Tot i trobar-nos encara en situació d'estat d'alarma, el passat 28 d'abril el Consell de Ministres va aprovar el Pla per a la transició jurídica cap a una nova normalitat, el qual preveu el retorn progressiu a totes les activitats que van quedar suspeses en data 14 de març.
Així de mica en mica, s'han pogut tornar a obrir botigues que no fossin de queviures, veiem les terrasses de bars i restaurants plenes, els hotels comencen a allotjar hostes, les escoles es reobren per alguns serveis, i així un llarg etcètera d'activitats. I és en aquest punt on els empresaris que d'una banda han d'obrir els seus centres de treball i d'altra banda han d'acollir els seus clients, es pregunten quines dades de salut es poden demanar? Està clar que s'han d'implantar mesures que permetin reobrir amb total seguretat, tant pels treballadors com pels clients però aquestes mesures no haurien de menystenir els drets a la protecció de dades personals, a la intimitat i a la no discriminació tant dels seus treballadors com dels seus clients.
Cal tenir molt present que el dret a la Protecció de Dades deriva de l'article 18.4 de la Constitució Espanyola, havent-ho així declarat el Tribunal Constitucional en la seva Sentència 292/2000, de manera que no queda suspès per l'estat d'alarma. Així mateix, el Reglament UE 2016/679 del Parlament Europeu i del Consell relatiu a la protecció de les dades de caràcter personal, prohibeix expressament el tractament de dades personals que revelin dades relatives a la salut, preveient només algunes excepcions; així com impera el principi de minimització de dades, és a dir, que les dades siguin adequades, pertinents i limitades a allò necessari en relació amb les finalitats per les quals són recollides. Per tant, cal tenir clara quina és la finalitat de la recollida i recollir només aquelles dades que siguin estrictament necessàries per complir amb la finalitat.
I quina pot ser la finalitat perseguida? Saber qui té símptomes de COVID-19 o qui ha passat o ha estat en contacte amb el virus, per tal de protegir els treballadors i clients? Saber qui forma part d'un grup vulnerable per adoptar mesures de protecció superior?
Als anteriors efectes, hem de tenir present que les Ordres del Ministeri de Sanitat aprovades fins a dia d'avui que desenvolupen les activitats permeses durant les Fases I (SND/399/2020, de 9 de maig) i II (SND 414/2020, de 16 de maig) preveuen que les persones que formen part de grups vulnerables també podran fer ús de les habilitacions previstes en aquesta ordre, sempre que la seva condició clínica estigui controlada i ho permeti, i mantenint rigoroses mesures de protecció; i en contraposició no permet desenvolupar aquestes activitats a les persones que presentin símptomes o estiguin en aïllament domiciliari degut a un diagnòstic de COVID-19, o que es trobin en període de quarantena domiciliària per haver tingut contacte estret amb alguna persona amb símptomes o diagnosticada de COVID-19.
Així mateix, també cal tenir en compte que és obligació de l'empresari garantir la seguretat i salut del seus treballadors. Per tant, el tractament de dades de salut dels treballadors, queda emparat en aquesta obligació de l'empresari. Si un treballador forma part d'un grup vulnerable, l'empresari ha de saber-ho per adaptar el lloc de treball a aquestes circumstàncies; i així mateix, l'empresari també ha de saber si un treballador està contagiat o ha d'estar aïllat, per tal de garantir la salut a la resta de treballadors.
El dubte, per tant, apareix quan es vol fer tractament de dades de clients. Respecte a les dades personals que es puguin recollir per saber si un client pot estar contagiat o ho ha estat o ha tingut contacte amb el virus, dins els límits que preveu la normativa corresponent, estarà permès ja que el tractament de dades és necessari per raons d'interès públic en l'àmbit de la salut pública. Ara bé, considerem que en aquests moments no es trobaria emparat per la normativa de protecció de dades preguntar als clients si formen part d'un grup de risc; i encara que tan sols es fes per dotar-los d'una major protecció, no pas per excloure'ls del gaudi del servei. El motiu que ens porta a l'anterior conclusió és que el tractament de les dades no pot basar-se en el consentiment explícit de l'interessat, ja que ens trobaríem davant un consentiment viciat (només s'estaria informant per poder gaudir del servei) i tampoc queda emparat per cap de les altres habilitacions que preveu el Reglament UE General de Protecció de Dades, des del moment que en les Ordres del Ministeri de Sanitat que regulen les fases de la desescalada no regulen mesures de protecció superiors per a les persones que formin part de grups vulnerables.
