La Agencia Española de Protección de Datos (AGPD) se ha pronunciado sobre la iniciativa de recoger los datos personales de los clientes en los locales de ocio para controlar los rebrotes de COVID-19.
Los rebrotes y la transmisión comunitaria del coronavirus en numerosos puntos de nuestra geografía han obligado a las autoridades a extremar las medidas de control de la pandemia. Algunas autoridades han apostado por registrar los datos de los clientes de los locales de ocio para poder realizar un seguimiento de los contactos en caso de detectarse un positivo.
Como ocurre con otras medidas de control, esta iniciativa ha suscitado una cierta polémica entre usuarios y empresas. La AEPD ha querido aclarar algunos aspectos relativos a la protección de datos y que se deben tener en cuenta para aplicarlos al control de la pandemia.
1. La base jurídica para realizar el seguimiento de los contagios y la toma de datos para cederlos a las autoridades sanitarias se asienta en el interés público de controlar la pandemia.
2. Los datos que se recogen no están catalogados en el Reglamento General de Protección de Datos (RGPD) como categorías especiales aunque su tratamiento tenga como finalidad identificar posibles infectados.
3. El registro de clientes que acuden a los locales de ocio debería ser obligatorio para todos los clientes porque, de lo contrario, no tendría efectividad.
4. Las autoridades sanitarias deben acreditar la necesidad de realizar este registro.
5. El consentimiento por parte del usuario no podría tener consecuencias negativas como, por ejemplo, impedir la entrada a un establecimiento.
6. La obligatoriedad de tomar datos por parte de los establecimientos debería establecerse por ley, puesto que ya no está vigente el estado de alarma.
7. Esta medida estaría justificada en caso de que no hubiese otra forma igualmente eficaz pero más moderada para ese fin.
8. Las autoridades sanitarias deberían limitar el control de usuarios a aquellos lugares donde exista mayor dificultad para el cumplimiento de medidas de protección.
9. La recogida y cesión de datos debería permitir la identificación únicamente de posibles contactos para evitar avisar a miles de personas, lo que produciría colapsos en la asistencia sanitaria.
10. El criterio de toma de datos debería basarse en el principio de minimización. Es decir, registrar la cantidad mínima de datos y de forma anónima. En este sentido, bastaría con un número de teléfono junto a la hora y lugar de asistencia. En ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.
11. Los datos solo se deben utilizar para el control del virus limitando el plazo de conservación de los mismos.
En resumen, la información debe ser tratada con las medidas de seguridad adecuadas y solo debe ser empleada por las autoridades sanitarias por razones de interés público según lo previsto en la ley.