Computer-3 Noticias TIC

Expertos en transformación digital y personal desde 1985

¿Has diseñado ya tu protocolo de actuación?

Los establecimientos que recojan datos personales para prevenir el COVID-19 tienen que cumplir con la normativa de protección de datos

Ante el repunte de brotes de coronavirus por toda la geografía española, los locales de ocio nocturno, bares, restaurantes y otro tipo de establecimientos para evitar un nuevo cierre, que conllevaría su ruina, tratan de implementar todo tipo de medidas no solo preventivas sino también de rastreo de afectados, en caso de que se produzca un contagio múltiple dentro de los establecimientos, siguiendo las recomendaciones facilitadas por el gobierno. Éstas últimas conllevan la recogida de datos personales, entre ellos el número de teléfono y el DNI, a la entrada de sus establecimientos.

Existe confusión sobre hasta qué punto es legal la recogida de estos datos personales a la entrada de los establecimientos, teniendo en cuenta que, para ello, se debe cumplir la normativa de protección de datos aplicable (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -en adelante RGPD- y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -en adelante LOPDGDD), de lo contrario podrían enfrentarse a sanciones.

En un intento por aclarar cómo debe realizarse la recogida y el tratamiento de datos personales en los establecimientos, la AEPD ha publicado una nota de prensa el pasado 31 de julio.

En ella, la Agencia nos puntualiza que: los datos personales que se recogen “aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”. Además, nos da los puntos clave para poder hacer el rastreo de contagios en los establecimientos:

  • Como actualmente ya no estamos en un estado de alarma, “La obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley”, siendo la base jurídica el cumplimiento de una obligación legal.
  • La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria.
  • Hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD (“el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”)”.
  • Debe cumplirse el principio de minimización de datos por lo que, llegaría con recoger el número de teléfono, junto con los datos del día y la hora de asistencia al lugar.
  • Es de gran importante garantizar la anonimización de los titulares de los dispositivos, por lo que, solicitar el nombre y los apellidos, sería innecesario para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.
  • Debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación”.
  • Por último, la AEPD recalca que antes de que se haga la recogida de datos de personas que acceden a un establecimiento, éstas deben ser informadas de forma clara, sencilla y accesible sobre el tratamiento que se va a hacer de sus datos y de las medidas de seguridad que se van a establecer para protegerlos.

Este tipo de medidas han llegado para quedarse y comienzan a expandirse a todo tipo de locales. Por ello es muy importante recordar a todas las empresas que traten datos personales que deben hacerlo de forma legal, ajustándose a la normativa actual que exige la Agencia Española de Protección de Datos (AEPD), de lo contrario podrían enfrentarse a sanciones.

FUENTEComunicado sobre la recogida de datos personales por parte de los establecimientos | AEPD

¿Tienes dudas a a cerca de la elaboración de tus protocolos? No dudes en enviar tu consulta pulsando AQUÍ

 

DotnetKicksDe
DotNetShoutout

Agregar comentario

Loading