MENÚ
MALDITA TECNOLOGÍA

¿Estoy obligado a dar mis datos en lugares de ocio por COVID-19? Puede ser legal siempre y cuando sólo los traten autoridades sanitarias y haya una norma para ello

Publicado viernes, 12 febrero 2021
Comparte
Categorías
Datos personales
Recursos utilizados
Expertos
Fuentes oficiales (comunicados, bases de datos, BOE)

La reapertura de bares y restaurantes en Castilla-La Mancha va acompañada de una novedad: será necesario presentar un código QR en cada establecimiento para facilitar las labores de rastreo de las autoridades sanitarias. El código se gestiona a través de una aplicación y, según ha subrayado el Gobierno regional, ningún tipo de información privada quedará en manos de los negocios.

"El código QR que recibes está cifrado, por lo que el local no tendrá información tuya. Estos datos únicamente los utilizará la autoridad sanitaria de Castila-La Mancha en caso de detectarse un caso Covid-19, para rastrear los posibles contactos y comunicarse con ellos", explica la consejería de Sanidad en la web de la aplicación.

Sin embargo, ya hemos visto otros ejemplos de cómo guardar un registro de clientes. El pasado verano, por ejemplo, se obligó a los locales de ocio nocturno a registrar el nombre, número de teléfono y/o de DNI de los clientes para poder contactarlos con rapidez en caso de que se registre un positivo en el establecimiento en varias regiones.

Nos estáis preguntando si las empresas privadas tienen potestad para recoger esos datos. Abogados especializados coinciden en que no hay una respuesta de sí o no, pero que las empresas privadas no tienen legitimación para actuar escudándose en el “interés público”. Tendrían que ser las autoridades sanitarias quienes manejan los datos y cuanto menos se den, mejor. Además, tiene que haber una habilitación normativa que permita a los locales hacer esa recogida. Os lo explicamos.

Pedir mínimo de datos al entrar a un local sí podría ser proporcional, pero con normativa acorde

Muchas personas se están preguntando si no se hace un tratamiento de sus datos personales al entrar en una discoteca de esta manera. La respuesta es afirmativa, al igual que se pueden tratar datos como el número de teléfono o el nombre para apuntarse en una lista de asistencia a uno de estos locales. Sin embargo, casi todo depende de quién controla los datos que damos y para qué objetivo se usan.

En este caso, se hace en el contexto de una pandemia donde se pueden aplicar ciertas concesiones en materia de protección de datos si y sólo si quien maneja esos datos es una autoridad sanitaria. Es decir, que podría estar justificado que recojan ciertos datos, como un número de teléfono o incluso tu identificación, pero no para que los trate cualquier empresa privada (en este caso los locales de ocio y las terrazas).

Además harían falta normas previas: “Esa medida necesitaría que estuviera regulada en una norma para que fuera exigible, y esto es así porque para poder recoger esos datos se necesita una base de legitimación de las que contempla la ley, y no encajaría en ninguna de las que tiene la normativa de protección de datos actualmente”, explica Verónica Alarcón, abogada especializada en protección de datos en e-Privacidad.

La finalidad del uso de los datos tiene que estar definida

En el caso de apuntarte a las listas de un local, es la propia discoteca la que tramita tu asistencia usando los datos que tú has proporcionado. Con ello, te están diciendo cuál es la finalidad que van a cumplir: dejarte entrar a un precio u otro, por ejemplo. 

En este caso, la finalidad es otra: ayudar a combatir una pandemia que afecta a nuestra salud, y ese papel no puede desempeñarlo la empresa, sino una autoridad sanitaria competente, como el Ministerio de Sanidad, escudándose en preservar el “interés público”, una de las bases legitimadoras incluidas en el Reglamento General de Protección de Datos.

“Si lo que se pretende es que para entrar en un local sea obligatorio facilitar esos datos para usarlos para combatir la pandemia actual, hay que preguntarse si eso es una medida proporcional o no”, explica Alarcón. Es decir: ¿va a ayudar realmente a gestionar la crisis sanitaria causada por COVID-19? Responder a esa pregunta es el primer paso.

¿Por qué no puede aplicar esta medida una discoteca y ya está? Rahul Uttamchandani, abogado especializado en tecnología y privacidad en Legal Army responde: “¿Para perpetuar la seguridad de tu negocio tienes que llevar a cabo ese tratamiento de datos? Probablemente no, sino que lo procedente es tomar las medidas de seguridad adecuadas, limitar el aforo, garantizar las medidas de higiene, etc.”. El resto compete a Sanidad.

Si te obligan a dar los datos para entrar, no es un consentimiento libre

El Boletín Oficial de la Comunidad de Madrid publicó el pasado 29 de julio que los establecimientos tendrán que llevar un registro de fecha, hora y nombre y apellidos y número de teléfono de las personas que pasan por él (un mínimo de datos) y que solo podrán almacenarlos durante 28 días. La empresa no puede hacer nada con ellos más que derivarlos a Sanidad si son requeridos y deben avisarte que para eso los piden.

Ahora bien, en la resolución también dice que esos datos se recogerán gracias al “consentimiento del interesado”, pero condicionan la entrada al local a ello.

Que una empresa que gestiona un local de ocio nocturno diga que se basa en el “consentimiento” de la persona para recabar esos datos (es decir, que trata mis datos porque yo se los estoy dando voluntariamente) no sirve si no te van a dejar entrar si decides que no quieres darlos

Nos explicamos: si el consentimiento que damos a que se traten nuestros datos no es “libre”, entonces no es válido. “En este caso lo que están haciendo es someter el acceso al local a la condición de que se preste el consentimiento. Eso invalida automáticamente el consentimiento: si yo no consiento, no entro”, explica Uttamchandani.

“En un espacio privado los titulares se pueden reservar el derecho de admisión y pueden supeditar esa admisión al cumplimiento de los requisitos que quieran. Si quisieran funcionar solo con una app en la que todo el mundo tuviera que estar registrado para poder acceder, podrían pero habría que justificar por qué esa app, por qué esa recopilación de datos, cuál es la finalidad pretendida, a quién se dan los datos”, continúa este abogado.

Con él coincide Alarcón: “La normativa de protección de datos obliga a informar, en el momento de la recogida de los datos (como por ejemplo en su política de privacidad) los destinatarios de la información, por lo que sí, es obligatorio que se especifique que se pasarán esos datos a Sanidad así como la finalidad de ese tratamiento”.

Primera fecha de publicación: 29/07/2020.


Primera fecha de publicación de este artículo: 29/07/2020

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.