Agencia Vasca de Protección de Datos

euskadi.eus

Inicio

Estás en:
  1. Inicio
 

Consultas sobre protección de datos y COVID-19 atendidas en la AVPD

Fecha de publicación: 

La preocupación por el tratamiento de datos personales como consecuencia de la COVID-19 ha motivado distintas consultas a la Agencia Vasca de Protección de Datos relacionadas con esta pandemia, a las que se han dado respuesta vía dictamen o por el servicio multicanal.

Agencia Vasca de Protección de Datos

 

Dictamen D20-012. Comunicación de datos de los pacientes diagnosticados como positivos en COVID-19 (21/04/2020)

El Departamento de Salud consulta a la Agencia Vasca de Protección de Datos si los centros privados de diagnóstico están obligados a comunicarles los datos identificativos de los pacientes que hayan sido diagnosticados como positivos en COVID-19.

Asimismo, quieren saber si sería legítimo que una vez comunicados dichos datos al Departamento de Salud, los mismos sean comunicados a Osakidetza-Servicio Vasco de Salud, a los efectos de incorporar ese dato en la historia clínica de los pacientes confirmados en COVID-19.

La AVPD emite dictamen sobre la consulta formulada, concluyendo que la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud y la Ley 33/2011, de 4 de octubre, General de Salud Pública, y su normativa de desarrollo, estatal y autonómica, constituyen habilitación legal suficiente para que los centros privados de diagnóstico comuniquen al Departamento de Salud los datos identificativos de los pacientes que hayan dado positivo en COVID-19. La normativa sanitaria legitimaría también, a juicio de esta Agencia, la comunicación de esos datos a Osakidetza, a efectos de su incorporación en historia clínica de los pacientes, como medida necesaria y proporcionada para la contención de la pandemia y la preservación de la salud pública, en su vertiente asistencial.

Dictamen D20-016. Aplicación informática “COVID-19.eus” (05/06/2020)

La situación de emergencia sanitaria derivada de la propagación de la Covid-19, ha llevado a las Autoridades Sanitarias a la adopción de numerosas medidas para luchar contra esa pandemia y proteger la vida y la salud de la población, entre ellas, la puesta en marcha de aplicaciones móviles orientadas a controlar y reducir el contagio. Es el caso de la aplicación para los teléfonos móviles “COVID-19.eus”, que el Departamento de Salud ha puesto a disposición de la ciudadanía junto con la empresa vasca EricTel, con el objetivo de tejer una RED CIUDADANA que ayude en la contención del coronavirus, contribuyendo a su prevención, detección y seguimiento.

El Departamento de Salud consulta a la Agencia si la finalidad de la app COVID-19.eus, cumple con lo dispuesto por el Reglamento UE 2016/679 de 27 de abril (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre. Para ello, adjunta a su escrito las Condiciones de Uso y la Política de Privacidad que incluye la información que facilita a los usuarios de la APP. Asimismo, solicita que se aclare la edad legal mínima para que los interesados puedan otorgar su consentimiento para el tratamiento de datos sin el consentimiento de sus progenitores o tutores legales.

Al objeto de resolver la consulta planteada, la AVPD solicita a la Administración sanitaria información detallada y documentada sobre esta iniciativa, y en ese mismo escrito informa al Departamento que la edad que debe ser exigida para que un menor se dé de alta en la aplicación es la de 16 años, al ser ésta la edad necesaria para consentir en el ámbito sanitario.

Según la información remitida, para utilizar los servicios que esta app, voluntaria y gratuita, ofrece, es requisito indispensable estar registrado como usuario y facilitar una serie de datos personales de carácter identificativo, datos de salud y características personales. Además, una de las funcionalidades de la app es la utilización de datos de localización GPS anonimizados, para detectar por donde ha circulado el usuario con el fin de poder establecer un vector de transmisión de la epidemia.

La AVPD recuerda a la Administración Sanitaria que, como responsable de la aplicación, deberá garantizar la privacidad de la información y el respeto a los principios que rigen el tratamiento de los datos personales (licitud, limitación de la finalidad, transparencia, minimización, exactitud, integridad y confidencialidad, limitación del plazo de conservación de los datos, y principio de responsabilidad proactiva (protección de datos desde el diseño y por defecto), y analiza la adecuación de la app a estos principios.

El dictamen emitido sostiene también que el RGPD y la LOPDGDD, junto con la normativa sanitaria, constituyen amparo legal suficiente para que el Departamento de Salud lleve a cabo los tratamientos de datos de salud necesarios para la lucha contra la propagación de la COVID-19 y la preservación de la salud pública.

Además, y dado que la app COVID-19.eus permite crear círculos de relaciones del usuario con personas cercanas (familia, amigos, compañeros), con el objetivo primordial de concienciar del distanciamiento físico para evitar el contagio, de forma que si una persona del círculo se contagia, los contactos de primer nivel entrarán en aislamiento, entiende la Agencia que la base jurídica

que legitimaría esos tratamientos sería el consentimiento de los interesados, otorgado con arreglo a las exigencias impuestas por el RGPD.

Por último, y respecto a los datos de localización, considera que, como regla general, estos datos sólo podrán tratarse previo consentimiento de los usuarios, y esa manifestación de voluntad deberá ser libre, específica, informada e inequívoca, por la que el interesado acepta mediante una clara acción afirmativa el tratamiento de esos datos personales. Además, tendrá derecho a retirar el consentimiento otorgado en cualquier momento. Obviamente, no sería preciso ese consentimiento si se manejasen datos totalmente anónimos.

Sin embargo, a juicio de esta Agencia la cuestión no sólo estriba en la necesidad de consentimiento de los afectados, sino en determinar si la geolocalización es una medida necesaria y proporcionada para lograr los objetivos pretendidos por la app COVID-19.eus, y la respuesta debe encontrase en las recomendaciones, orientaciones y directrices emitidas por la Comisión Europea y el Comité Europeo de Protección de Datos, debiendo evitarse la adopción de medidas que se adentren profundamente en las garantías esenciales del derecho a la protección de datos, contrariando los estándares de protección fijados por la Unión Europea.

Dictamen D20-023 (abre en nueva ventana). Comunicación al Departamento de Salud de datos de los alumnos de centros educativos de la Comunidad Autónoma de Euskadi (16/11/2020)

El Departamento de Salud de la Administración General de la Comunidad Autónoma de Euskadi solicita al Departamento de Educación la cesión de datos personales de todos los alumnos de los centros educativos de esta Comunidad Autónoma. Con ello pretende facilitar el trabajo de la Red de rastreo de casos y contactos de COVID-19, a la hora de establecer quiénes son los contactos estrechos de cada alumno que muestre positividad en las pruebas de la COVID-19.

El RGPD contiene bases legitimadoras para el tratamiento de datos personales en la lucha contra la pandemia, que deben ser aplicadas de conformidad con la legislación sanitaria.

El Real Decreto-ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, tras considerar a la COVID-19 como una enfermedad de declaración obligatoria urgente, obliga, en su artículo 23, a facilitar a la autoridad de salud pública competente todos los datos necesarios para el seguimiento y la vigilancia epidemiológica de la COVID-19, si bien, esta obligación genérica se concreta en lo referente a la trazabilidad de los contactos, en el artículo 26 de la norma, limitándola a “los datos de contacto de las personas potencialmente afectadas”.

A su vez, el artículo 27 del Real Decreto-Ley ampara los tratamientos de datos contemplados en el mismo, en “razones de interés público esencial en el ámbito específico de la salud pública y para la protección de intereses vitales de los afectados y de otras personas físicas”.

En este caso, la solicitud masiva de información formulada, referida a todos los alumnos de los centros educativos, rebasa los términos del reciente “protocolo complementario de actuaciones ante el inicio de curso 2020-2021 y actuaciones ante la aparición de caos de Covid-19 en centros educativos”, de dos de octubre de 2020, que se refiere a los casos confirmados, casos sospechosos y a los contactos estrechos.

Por todo ello, la Agencia Vasca de Protección de Datos concluye en su dictamen, que la comunicación de datos pretendida no se ajusta al Real Decreto Ley citado. A su juicio, el protocolo complementario de actuaciones ante la aparición de casos de COVID en centros educativos de 2 de octubre de 2020, es un instrumento más eficaz para ese objetivo, y más respetuoso con el derecho fundamental de las personas a la protección de sus datos.

Cesion datos del padrón a voluntarios (03/04/2020)

Un Ayuntamiento traslada a la AVPD la propuesta formulada a la Mancomunidad de Servicios Sociales por un grupo de voluntarios, para que se les faciliten los datos de las personas mayores de 65 años empadronadas en los municipios mancomunados, con el fin de contactar telefónicamente con ellos, al objeto de prestarles la ayuda precisa en la situación de aislamiento que provoca la crisis de la COVID-19.

El Padrón municipal es un registro de carácter administrativo cuyo fin esencial es acreditar la residencia y el domicilio habitual de sus vecinos, que se regula en la Ley de Bases de Régimen Local. Esa Ley (artículo 16.3) permite la comunicación de datos del Padrón a las Administraciones Públicas que lo soliciten, sin consentimiento de los interesados, cuando sean necesarios para el ejercicio de sus competencias y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También legitima el tratamiento de los datos por el propio Ayuntamiento para el cumplimiento eficaz de sus competencias, siempre que el dato de la residencia o domicilio resulte relevante.

En consecuencia, la solución dada por la Agencia es que sea la Entidad Local la que contacte con esos vecinos, y les facilite el teléfono o dirección de contacto de los voluntarios a los que pueden dirigirse para solicitar la asistencia que precisen.

Instalación de cámaras térmicas en edificios del Ayuntamiento (12/05/2020)

La Delegada de Protección de Datos de un Ayuntamiento señala en su consulta que se han instalado 5 cámaras térmicas en la entrada de varios edificios municipales. Estas cámaras no graban imágenes y tampoco guardan un registro de las personas que no han podido acceder al edificio. Solamente, en caso de ser un trabajador y dar una temperatura alta, se activaría el proceso, enviándolo a casa y poniéndolo en contacto con el médico de empresa. Dado que la toma de temperatura va a ser obligatoria y que no se pedirá ningún consentimiento, han decidido instalar unos carteles donde se informará de la medida.

A juicio de la Agencia, si la cámara ofrece un valor relativo a la temperatura de una persona identificable, esa información constituye un dato de carácter personal, que por estar vinculado a la salud está incluido en las denominadas categorías especiales de datos, reguladas en el artículo 9 del Reglamento General de Protección de Datos.

En todo caso, entiende esta Agencia que existe base jurídica para la toma de temperatura corporal, pero limitada al ámbito laboral, al amparo de la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio, obligación que deriva de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.

Fuera de este ámbito, y ante la ausencia de pronunciamientos de las autoridades sanitarias sobre la conveniencia de extender esta medida con un carácter más general, las autoridades de protección de datos entendemos que no existe base que legitime un tratamiento indiscriminado de este dato, salvo el consentimiento del afectado, y siempre y cuando la falta del mismo no implique una limitación o una consecuencia adversa para esta persona.

Control de temperatura temporal (13/05/2020)

El Delegado de Protección de Datos de un Ayuntamiento expone que desde el área de prevención están estudiando la posibilidad de poner en marcha un formulario para su cumplimentación por parte del personal, que recogerá el nombre, apellidos, firma y la temperatura, que deberá tomarse a diario en su domicilio, para informar posteriormente al responsable del área de prevención de riesgos laborales.

La presentación de esa declaración responsable encuentra amparo legal suficiente en las obligaciones que la ley 31/1995 de 8 de noviembre, de prevención de riesgos laborales, impone al empleador en relación con la vigilancia de la salud de los trabajadores (artículos 15 y 22).

Tratamiento de datos de salud por un centro educativo (21/05/2020)

Un instituto de educación a distancia consulta a la AVPD si un centro educativo puede formular preguntas sobre el estado de salud, patologías de riesgo y contacto con personas diagnosticadas con coronavirus.

Partiendo de la premisa de que las preguntas van dirigidas al profesorado, existe a juicio de la Agencia habilitación legal para la recogida de esa información desde el servicio de prevención, constituyendo la base jurídica el cumplimiento de una obligación legal (artículo 6.1.c) del Reglamento General de Protección de Datos), impuesta por la Ley de prevención de riesgos laborales.

Tratamiento de datos para el acto homenaje a las víctimas de la COVID-19 (22/07/2020)

Se consulta a esta Agencia sobre la posibilidad de tratar los datos de contacto de los familiares de las personas que han fallecido en Euskadi víctimas de la COVID-19.

Según refiere la consulta, esa información es necesaria para informar directamente a las familias del acto de reconocimiento a las víctimas de la Covid-19 que pretende realizarse para recordar a todas las personas fallecidas a causa del coronavirus, y expresar la solidaridad con sus familiares.

Los tratamientos de datos de las personas fallecidas no están sometidos a la normativa de protección de datos personales (C 27 del RGPD y artículo 2 de la LOPDGDD), si bien esos tratamientos pueden afectar a otros derechos constitucionalmente protegidos, como el derecho al honor o la intimidad personal o familiar (artículo 18.1 CE).

Sin embargo, en este caso, entiende la AVPD que la información que se pretende obtener son los datos identificativos y de contacto de los familiares de esas personas fallecidas, y esa información, referida a personas físicas vivas, está plenamente sometida a la normativa de protección de datos y a los principios que rigen su tratamiento. En consecuencia, el responsable de esa información, debe garantizar que la misma no se trate para una finalidad distinta que la que motivó su recogida, salvo que exista alguna base jurídica que legitime ese tratamiento.

A juico de esta Agencia, la base que legitimaría la comunicación de datos sería el consentimiento de los titulares de los datos (art. 6 1.a), consentimiento que tendría que cumplir todas las exigencias impuestas por el Reglamento Europeo (libre, específico, informado e inequívoco por el que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen).

Otra posibilidad sería que el responsable del tratamiento contactase con los familiares de esas víctimas, y les informase del acto de reconocimiento proyectado, facilitándoles los contactos necesarios a los que podrían dirigirse para obtener toda la información necesaria para decidir participar o no en ese acto homenaje, aportando ellos mismos sus datos personales, que en cumplimiento del principio de minimización, deberían limitarse a los datos estrictamente necesarios para su desarrollo.

 

Homenaje a fallecidos por covid-19 en una residencia de mayores (04/09/2020)

Un Ayuntamiento solicita a una residencia de ancianos de titularidad pública, los datos identificativos las personas mayores allí residentes fallecidas por COVID-19, al objeto de hacerles un homenaje y ponerles una placa en la ciudad.

En primer lugar, se recuerda que el tratamiento de datos de las personas fallecidas no está sometido a la normativa de protección de datos personales (C 27 del RGPD y artículo 2 de la LOPDGDD).

Sin embargo, se destacan dos cuestiones:

Por un lado, los límites que la Ley de Autonomía del Paciente (art.18.4 Ley 41/2002, de 14 de noviembre), impone a los centros sanitarios y a los facultativos para facilitar el acceso a la historia clínica de pacientes fallecidos, dado que la petición se refiere a residentes fallecidos por COVID-19 en un centro socio sanitario.

Por otro lado, que el tratamiento pretendido puede afectar a otros derechos constitucionalmente protegidos, como el derecho al honor o la intimidad personal o familiar (artículo 18.1 CE), cuya tutela no corresponde a la Agencia Vasca de Protección de Datos.

Por todo ello, se considera oportuno que sea la residencia la que contacte con los familiares de esos mayores fallecidos, informándoles de la petición formulada y el objeto de la misma, y les facilite un contacto del Ayuntamiento, para que sean esos familiares, los que, si así lo desean, se dirijan a la Administración y aporten los datos de sus mayores.

Tratamiento de datos de salud de un trabajador enfermo de COVID-19 (04/09/2020)

El servicio de prevención quiere saber si la empresa tiene derecho a conocer todo tipo de detalles sobre el estado de salud de un trabajador que ha enfermado de COVID-19 estando de vacaciones.

En este caso, si la consulta se refiriese a una entidad de naturaleza jurídica privada, la Autoridad de control competente para conocerla sería la Agencia Española de Protección de Datos.

No obstante, con mero ánimo colaborador, se informa que:

Los datos de salud están categorizados como de especial protección, y su tratamiento está, con carácter general, prohibido (art. 9.1 RGPD), salvo cuando concurra alguna de las circunstancias señaladas en el apartado 2 de ese mismo precepto del Reglamento General de Protección de Datos. Entre esas excepciones previstas en el RGPD figura el consentimiento explícito del interesado; el cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social; cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; la protección del interés público en el ámbito de la salud pública, o la protección de intereses vitales del afectado o de otras personas.

En este sentido, se recuerda que La Ley de Prevención de riesgos laborales impone obligaciones a los empleadores y a su personal en materia de prevención de riesgos laborales. De acuerdo con la esta ley, la empresa deberá garantizar la seguridad y salud de todos sus trabajadores, y en el caso de que exista un riesgo grave, estará obligada a informar a los demás empleados de ese riesgo y de las medidas a adoptar, consensuadas con los representantes de los trabajadores.

Pero, además, la normativa de prevención de riesgos laborales impone también a los trabajadores la obligación de velar, dentro de sus posibilidades, tanto por su propia seguridad como la de sus compañeros. Ello implica que, en un momento de emergencia sanitaria, con un gran riesgo de transmisión de la enfermedad, y donde se hace necesario extremar las medidas para proteger la salud de toda la población, cuando un trabajador tenga síntomas, haya sido confinado o enferme de COVID, parece obligado que informe de este extremo a su empresa, al objeto de que implemente las medidas necesarias para proteger su salud y la del resto de sus trabajadores.

No obstante, en el tratamiento de esa información la empresa deberá respetar los principios exigidos por la normativa de protección de datos (art. 5 RGPD), y en particular la licitud, limitación de la finalidad, y el principio de minimización de datos, de manera que los datos tratados habrán de ser exclusivamente los estrictamente necesarios para la legítima finalidad pretendida.

Cualquier injerencia sobre la privacidad de las personas debe someterse a un juicio de necesidad y proporcionalidad, y limitarse en el marco temporal, correspondiendo al responsable del tratamiento (empresa) hacer esa ponderación, evitando la recogida y tratamiento posterior de aquellos datos personales que no resulten imprescindibles para vigilar y proteger la salud de sus trabajadores y contener la propagación del virus.

Grabación de las clases e imagen (14/10/2020)

Una funcionaria docente se dirige a la Agencia, y expone que como consecuencia del estado de emergencia sanitaria se vio obligada a realizar tareas a distancia, vía Internet, pero protegiendo su imagen. Con el nuevo curso escolar, es tutora de un alumno que por razones médicas no puede asistir a clase, y desde la dirección del centro se le sugiere poner una cámara en el aula para grabar las clases. La profesora se plantea también el caso de que el coronavirus condicione las clases presenciales, y consulta si puede negarse a que aparezca su imagen.

En contestación a esa cuestión, la Agencia le informa que la voz y la imagen, en la medida en que permitan, directa o indirectamente, identificar a una persona, son datos personales, de modo que la captación, grabación o reproducción de esas imágenes son tratamientos plenamente sometidos a la normativa de protección de datos. Por el contrario, si las imágenes no permiten identificar a la persona (porque aparece de espaldas o su imagen está pixelada), no estaremos ante un dato de carácter personal.

En el caso planteado, la finalidad del tratamiento es garantizar el derecho de acceso a las sesiones docentes del alumno que no puede acudir presencialmente a las mismas, evitando así situaciones discriminatorias que dejen a ese alumno fuera del proceso educativo. Para ello, el centro educativo podría contar con varias bases de legitimación; por una parte, el cumplimiento de una obligación legal (art. 6.1.e RGPD), que se concreta en el ejercicio de su función docente, recogida en el artículo 91 de la Ley Orgánica de Educación; y por otra, la relación funcionarial por la que la profesora desempeña sus funciones docentes en el centro (art. 6.1.b RGPD).

Ahora bien, en cumplimiento del principio de minimización (art. 5.1.c) RGPD), la grabación de la imagen estaría justificada si la Administración Educativa lo entendiese imprescindible para la prestación del servicio educativo con garantías de calidad, en aras a garantizar de manera real y efectiva el derecho de sus alumnos a la educación.

En ese caso, y en cumplimiento del principio de transparencia e información, sería conveniente que el centro educativo comunicase, a través de avisos, los siguientes extremos: que la finalidad de la visualización o captación y/o reproducción de las imágenes se realiza con fines estrictamente docentes; que los estudiantes no podrán grabar ni reproducir las imágenes o documentos facilitados para el seguimiento de las clases, dado que podrían incurrir en responsabilidades administrativas, civiles o incluso penales; que tanto docentes como estudiantes deberán adecuar su entorno para que terceras personas no sean visualizadas o captadas a través de la webcan; y de los demás extremos recogidos en el artículo 13 del RGPD, entre ellos, de los derechos que asisten a los interesados respecto a sus datos personales (derecho de acceso, rectificación, supresión, limitación, oposición…. ).

En este sentido, recuerda la Agencia a la consultante, que si considera que concurre algún motivo relacionado con su situación particular que lo aconseje, podría ejercitar su derecho de oposición al tratamiento de datos pretendido (art. 21 RGPD).


 

Información de los alumnos positivos de covid en un centro escolar (03/12/2020) 

La madre de un alumno desea que el centro les dé información de los casos positivos de Covid, sin nombre ni apellidos. En concreto, quiere conocer la información de todos los casos desde el inicio del curso escolar, y cada vez que se dé un nuevo positivo, con indicación de la fecha, y curso y letra del aula a la que pertenece el alumno. 

La información pretendida, en la medida en que permita identificar directa o indirectamente al alumno, son datos personales, que al tratarse de datos de salud entran dentro de las categorías especiales de datos, y su comunicación a terceros queda, en principio, prohibida (art. 9.1 RGPD), salvo que concurra alguna de las bases jurídicas legitimadoras del tratamiento de los datos recogidas en el art. 9.2 del RGPD. 

El acceso a la información pública debe respetar la normativa de protección de datos (artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno), y dentro de ese ámbito de la transparencia, la Administración educativa no puede facilitar a los padres y madres del centro información que permita identificar directa o indirectamente a ningún alumno enfermo de COVID. Sería suficiente con informarles del número de casos positivos que ha tenido y tiene el centro educativo en cada momento, dado que proporcionar más datos podría dar lugar a que de forma indirecta se pudiese llegar a identificar a ese alumno enfermo. 

Por el contrario, la Administración sanitaria sí está legitimada para acceder a esa información, en los términos previstos en la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública, Ley 33/2011, de 4 de octubre, General de Salud Pública, y el Real Decreto-ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.

 

Tratamientos excluidos del control de la AVPD

Por último, han sido varias las consultas vía e-mail en relación con tratamientos de datos relacionados con la COVID-19, sobre los que carecemos de competencia. Nos referimos en concreto, a la de un vigilante de seguridad de una entidad privada que consulta si está obligado a tomar la temperatura a los empleados; el caso de un guardia civil destinado en el País Vasco que ha dado positivo en Covid y se queja del tratamiento dado a su datos de salud dentro de su organización; la consulta sobre la cesión de datos de un empleador a su empleada de hogar para que reciba la ayuda por inactividad, o la de un laboratorio que quiere saber si está obligado a ceder a una clínica los resultados de PCR de una persona que va a ser operada.

En todos estos casos les hemos derivado a la AEPD, y nos hemos limitado a dar pautas generales, sin entrar a resolver la cuestión concreta que plantean.

Actuaciones de la AVPD en relación con la COVID-19 (PDF, 321 KB) (abre en nueva ventana)