La revelación de la identidad de personas contagiadas por coronavirus

En algunos municipios, los más pequeños, cuando ha trascendido un posible caso de contagio por coronavirus en la población, los vecinos han pedido al Alcalde, a través de las redes sociales, la identidad de la persona afectada.

En relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del COVID-19, la Agencia Española de Protección de Datos ha emitido el informe 17/2020, del pasado 12 de marzo. Y en cuanto a la posibilidad de que por parte de la Alcaldía se comunique a la población la identidad de las personas que en este municipio han podido ser diagnosticadas de coronavirus, debe tenerse en cuenta la parte de este informe que indica que la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada.

En efecto, tras el Real Decreto 463/2020 no se ha suspendido el derecho a la protección de datos. Ahora bien, como también advierte el Informe, la propia normativa de protección de datos personales (Reglamento General de Protección de Datos) contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general.

Lo anterior hace referencia, expresamente, a la posibilidad de tratar los datos personales de salud de determinadas personas físicas por los responsables de tratamiento de datos personales, cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que una persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).

Es decir, son los responsables de tratamientos de datos personales de la salud y las autoridades sanitarias competentes, los que han de modular la aplicación de la protección de datos a esta situación de emergencia sanitaria, respecto de los ficheros que hayan creado sobre estos datos, cumpliendo para ello con los requisitos y garantías establecidos en la Legislación sobre protección de datos.

Y, de conformidad con el RGPD, solo cabe considerar responsable de tratamiento a aquella empresa, organismo o individuo que trate datos de carácter personal bajo su nombre, es decir, que decida llevar a cabo un tratamiento de datos de carácter personal, recogidos en un fichero del que es titular y tomando decisiones sustanciales sobre cómo tratar los datos y los objetivos que se persiguen con el mismo. El responsable es quien determina cuáles son los fines y medios del tratamiento, es decir, para qué se recogen y tratan los datos personales. Según lo anterior, es el responsable del tratamiento quien tendrá que aplicar las medidas técnicas y organizativas apropiadas, con el fin de que solo sean objeto de tratamiento los datos personales que estrictamente sean necesarios para lograr el fin específico del tratamiento o recogida de datos.

En el caso suscitado, los Ayuntamientos  no son el responsable del tratamiento de ficheros sobre los datos de la salud ni es autoridad sanitaria respecto de dichos responsables.

En consecuencia con lo anterior, los Alcaldes no están en disposición de decidir sobre el tratamiento de los datos de enfermos de coronavirus en su población, ni, por tanto, de dar ninguna información, transmisión o difusión al respecto.