En esta crisis mundial producida por el COVID-19, muchos gobiernos se han visto obligados a tomar medidas urgentes, entre ellos el gobierno de España.
Una de esas medidas se publicó en el BOE del día 28 de marzo, y lo que ordena es la creación de una aplicación médica para que el usuario pueda hacerse una autoevaluación en base a los síntomas que tenga en ese momento. Aunque, evidentemente, esa aplicación no sustituye en ningún caso el diagnóstico de un médico profesional.
Pero lo importante en materia de protección de datos radica en que, dicha aplicación, permite la geolocalización del usuario para ver si se encuentra en la comunidad autónoma que dice estar. Además otro de los contenidos que tiene es el de ofrecer “enlaces con portales gestionados por terceros” con los que se puede acceder a información y otros servicios online. Entonces, ¿Quién se hace cargo de los datos de los usuarios? ¿Quién responde por ellos? Pues el responsable de los datos es el Ministerio de Sanidad y el encargado es la Secretaría General de Administración Digital, a su vez el ministerio permite que la secretaría utilice otros encargados.
Otro punto importante en materia de protección de datos es la tarea que tiene la Secretaría de Estado de Digitalización e Inteligencia Artificial, consistente en analizar la movilidad de las personas en los días anteriores y durante el confinamiento consecuencia del estado de alarma. En este caso el responsable del tratamiento será el Instituto Nacional de Estadística y los encargados serán los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo. Y como en el anterior caso, el INE, permite a los operadores recurrir a otros encargados.
Este tipo de medidas se permiten en el Reglamento General de Protección de Datos (RGPD) en su artículo 89 donde explica las excepciones. En su apartado tercero dice que se podrán hacer excepciones a los derechos de los artículos 15-21 por motivos de interés público, siempre que esos derechos imposibiliten alcanzar esos fines de investigación científica (en este caso provocado por el COVID-19).
Pero esto no significa que haya una “carta blanca” con el tratamiento de esos datos, porque en el apartado primero dice que “estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales”, lo que quiere decir que los responsables (Ministerio de Sanidad y el Instituto Nacional de Estadística) deberán tomar las medidas adecuadas para impedir un uso incorrecto de esos datos personales que se recogerán en las aplicaciones.
En definitiva es una limitación de los derechos otorgados por el RGPD, pero tiene justificación en el mismo y, además, tanto responsables como encargados pondrán los recursos necesarios para evitar que los datos personales sean usados para otros fines que no sean los previstos.
