada al inicio de este comentario, no plantea problemas de privacidad ni activa las garantías de la normativa de protección de datos si, realmente, se cumple con ese principio de anonimato. No se identifica aquí a ningún usuario, ni ello permite elaborar perfiles personales. No se cumple por tanto el presupuesto de susceptibilidad de identificación a que aludía supra. En este tipo de geolocalización los datos son objeto de tratamiento de agregación precisamente para romper la cadena de identificación y hacer imposible la asociación de los datos a una persona física.

    (ii) Supuestos distintos son los de la geolocalización de dispositivos móviles no anonimizada o que permiten identificar al usuario de forma indirecta. El acceso a dichos datos se puede fundamentar, entonces, bien en el consentimiento del propio usuario -que adopta una posición activa al descargase una determinada aplicación y permitir el acceso a su ubicación-, bien en la concurrencia de uno de los supuestos de tratamiento lícito previstos en la normativa de protección de datos, como pueda ser la garantía de la salud pública y el freno de la pandemia.

    a) Son múltiples los ejemplos que ilustran ambos tipos de fundamentos. Así, en el primer caso -posición activa y consentimiento del afectado- se pueden listar numerosas aplicaciones que implican el establecimiento de una geolocalización o ubicación del usuario -que, en ocasiones requiere de su activación concreta (como google maps) y en otras se activa por defecto (de ahí la importancia de la información clara y precisa al usuario)- porque, precisamente, el servicio de valor añadido que se fundamenta en la proximidad. La aplicación foursquare utiliza la posición para mostrar las opciones de ocio (restaurantes, bares) más próximas; aplicaciones como grindr o tinder -en las que además se proporciona otro tipo de información que permite la elaboración de un perfil personal- permite concretar citas con personas próximas a tu ubicación; y, otras, como swarm permiten conocer dónde se encuentran los conocidos y allegados. A este tipo de aplicaciones (que ponen el acento en el ocio o las relaciones sociales) se añaden otras que han sido desarrolladas para incrementar la seguridad (o su sensación) de la persona que las utiliza, pues permiten que los miembros de un grupo (previamente elegido) conozcan su ubicación en tiempo real del usuario (por ejemplo, Safe365 o la posibilidad de activar la ubicación en tiempo real de whatsapp y Facebook Messenger).

    Lo anterior evidencia que el contorno de la privacidad, como también el de los derechos fundamentales a la intimidad y al honor, depende de los usos sociales, del contexto social y tecnológico de la sociedad que determina directamente cómo se percibe la esfera de lo privado o íntimo. Algunas de las aplicaciones a las que se ha hecho referencia pueden proporcionar a terceros datos sobre la orientación sexual, los gustos personales o el perfil económico de una persona; sin embargo, los usuarios permiten el acceso a tales datos y su tratamiento porque perciben que el valor añadido que les proporciona la aplicación prima sobre la exposición de datos sensibles.

    De ahí la importancia de la excepción prevista en el art.9.2.e) RGPD a la prohibición de tratamiento en los casos que dichos datos personales se hayan hecho manifiestamente públicos por el interesado (de forma similar a las expectativas razonables de intimidad a las que ha hecho referencia el Tribunal Constitucional). La clave, para trazar el contorno de la privacidad, es entonces la de mantener (30)«la potestad de controlar la información que circule por el escenario público y en las nuevas redes sociales y que le pueda concernir [a uno] como sujeto social que es» y, en el caso de las aplicaciones citadas, los usuarios han hecho uso y libre disposición de esos datos. Para ejercer ese poder de disposición de forma consciente es preciso, entonces, que la información sobre los datos personales que se tratan, cómo se tratan, dónde se almacenan y durante cuánto tiempo, le sea facilitada al usuario de forma directa, precisa y clara o inteligible (art. 12 RGPD).

    b) Un ejemplo claro de aquellos otros supuestos en que la geolocalización del dispositivo, aun permitiendo identificar o individualizar a una persona física, no requiere del consentimiento (activándose incluso de forma automática) porque se persigue el cumplimiento de una misión de servicio público, con base legal, es la geolocalización para prestación de servicios de emergencia. En nuestro ordenamiento, el encaminamiento de llamadas a servicios de emergencia (número 112) constituye un servicio de prestación obligatoria por parte de los prestadores de servicios de comunicaciones electrónicas en atención al interés general que persigue (de preservación de la salud física, pero también de la seguridad e integridad física de las personas). Se configura, así, como un servicio público (art. 28.3 LGTel) que resulta gratuito para los usuarios y se establece con independencia del tipo de terminal que se utilice y de la tipología de relación contractual. En estos casos, llamadas de emergencia al 112 o a las entidades designadas para prestar tales servicios, los usuarios finales no pueden ejercer su derecho a que los datos de localización se anonimicen o a que su tratamiento se base en un consentimiento previo (art. 48.2 LGTel).

    Esa misión de servicio público justifica la utilización de esos datos sin consentimiento (y, de hecho, obliga a ello). En su sentencia de 5-9-19 (asunto C-417/18) (31), el TJUE es tajante al señalar que, si bien los Estados Miembros gozan de un margen de apreciación para establecer los criterios aplicables a la precisión y la fiabilidad de la información relativa a la ubicación de la persona que efectúa la llamada al 112, dicho margen está limitado por la necesidad de garantizar la utilidad de la información transmitida para permitir una localización efectiva de la persona que efectúa la llamada y, por tanto, la intervención de los servicios de emergencia (32).

    Se trata, pues, de una medida que cuenta con una previsión legal expresa, se configura como necesaria, resulta idónea y supera el juicio estricto de proporcionalidad en cuanto esa geolocalización persigue un interés público definido, es limitada y se contrae el momento en que se realiza el encaminamiento de la llamada a los servicios de emergencia (33).

  • B. Aplicaciones de autoevaluación de salud y de información sanitaria

    Como ya se ha puesto de manifiesto, la Orden de la Secretaria de Estado de Digitalización e Inteligencia Artificial prevé el desarrollo de aplicaciones tecnológicas que permiten, por un lado, realizar un autodiagnóstico sobre el posible contagio del virus Covid 19 -lo que implica aportar datos relativos a la salud física- y, por otro lado, acceder a la información pública actualizada y a las recomendaciones de las autoridades sanitarias. Estas aplicaciones (como Asistencia Covid19 o Coronamadrid) permiten, también, la geolocalización del usuario sólo en aquellos casos en que este otorgue su consentimiento explícito a fin de poder prestar el servicio de emergencia sin realizar, sin embargo, una función de seguimiento.

    Según se describe en la propia aplicación, la finalidad de la recopilación de datos es estrictamente de interés público; en resumen, la de controlar la propagación de la infección y salvaguardar la vida de las personas. Resulta evidente, pues, que mediante estas aplicaciones se accede a datos personales, algunos de carácter sensible, que se aportan directamente por los usuarios bien a través del dispositivo (si se ha realizado la descarga en el móvil), bien a través de la web; identificándose directamente la persona que la utiliza. Parece, sin embargo, que dicho acceso cumple con los requisitos que exige la normativa de protección de datos pues, no sólo se parte del consentimiento expreso de la persona afectada, sino que esa petición de acceso a los datos personales está justificada por una finalidad de interés público, como es la de protección de la salud pública, que está expresamente prevista como uno de los supuestos de tratamiento lícito de los datos, no sólo en la propia legislación de protección de datos, sino en la legislación de sanidad -art. 3 Ley 3/1986, de 14 de abril, o la Ley 33/2011, de 4 de octubre, General de Salud Pública.

    La coexistencia de estos dos supuestos de licitud es importante desde una doble perspectiva: a) por un lado, parece dotar de proporcionalidad a la medida (al menos a priori) pues no parece concebible que esa aportación de datos personales de salud, cruzados con una geolocalización individualizada, pudiese imponerse o descargarse automáticamente en los dispositivos como ha ocurrido en otros países -pues ello supondría una injerencia desproporcionada del derecho fundamental a la privacidad, al existir otros medios menos gravosos que permiten trazar un mapa de las zonas más afectadas-; b) desde otra perspectiva, sin embargo, lo anterior puede incidir directamente en la eficacia de la medida pues el número de usuarios será determinante de la relevancia de los resultados.

    La clave, entonces, radicará en cómo se realiza ese tratamiento (adecuación estricta a la finalidad y principio de minimización de datos), la finalidad del mismo y la información que debe facilitarse a los ciudadanos con arreglo al art. 12 RGPD en relación con los arts. 13 y 14 RGPD.

    Cuestión diferente es la del uso secundario que pudiese hacerse de esos datos que, además, pertenecen a la categoría de los llamados datos sensibles por su especial y simultánea afectación del derecho a la intimidad que gozan de una protección reforzada (34). Debe recordarse, una vez más, que toda limitación o modulación de derechos fundamentales debe responder al principio de proporcionalidad en su triple vertiente y que debe estar prevista en una ley que, de forma clara y precisa, estableciendo su finalidad (35).

  • V. A modo de conclusión

    En definitiva, de lo hasta ahora expuesto puede concluirse, a mi juicio, que tanto las medidas de geolocalización como las aplicaciones de salud desarrolladas en el estado de alarma cumplen con los estándares de garantía del derecho a la protección de datos de carácter personal.

    Así, en unos casos, basándose el tratamiento en datos anónimos, no se atisba fricción alguna con el derecho a la privacidad. En los otros casos, siendo cierto que las aplicaciones implican el acceso a datos sensibles, también lo es que esa inicial prohibición de tratamiento prevista en el art. 9 RGPD puede ser excepcionada pues cuenta con habilitación legal expresa que define la finalidad del tratamiento esos datos -defensa de la salud pública- a la que se suma la el consentimiento de la persona afectada. Parece cumplirse, así -por lo que concierne a las aplicaciones de autoevaluación- con el principio de proporcionalidad, pues su implementación puede calificarse como una medida idónea y necesaria para alcanzar el objetivo (legítimo) perseguido y, en un análisis de proporcionalidad en sentido estricto, los beneficios que pretenden obtenerse superan los costes previstos -fundamentalmente porque el elemento de la voluntariedad impide considerar que se ha producido una injerencia en el ámbito privado, pues es el propio ciudadano el que ha realizado esa ponderación entre la cesión de datos y la obtención de un beneficio mayor, como coadyuvar a frenar la propagación de la enfermedad-.

    Mayores dudas plantearía, en concreto respecto al cumplimiento del principio de proporcionalidad en sentido estricto, el establecimiento (obligatorio o automático) de aplicaciones de mapeo que permiten la trazabilidad de los contactos y los eventuales contagios en un grupo, como ha ocurrido en algún país. En caso de desarrollarse estas aplicaciones supeditadas a la voluntariedad la cuestión que se plantearía, como antes apunté, es la de su eficacia -pues el resultado o beneficio pretendido dependería del número de personas que consintieran en descargarse la aplicación-.

    En definitiva, los interrogantes que el estado de alarma y la crisis sanitaria suscitan en relación con la privacidad no se proyectan tanto sobre la licitud del acceso y tratamiento de los datos de salud, tal como han sido configurados hasta el momento, sino sobre la percepción social de este tipo de medidas en un contexto social (una realidad) que sí ha sufrido una mutación importante (aunque sea transitoria).

    Los retos, ahora, se centran en la forma en que dicho tratamiento se realice, en el cómo. Es necesario que se respeten, de forma escrupulosa, los principios generales de calidad (exactitud) y minimización de los datos; garantizando que la duración del tratamiento y la conservación de datos sean las estrictamente necesarias para el cumplimiento de la finalidad definida. Es preciso también, y quizás este aspecto sería mejorable, dar pleno cumplimiento a las exigencias de información transparente y clara que impone el art. 12 RGPD y, en la medida de lo posible, realizar análisis del impacto normativo de tales medidas. Pero el cuidado y control del correcto tratamiento es algo que ha de analizarse en otra fase.