👉 HAZTE MALDITO. HAZTE MALDITA. Únete y apóyanos en nuestra batalla contra la mentira. Hazte [email protected]
Maldita Tecnología
29/07/2020

¿Estoy obligado a dar mis datos en lugares de ocio por COVID-19? Puede ser legal siempre y cuando sólo los traten autoridades sanitarias y haya una norma para ello

En comunidades como Madrid o Castilla-La Mancha se obligará a  los locales de ocio nocturno a registrar el nombre, número de teléfono y/o de DNI de los clientes para poder contactarlos con rapidez en caso de que se registre un positivo en el establecimiento. En Madrid la normativa ya se ha aprobado, mientras que en Castilla- La Mancha sólo se ha anunciado

Nos estáis preguntando si las empresas privadas tienen potestad para recoger esos datos. Abogados especializados coinciden en que no hay una respuesta de sí o no, pero que las empresas privadas no tienen legitimación para actuar escudándose en el “interés público”. Tendrían que ser las autoridades sanitarias quienes manejan los datos y cuanto menos se den, mejor. Además, tiene que haber una habilitación normativa que permita a los locales hacer esa recogida. Os lo explicamos.

Pedir mínimo de datos al entrar a un local sí podría ser proporcional, pero con normativa acorde

Muchas personas se están preguntando si no se hace un tratamiento de sus datos personales al entrar en una discoteca de esta manera. La respuesta es afirmativa, al igual que se pueden tratar datos como el número de teléfono o el nombre para apuntarse en una lista de asistencia a uno de estos locales. Sin embargo, casi todo depende de quién controla los datos que damos y para qué objetivo se usan.

En este caso, se hace en el contexto de una pandemia donde se pueden aplicar ciertas concesiones en materia de protección de datos si y sólo si quien maneja esos datos es una autoridad sanitaria. Es decir, que podría estar justificado que recojan ciertos datos, como un número de teléfono o incluso tu identificación, pero no para que los trate cualquier empresa privada (en este caso los locales de ocio y las terrazas).

Además harían falta normas previas: “Esa medida necesitaría que estuviera regulada en una norma para que fuera exigible, y esto es así porque para poder recoger esos datos se necesita una base de legitimación de las que contempla la ley, y no encajaría en ninguna de las que tiene la normativa de protección de datos actualmente”, explica Verónica Alarcón, abogada especializada en protección de datos en e-Privacidad.

La finalidad del uso de los datos tiene que estar definida

En el caso de apuntarte a las listas de un local, es la propia discoteca la que tramita tu asistencia usando los datos que tú has proporcionado. Con ello, te están diciendo cuál es la finalidad que van a cumplir: dejarte entrar a un precio u otro, por ejemplo. 

En este caso, la finalidad es otra: ayudar a combatir una pandemia que afecta a nuestra salud, y ese papel no puede desempeñarlo la empresa, sino una autoridad sanitaria competente, como el Ministerio de Sanidad, escudándose en preservar el “interés público”, una de las bases legitimadoras incluidas en el Reglamento General de Protección de Datos.

“Si lo que se pretende es que para entrar en un local sea obligatorio facilitar esos datos para usarlos para combatir la pandemia actual, hay que preguntarse si eso es una medida proporcional o no”, explica Alarcón. Es decir: ¿va a ayudar realmente a gestionar la crisis sanitaria causada por COVID-19? Responder a esa pregunta es el primer paso.

¿Por qué no puede aplicar esta medida una discoteca y ya está? Rahul Uttamchandani, abogado especializado en tecnología y privacidad en Legal Army responde: “¿Para perpetuar la seguridad de tu negocio tienes que llevar a cabo ese tratamiento de datos? Probablemente no, sino que lo procedente es tomar las medidas de seguridad adecuadas, limitar el aforo, garantizar las medidas de higiene, etc.”. El resto compete a Sanidad.

Si te obligan a dar los datos para entrar, no es un consentimiento libre

El Boletín Oficial de la Comunidad de Madrid ha publicado este 29 de julio que los establecimientos tendrán que llevar un registro de fecha, hora y nombre y apellidos y número de teléfono de las personas que pasan por él (un mínimo de datos) y que solo podrán almacenarlos durante 28 días. La empresa no puede hacer nada con ellos más que derivarlos a Sanidad si son requeridos y deben avisarte que para eso los piden.

Ahora bien, en la resolución también dice que esos datos se recogerán gracias al “consentimiento del interesado”, pero condicionan la entrada al local a ello.

Que una empresa que gestiona un local de ocio nocturno diga que se basa en el “consentimiento” de la persona para recabar esos datos (es decir, que trata mis datos porque yo se los estoy dando voluntariamente) no sirve si no te van a dejar entrar si decides que no quieres darlos

Nos explicamos: si el consentimiento que damos a que se traten nuestros datos no es “libre”, entonces no es válido. “En este caso lo que están haciendo es someter el acceso al local a la condición de que se preste el consentimiento. Eso invalida automáticamente el consentimiento: si yo no consiento, no entro”, explica Uttamchandani.

“En un espacio privado los titulares se pueden reservar el derecho de admisión y pueden supeditar esa admisión al cumplimiento de los requisitos que quieran. Si quisieran funcionar solo con una app en la que todo el mundo tuviera que estar registrado para poder acceder, podrían pero habría que justificar por qué esa app, por qué esa recopilación de datos, cuál es la finalidad pretendida, a quién se dan los datos”, continúa este abogado.

Con él coincide Alarcón: “La normativa de protección de datos obliga a informar, en el momento de la recogida de los datos (como por ejemplo en su política de privacidad) los destinatarios de la información, por lo que sí, es obligatorio que se especifique que se pasarán esos datos a Sanidad así como la finalidad de ese tratamiento”.

Primera fecha de publicación: 29/07/2020.

Otros artículos de Maldita.es