La Agencia Española de Protección de Datos (AEPD) ha observado la proliferación de diversas iniciativas públicas de recogida de datos que persiguen una reacción rápida ante posibles nuevos brotes de COVID–19. Uno de estos intentos es registrar determinados datos de los clientes que acuden a locales de ocio.
No son datos de «categorías especiales»
Es importante puntualizar que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.
Hace falta norma con rango de ley para la recogida de datos
Teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley.
Interés público en la recogida de datos
En todo caso, debe señalarse que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia. Por lo que la base jurídica sería el cumplimiento de una misión realizada en interés público.
A estos efectos, haría falta justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia.
Por otro lado, la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contacto.
Principio de minimización de datos
Además, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con:
- el número de teléfono,
- los datos del día y la hora de asistencia al lugar.
En consecuencia, no sería necesario solicitar el nombre y los apellidos. Los últimos serían innecesarios para la finalidad de avisar a los posibles contactos. Y, en todo caso, sería desproporcionada la identificación mediante el DNI.
Pueden consultar el informe completo en el siguiente enlace.
