Desde que comenzamos la desescalada a la actual “nueva normalidad”, son numerosas las iniciativas surgidas con el objeto de frenar la pandemia. En este sentido, la Agencia Española de Protección de Datos se ha ido pronunciando en lo que a la protección de datos personales se refiere. Lo más reciente, ha sido su posicionamiento hacia las numerosas iniciativas que están surgiendo por parte de establecimientos y locales de ocio de diferentes comunidades autónomas. Estos, estarían llevando a cabo acciones centradas en la recogida de datos de clientes con el fin de poder actuar rápidamente ante nuevos brotes.  

 

Posicionamiento de la AEPD ante la recogida de datos personales por parte de locales de ocio

 

Sin llegar a desmerecer la iniciativa, la AEPD se ha amparado en el estricto cumplimiento del RGPD, considerando necesario advertir sobre cómo debe realizarse la recogida de datos personales de los clientes. En este sentido, ha concretado que los datos recopilados, a pesar de estar relacionados con el control de la Covid-19 y, por ende, su tratamiento tiene como objeto identificar a posibles infectados, no podrían catalogarse como “categorías especiales” por el Reglamento General de Protección de Datos.

 

Principales puntos del comunicado de la AEPD

Para poner en marcha el registro de clientes que acuden a locales de ocio, tratándose de una medida para la contención del coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Adicionalmente, si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.

Teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el 6.1.c) (“el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”).

Deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.

La recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera).

Debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar.

No sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.

Debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus.

Los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria.

Los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales.

¿Tienes un local o cualquier negocio y te surgen dudas sobre cómo cumplir con el Reglamento General de Protección de Datos? A continuación, te dejamos nuestro contracto para que puedas formularnos cualquier duda al respecto. Somos especialistas en el tratamiento de datos personales en empresas y organizaciones. Estaremos encantados de poder ayudarte.

 

*Puedes leer el comunicado completo de la AEPD a continuación:

Comunicado sobre la recogida de datos personales por parte de los establecimientos.

Comparte este post en tus redes sociales:
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin