Despierto hoy con dos nefastos ejemplos sobre el uso del derecho fundamental a la protección de datos en el contexto de COVID. Cuentan las noticias que una organización denominada Grupo Acción Burriana-Nules se persona en restaurantes negándose a exhibir su certificado COVID, amenazando con reclamaciones en materia de consumo y denuncias ante la Agencia Española de Protección de Datos. Y si he alcanzado a oír bien en un pueblo de Toledo circulan datos de personas positivas con el objetivo de estigmatizarlas. Una y otra conducta expresan el peor enfoque posible de este derecho.
Empecemos por la segunda. La razón por la que los datos de salud se califican como categorías especiales de datos en el Reglamento General de Protección de Datos, en realidad desde el artículo 6 del Convenio 108/1981 del Consejo de Europa, no es otro que prevenir frente a la discriminación. Ello implica de facto una prohibición de tratar o difundir estos salvo que se den circunstancias que habiliten para ello. En el momento actual, salvo en supuestos de consentimiento manifestado mediante una acción positiva y verificable, el RGPD habilita el tratamiento para fines de asistencia sanitaria y por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud.
Este marco implica una habilitación a los poderes públicos para el tratamiento de datos con fines de investigación epidemiológica (DA-XVII de la Ley Orgánica de Protección de Datos Personales), por razones de salud pública en los términos de la Ley General de Salud Pública (LSP) con preservación de la intimidad, y cabe inferir que el diseño e implementación de las medidas de control individual o colectivo que incorpora el artículo tercero de la Ley Orgánica de Medidas Especiales en Materia de Salud Pública pueda implicar el tratamiento de datos de identificación y situación sanitaria de las personas afectadas. Por otra parte, de la LSP se deduce que una persona confinada por cualquier razón cumplirá voluntariamente la medida. El control sobre la misma, que usualmente se realiza mediante llamada telefónica, corresponde a los servicios de salud pública, y a la enfermería o al personal médico por razones de estricta verificación del estado de salud.
¿Y que sucede si se contagiados o confinados incumplen con su deber de colaboración? La LSP caracteriza como agentes de la autoridad sanitaria al personal de salud pública de la Administración General del Estado y faculta a la autoridad sanitaria, en el ejercicio de sus funciones, para solicitar el auxilio y colaboración en caso de estricta y urgente necesidad y para el mejor cumplimiento de la legislación vigente, de las Fuerzas y Cuerpos de Seguridad del Estado u otros agentes de la autoridad que tengan encomendadas funciones de seguridad. La tarea policial aquí es de policía administrativa, los confinamientos obligatorios suponen una limitación de un derecho fundamental que exige autorización judicial ya se trate de una medida individual ocolectiva.
Por tanto, la legislación incluye medidas suficientes, y si en una comunidad se tiene constancia de la existencia de personas que no asumen voluntariamente su deber de colaboración confinándose nuestra obligación ciudadana no es otra que denunciar los hechos ante la autoridad de salud pública de nuestra Comunidad Autónoma.
De otro lado usar el derecho fundamental a la protección de datos contra alguien es un clásico. Históricamente los tribunales y la Agencia Española de Protección de Datos, que en algún caso ha sido reconvenida por ello, se enfrentan a denuncias que encubren otro tipo de conflictos de consumo e incluso personales. El denominado “Grupo Acción Burriana-Nules” ha dado un salto adelante en esta estrategia: invocar la protección de datos para vulnerar el Derecho.
La exhibición del pasaporte COVID es una obligación jurídica que se adopta por las autoridades de salud pública con fundamento en las citadas leyes de salud pública y de Medidas Especiales. No solo exige regular la medida es necesario comparecer ante el Tribunal Superior de Justicia que valida la medida previo control de la propuesta de la Comunidad Autónoma. Este control no es meramente formal, usualmente se exige a la autoridad sanitaria que acredite documental y científicamente el estado de situación de la pandemia a fin de verificar la idoneidad y proporcionalidad de la medida. A los restauradores se les pide exclusivamente una actividad de verificación. Es decir, una simple comprobación de un requisito de acceso del tipo “exhibe certificado COVID si/no”. No crean tratamientos, -bases de datos-, no guardan la relación de comensales. Únicamente les resulta exigible un deber de delicadeza y discreción.
Cuando se amenaza a una PYME con la Agencia Española de Protección de Datos se recorre el camino de la mala protección de datos. Históricamente este argumento se usó para chantajear a las empresas y obligarlas a contratar asesoramiento, en ocasiones usando fraudulentamente fondos de formación públicos. También se usó como estrategia para causar un daño u obtener ventajas económicas. No es casual que la antigua LOPD fuera reformada previendo, bajo ciertas circunstancias favorables, una sanción consistente en no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable. Tampoco lo es que la AEPD suela aplicar un criterio de extrema prudencia en este tipo de casos.
Cuando el Grupo Acción Burriana-Nules “amenaza con protección de datos” lanza un mensaje al restaurador: voy a tratar de que te impongan una multa que te cierre el negocio“. Esta es una conducta intolerable e inadmisible no sólo por su impropiedad. Afecta al tejido productivo con la finalidad de doblegar su voluntad y por tanto con la intención de generar situaciones de riesgo que afecten a la salud pública colectiva. Finalmente, desprestigian el derecho fundamental a la protección de datos. Dice el RGPD que «tratamiento de datos personales debe estar concebido para servir a la humanidad», y esa es exactamente la finalidad que persigue la exhibición del certificado.
- Ricard Martínez Martínez es director de la Cátedra de Privacidad y Transformación Digital Microsoft-Universitat de Valencia