Puedo tratar mis datos personales de salud sin pedirme el Consentimiento? La respuesta es sí. El Reglamento General de Protección de Datos (RGPD) permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública y en el cumplimiento de obligaciones legales en el ámbito laboral derivado de estas situaciones, así un recoge un informe de la Agencia Española de Protección de Datos (AEPD) publicado recientemente, en el que analiza el tratamiento de los datos personales en relación a la situación creada por Covidien-19. Según la AEPD, la protección de datos no se debería utilizar para impedir o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.
Solo en situaciones excepcionales
Hay que decir que en todo momento el RDPG está hablando de situaciones excepcionales de interés público (art. 6.1.e), epidemias y su propagación, o intereses vitales de la misma persona o de otros (art. 6.1.d), todo ello sin perjuicio de que pueda haber otras bases como el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.
Excepciones
Debemos recordar que los datos de salud figuran entre las más sensibles y protegidas y se integran dentro del grupo de catgories especiales de datos, por lo que se prohíbe el tratamiento excepto en lo que contempla la misma normativa. Las excepciones que permiten saltarse esta trptecció las encontramos en el artículo 9.2 del Reglamento:
a) El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales: corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar a la su actividad profesional a causa de sus actos y omisiones en el trabajo. Esto supone que el personal deberá informar a su cabeza en caso de sospecha de contacto con el virus, con el fin de proteger, además de la propia salud, la de los otros trabajadores del centro de trabajo y para que se puedan adoptar las medidas oportunas .
b) El interés público en el ámbito de la salud pública (art. 9.2.e), que en este caso se configura como interés público esencial (art. 9.2.g).
c) Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
d) Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas; cuando el interesado no esté capacitado para prestar su consentimiento. (Art. 9.2.c).
Medidas Especiales en Materia de Salud Pública
Por otra parte, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto Ley 6/2020, de 10 de marzo) y en la Ley 33/2011 General de Salud Pública . La primera de estas normas señala que «para controlar las enfermedades transmisibles, la autoridad sanitaria, además de llevar a cabo las acciones preventivas generales, puede adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con estos y del entorno inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible «.
En materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias y otros similares, la normativa aplicable ha otorgado a las autoridades sanitarias de las diferentes administraciones públicas las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad.
Desde un punto de vista de tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las diferentes autoridades sanitarias de las distintas administraciones públicas, las cuales podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria.
Así, serán las autoridades sanitarias de las diferentes administraciones las que deben adoptar las decisiones necesarias, y los diferentes responsables de los tratamientos de datos personales deberán seguir estas instrucciones, incluso cuando ello comporte el tratamiento de datos personales de salud.
Asimismo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empresarios podrán tratar, de acuerdo con esta normativa y con las garantías que estas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y / o centros de trabajo.
Por último, el informe destaca que los datos personales, aunque sea en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y la Ley Orgánica 3/2018 de Protección de datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios.
Entre estos principios está el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos.
Sobre esto último, se hace una referencia expresa a que los datos tratados deberán ser exclusivamente las limitadas a los usos necesarios para la finalidad pretendida, sin que se pueda extender este tratamiento a otros datos personales que no sean estrictamente necesarios para esta finalidad.