Poden tractar les meves dades personals de salut sense demanar-me’n el consentiment? La resposta és sí. El Reglament General de Protecció de Dades (RGPD) permet el tractament de dades personals de salut sense consentiment de l’interessat en situacions d’interès públic en l’àmbit de la salut pública i en el compliment d’obligacions legals en l’àmbit laboral derivat d’aquestes situacions, així un recull un informe de l’Agència Espanyola de Protecció de Dades (AEPD) publicat recentment, en el qual analitza el tractament de les dades personals en relació a la situació creada pel Covid-19. Segons l’AEPD, la protecció de dades no s’hauria d’utilitzar per obstaculitzar o limitar l’efectivitat de les mesures que adoptin les autoritats, especialment les sanitàries, en la lluita contra la pandèmia.
Cal dir que en tot moment el RDPG està parlant de situacions excepcionals d’interès públic (art. 6.1.e), epidèmies i la seva propagació, o interesos vitals de la mateixa persona o d’altres (art. 6.1.d), tot això sense prejudici que pugui haver altres bases com el compliment d’una obligació legal (per a l’ocupador en la prevenció de riscos laborals del seu personal). Aquestes bases jurídiques permeten el tractament de dades sense consentiment dels afectats.
Hem de recordar que les dades de salut figuren entre les més sensibles i protegides i s’integren dins del grup de catgories especials de dades, de manera que se’n prohibeix el tractament excepte en allò que contempla la mateixa normativa. Les excepcions que permeten saltar-se aquesta trptecció les trobem a l’article 9.2 del Reglament:
a) El compliment d’obligacions en l’àmbit del Dret laboral i de la seguretat i protecció social (art. 9.2.b). L’informe recorda l’obligació d’ocupadors i del seu personal en matèria de prevenció de riscos laborals: correspon a cada treballador vetllar per la seva pròpia seguretat i salut en el treball i per la d’aquelles persones a les quals pugui afectar la seva activitat professional a causa dels seus actes i omissions en el treball. Això suposa que el personal haurà d’informar al seu cap en cas de sospita de contacte amb el virus, per tal de protegir, a més de la pròpia salut, la dels altres treballadors del centre de treball i perquè es puguin adoptar les mesures oportunes.
b) L’interès públic en l’àmbit de la salut pública (art. 9.2.i), que en aquest cas es configura com a interès públic essencial (art. 9.2.g).
c) Quan sigui necessari per a la realització d’un diagnòstic mèdic (art. 9.2.h).
d) Quan el tractament és necessari per protegir interessos vitals de l’interessat o d’altres persones; quan l’interessat no estigui capacitat per prestar el seu consentiment. (Art. 9.2.c).
D’altra banda, l’informe fa referència a la Llei Orgànica 3/1986 de Mesures Especials en Matèria de Salut Pública (modificada mitjançant Reial decret llei 6/2020, de 10 de març) i a la Llei 33/2011 General de Salut Pública. La primera d’aquestes normes assenyala que “per tal de controlar les malalties transmissibles, l’autoritat sanitària, a més de portar a terme les accions preventives generals, pot adoptar les mesures oportunes per al control dels malalts, de les persones que estiguin o hagin estat en contacte amb aquests i de l’entorn immediat, així com les que es considerin necessàries en cas de risc de caràcter transmissible “.
En matèria de risc de transmissió de malalties, epidèmia, crisis sanitàries i d’altres similars, la normativa aplicable ha atorgat a les autoritats sanitàries de les diferents administracions públiques les competències per adoptar les mesures necessàries previstes per la llei quan així ho exigeixin raons sanitàries d’urgència o necessitat. Des d’un punt de vista de tractament de dades personals, la protecció dels interessos vitals de les persones físiques correspon en l’àmbit de la salut a les diferents autoritats sanitàries de les diverses administracions públiques, les quals podran adoptar les mesures necessàries per salvaguardar a les persones en situacions d’emergència sanitària.
Així, seran les autoritats sanitàries de les diferents administracions les que han d’adoptar les decisions necessàries, i els diferents responsables dels tractaments de dades personals hauran de seguir aquestes instruccions, fins i tot quan això comporti el tractament de dades personals de salut.
Així mateix, i en aplicació del que estableix la normativa de treball i de prevenció de riscos laborals, els empresaris podran tractar, d’acord amb aquesta normativa i amb les garanties que aquestes normes estableixen, les dades necessàries per a garantir la salut de tot el seu personal, i evitar contagis en el si de l’empresa i/o centres de treball.
Per acabar, l’informe destaca que les dades personals, encara que sigui en aquestes situacions d’emergència sanitària, han de seguir essent tractades de conformitat amb la normativa de protecció de dades personals (RGPD i la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals), ja que aquestes normes han previst aquesta eventualitat, de manera que li són d’aplicació els seus principis. entre aquests principis hi ha el de tractar les dades personals amb licitud, lleialtat i transparència, limitació de la finalitat (en aquest cas, salvaguardar els interessos de les persones davant aquesta situació de pandèmia), principi d’exactitud, i el principi de minimització de dades. Sobre això últim, es fa una referència expressa al fet que les dades tractades hauran de ser exclusivament les limitades als usos necessaris per a la finalitat pretesa, sense que es pugui estendre aquest tractament a d’altres dades personals que no siguin estrictament necessaris per a aquesta finalitat.