La AEPD recuerda a los locales de ocio los límites en la recogida de datos personales

 

La AEPD ha considerado necesario advertir sobre cómo debe ser la recogida de datos de los clientes por parte de los establecimientos de ocio cuando ponen en marcha iniciativas destinada a contener el coronavirus. A este respecto, ha puntualizado que los datos que se recopilan, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en GDPR, la normativa europaea de protección de datos, como ‘categorías especiales’.

En un comunicado explica que, para poner en marcha el registro de clientes, si se trata de una medida para la contención del coronavirus, estos establecimientos deben acreditar su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Además si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.

Teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería que “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

En todo caso, la AEPD señala que hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del reglamento, que dice que “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.

Para el organismo, es necesario hacer un especial hincapié en justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por eso, deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas. “No es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos”, matiza. A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.

Por otro lado, la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etc.).

Adicionalmente, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes.

En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.

Por otro lado, debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación.

En conclusión, de acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria.

Por su parte, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas.