COVID y Privacidad
El COVID-19 y la privacidad aparecieron de improvisto, como tema estrella, entre las preguntas que formularon los asistentes a la primera charla del grupo de trabajo #ITSF4privacidad el pasado 15 de junio. ¿Quién se lo iba a imaginar? Sí, es una pregunta sarcasmo. La cuestión es que aunque no queramos, todos estamos interesados en saber qué está pasando, qué va a pasar, y cómo sobrellevar la carga de tener que elegir entre privacidad y salud, entre el derecho a la vida y la protección de datos. La buena noticia es que no tenemos que elegir.
Está claro que las instituciones, las empresas, y todo tipo de organizaciones, deben poner medidas de control y los ciudadanos colaborar con su aplicación con un objetivo claro, detener la expansión y reducir el impacto del “bicho” en nuestra comunidad. Es una meta que requiere trabajar en equipo, y sobre todo, que exige confianza en que cada medida es correcta.
Para saber si una medida es la adecuada, antes de incorporarla es imprescindible establecer que la finalidad es el control de la pandemia y no otro; que es una medida necesaria, útil, proporcional, transparente y respetuosa con los derechos y libertades de los interesados. Si una medida tomada por una institución o empresa cumple con estos requisitos, el cumplimiento de la normativa de protección de datos viene rodado, ya que como ha dicho la Agencia Española de Protección Datos, en su informe N/REF: 0017/2020 “… la normativa de protección de datos personales …RGPD contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general…” Ver informe aquí (https://www.aepd.es/es/documento/2020-0017.pdf)
Es decir, el derecho a la protección de datos no ha quedado suspendido, y el reglamento es flexible, por lo tanto, los interesados no tenemos que decidir entre vida o privacidad. Son las instituciones, las empresas, y demás actores, quienes deben velar porque nuestros derechos sean ponderados adecuadamente, sin que ninguno de ellos se pierda por el miedo a una situación concreta, y particularmente, a una temporal.
Es importante recalcar que todos estamos trabajando con un mismo fin, el de mantenernos a todos sanos y libres de las peores consecuencias del virus. Por eso se debe buscar el consenso y la confianza, la participación de todos, evitando las alarmas sociales o desconfianzas en las medidas institucionales, para lo que es crucial la transparencia, el buen hacer de las entidades y las empresas, y la limitación de las acciones que se pongan en marcha. Será absolutamente necesario facilitar a los interesados la información sobre los tratamientos de datos concretos se van a realizar, qué datos se van a tratar, la finalidad, el plazo de conservación, los destinatarios de los datos, los derechos que les asisten, y sobre todo, si alguno de dichos tratamientos incluye datos sensibles, la evaluación de impacto en la protección de datos correspondiente.
En conclusión, si una entidad pretende poner una medida contra la expansión del COVID, tal como la toma de temperatura corporal, cambiar el control habitual de jornada laboral por el reconocimiento facial, la realización de triages, la realización de test COVID, el seguimiento online de posibles infectados, o cualquier otra acción, que si o si, incluya el tratamiento de datos personales, deberá primero evaluar todos los puntos que mencionamos antes, en conjunto con Delegado de Protección de Datos o su equipo de protección de datos. Porque la protección de datos es flexible, pero debe cumplirse en todo momento, dentro de los márgenes marcados por las Autoridades de Protección de Datos tanto españolas como europeas.
Jeimy Poveda
Team Leader Grupo de Trabajo ITSM4Privacidad del Comité de Estándares de itSMF España