Recogida de Datos en Tiempos de COVID -19

La Agencia Española de Protección de Datos se ha pronunciado el pasado 31 de julio de 2020 sobre la recogida de datos personales que están efectuando los locales de ocio de distintas Comunidades Autónomas para poder controlar la propagación del Covid-19.

En este Comunicado, la Agencia explica qué requisitos han de cumplirse en la recogida de dichos datos para que ésta sea conforme con el Reglamento General de Protección de Datos.

En primer lugar, la Agencia aclara que los datos recogidos por estos locales no pertenecen a una de las categorías especiales de datos que recoge el artículo 9 del Reglamento, a pesar de que estos datos estén dirigidos a identificar a una persona física concreta (mediante la recogida de datos en su DNI). Al no estar incluidos en estas categorías especiales, en principio su recogida y posterior tratamiento no estaría prohibida, aunque sí sujeta a los límites que establecen otros preceptos del Reglamento.

Como requisitos principales, la Agencia establece la obligación de acreditar la necesidad por parte de las autoridades sanitarias de recoger estos datos para controlar la propagación del Covid-19 y la obligatoriedad de dar estos datos, es decir, que no se pidan de manera voluntaria, pues en ese caso la medida perdería efectividad.

Por otra parte, además del cumplimiento de estos requisitos, el Reglamento de Protección de Datos exige que la recogida y tratamiento de los datos respondan a una finalidad concreta de las previstas en el propio Reglamento. La Agencia entiende que podrían concurrir las siguientes finalidades:

• El consentimiento del interesado, en cuyo caso la Agencia matiza que dicho consentimiento debe ser libre, es decir, que no se puede derivar ninguna consecuencia negativa para el cliente si no da esos datos. Esta finalidad no parece cumplirse en el caso analizado ya que, si el cliente no da su DNI, no puede acceder al establecimiento.
• El tratamiento obedece al cumplimiento de una norma legal, en cuyo caso debe tratarse de una norma con rango de ley. No obstante, no se ha dictado hasta la fecha ninguna norma con rango de ley que respalde esta actuación de los establecimientos de ocio.
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público.

De las finalidades anteriores, la Agencia da preferencia a la tercera, entendiendo por tanto que la recogida de estos datos obedece a una misión realizada en interés público. No obstante, la Agencia exige que se justifique en cada caso que no hay otras medidas más moderadas para lograr el propósito perseguido con esta medida. Y, en línea con lo anterior, y en virtud de un principio de minoración, la Agencia indica que podría bastar con la recogida de un número de teléfono, junto con los datos del día y hora de la asistencia al local, para cumplir con la citada finalidad.

Por todo lo anterior, la Agencia Española de Protección de Datos concluye que no sería necesario la identificación con DNI, como se viene haciendo en la práctica, por ser desproporcionada con la finalidad perseguida.