Cada vez son más las iniciativas que van surgiendo para intentar frenar el rebrote de la Covid-19 e instaurar una cierta “normalidad” en nuestro día a día. En este sentido, algunos locales de ocio, restaurantes o teatros solicitan varios datos personales a sus usuarios con el fin de poder hacer un rastreo de asistentes y contactar con ellos en caso de confirmar un positivo entre su personal o clientela. Sin embargo, ¿debemos facilitar cualquier dato que nos requieran con el fin de frenar la pandemia? O, por el contrario, ¿estamos amparados por las normativas de protección de datos? En este post de Conversia explicamos la opinión de la Agencia Española de Protección de Datos (AEPD) referente a esta cuestión.
La recogida de datos debe estar acreditada por una ley
Según explica la AEPD, para que los negocios de ocio pudieran disponer de un registro de los clientes como medida para contención del coronavirus, previamente las autoridades sanitarias deberían acreditar que la recogida de datos es necesaria y establecerla como una medida obligatoria para todos los negocios. Además, las autoridades sanitarias tendrían que valorar en qué lugares es obligatorio realizar este registro, ya que no es igual la circulación y el contacto que puede haber dentro de una discoteca que en un museo.
En el comunicado, la Agencia recuerda que el estado de alarma ya no está vigente y que la obligatoriedad de tomar datos por parte de los establecimientos tiene que ser establecida por una norma con rango de ley.
Principios de minimización y anonimización de datos
Asimismo, la AEPD explica que en la recogida de datos debe cumplirse con el principio de minimización. En este sentido, apuntan que podría ser suficiente registrar un número de teléfono, junto a los datos del día y la hora en que se ha asistido al local, sin necesidad de solicitar ni el nombre, ni los apellidos y mucho menos la identificación mediante DNI, ya que es una medida desproporcionada.
Otro principio que debería aplicarse en el registro de datos es el de anonimización de los titulares del dispositivo, asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia. Es decir, no hace falta asociar el número de teléfono a ningún nombre.
Finalmente, la AEPD también opina que debería aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos solamente puedan ser utilizados para la finalidad de lucha contra el virus, así como el principio de limitación del plazo de conservación.
Además, la Agencia recuerda que los ciudadanos tienen el derecho de recibir una información clara, sencilla y accesible sobre el tratamiento de sus datos personales antes que estos sean recabados.