La Agencia Española de Protección de Datos (AEPD) ha abogado este viernes por aplicar el «principio de minimización» en la recogida de datos de clientes que acuden a locales de ocio nocturno ante posibles nuevos brotes de COVID-19 y, en este sentido, ha defendido que sería «suficiente» con recopilar un número de teléfono, junto con los datos del día y la hora de asistencia al lugar.
En un comunicado, ha defendido que no sería necesario solicitar el nombre y los apellidos, ya que serían innecesarios para la finalidad de avisar a los posibles contactos, y «en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada».
Igualmente, ha subrayado que la recogida y la cesión de datos debería organizarse «de una forma que el registro permita identificar los posibles contactos» y se debería aplicar «estrictamente» el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la lucha contra el virus, «excluyendo cualquier otra, así como el principio de limitación del plazo de conservación».
Siguiendo estos criterios, ha defendido, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley.
Así, la administración autonómica debería establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria, mientras que los ciudadanos deberían recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida. «En todo caso, la información debe tratarse con las medidas de seguridad adecuadas», ha apostillado.
INVESTIGACIÓN A LA COMUNIDAD DE MADRID
LA AEDPD anunció ayer que iniciaba actuaciones de investigación a la Consejería de Sanidad de la Comunidad de Madrid para obtener información en relación con la orden publicada en el Boletín Oficial de la Comunidad de Madrid sobre el registro de determinados datos en los locales de ocio.
Frente a las pretensiones del Gobierno madrileño, la AEPD ha defendido que el criterio de minimización, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia y puede extrapolarse a esta situación con las adaptaciones pertinentes.
En esta línea, la Agencia ha recordado que para la puesta en marcha del registro de clientes como medida para la contención del coronavirus deben acreditarse varias circunstancias como la obligatoriedad por parte de las autoridades, ya que si fuera voluntaria perdería efectividad, así como que para un consentimiento libre es necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.
Esta recogida de datos no catalogados como ‘categoría especial’ en el Reglamento General de Protección de Datos (RGPD) a pesar de estar encuadrado en el control de la pandemia debería establecerse por una norma con rango de ley ante el fin del estado de alarma, según la AEPD, y en tal caso la base jurídica sería el 6.1.c del RGPD sobre el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento».
En todo caso, para un seguimiento adecuado de los mismos ha abogado con carácter preferente a l artículo 6.1.e) del RGPD sobre el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Sobre este punto, la AEPD ha defendido que debe hacerse especial incidencia «en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia». Así, se debería identificar correctamente y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas y ha señalado que las autoridades sanitarias deberían valorar «motivadamente» en qué lugares sería obligatorio identificarse.
En este sentido, ha recordado que no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos. «A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse», ha argumentado.
