Con la llegada del verano hemos visto que la exigencia de Test Covid negativo a clientes se ha convertido en una practica habitual en hoteles e incluso en restaurantes.
El Reglamento general de protección de datos (en adelante RGPD) establece la prohibición de tratamiento de categorías especiales de datos, entre ellos los datos relativos a la salud (art.9.1 RGPD). Los datos relativos al resultado de las pruebas de diagnóstico para detección y control de la COVID-19 son considerados datos de salud y, por tanto, categorías especiales de datos.
¿Cuándo pueden tratarse lícitamente datos de salud?
Para que el tratamiento de datos de salud sea lícito, además de basarse en una causa de legitimación (art.6.1 RGPD), también debe concurrir alguna de las excepciones que levantarían dicha prohibición de tratamiento de categorías especiales de datos (art.9.2 RGPD).
Con vista en el considerando 46 del RGPD, la Agencia de Protección de Datos (en adelante AEPD) señala en su informe 017/2020 que como base jurídica para un tratamiento lícito de datos personales, destinado a proteger el interés esencial para la vida de la persona “[…] incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano […]”, el RGPD reconoce explícitamente la misión realizada en interés público (art. 6.1.e RGPD) o intereses vitales del interesado u otras personas físicas (art. 6.1.d RGPD). Y que, en este contexto de detección y control de la COVID-19, las circunstancias que alzarían la prohibición de tratamiento de datos relativos a la salud serían:
-
en las relaciones ente empleador y empleado, por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (el empleador) o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (art.6.1.c y art.9.2.b RGPD).
-
tratamiento necesario por razones de un interés público esencial, que debe ser proporcional al objetivo perseguido; y el tratamiento necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud. Todo ello sobre la base del Derecho de la Unión o de los Estados miembros y el establecimiento de medidas adecuadas y específicas para proteger los derechos y libertades del interesado (art.9.2.g y art. 9.2.h RGPD).
-
tratamiento necesario para realizar un diagnóstico médico, o evaluación de la capacidad laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social (art.9.2.h RGPD).
-
tratamiento necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento (art.9.2.c RGPD).
¿Es lícito que los alojamientos turísticos y restaurantes soliciten al cliente prueba de COVID-19?
De acuerdo a lo indicado en los párrafos anteriores podríamos entender que, si tratamos los datos de los clientes relativos a sus pruebas de COVID-19 con fines de garantizar la seguridad de los mismos en nuestras instalaciones y servicios y con ello prevenir la propagación de los contagios por COVID-19, tendríamos como bases jurídicas del tratamiento el interés público esencial, el interés público en el ámbito de la salud pública y el interés vital del propio interesado, y sí podríamos lícitamente solicitar las pruebas de diagnóstico de COVID-19 de nuestros clientes.
Sin embargo, este planteamiento no es el correcto, ya que tenemos que observar los restantes principios de protección de datos establecidos en el RGPD, en especial el principio de minimización de los datos, por el cual sólo serán tratados los datos adecuados, pertinentes y limitados a lo estrictamente necesario en relación con los fines (art.5.1.c RGPD), para lo que se debe realizar un juicio de proporcionalidad o ponderación.
El juicio de proporcionalidad nos obliga a preguntarnos: ¿para los fines de seguridad, prevención y control de la propagación de contagios por COVID-19 en nuestras instalaciones es estrictamente necesario el tratamiento de datos relativos a la salud de los clientes o potenciales clientes? ¿podríamos alcanzar estos fines a través de una vía menos invasiva a la privacidad de nuestros clientes?
En el ya mencionado juicio de proporcionalidad tenemos que valorar los siguiente:
-
si la medida es susceptible de conseguir el fin propuesto (idoneidad);
-
si la medida es necesaria para alcanzar el fin, ya que no existe otra menos gravosa o invasiva para la privacidad en este caso y que consiga el fin con la misma eficacia (necesidad);
-
y si esta medida conlleve más beneficios que perjuicios o riesgos para los derechos y libertades en conflicto (proporcionalidad en sentido estricto).
Planteadas estas cuestiones, podemos deducir que se podrían aplicar medidas menos invasivas para la privacidad que alcanzarían con la misma eficacia el fin de garantizar la seguridad de las personas, evitando todo lo posible el riesgo de contagios por COVID-19. Estas medidas alternativas, a diferencia de la exigencia de pruebas de diagnóstico negativas para acceso a las instalaciones, no comprometerían los derechos y libertades de los interesados.
Algunas de estas medidas, que no implican el tratamiento de datos personales como se recoge en los arts. 12 y 13 de la Ley 2/2021, de 29 de marzo, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, son:
-
los titulares de hoteles, alojamientos turísticos y alojamientos similares, y titulares de bares, restaurantes y demás establecimientos de hostelería y restauración, deben cumplir con las normas de aforo, desinfección, prevención y acondicionamiento determinadas por las administraciones competentes.
-
que se adopten las medidas organizativas oportunas para evitar aglomeraciones y garantizar que clientes y trabajadores mantengan una distancia de seguridad interpersonal mínima de 1,5 metros;
-
y si no fuese posible mantener dicha distancia de seguridad, se observarán las medidas de higiene adecuadas para prevenir los riesgos de contagio.
-
Además de aplicar todas estas medidas de aforos, desinfección, distancia o uso obligatorio de mascarillas, para garantizar la seguridad de las personas y evitar contagios por COVID-19, puede informarse de que si la persona presenta sintomatología compatible con la COVID-19 o ha estado en contacto estrecho con una persona que haya dado positivo, no acuda a las instalaciones y/o cancele su reserva con antelación sin ningún tipo de perjuicio.
Por todo ello, la exigencia de pruebas de diagnóstico negativas para acceso a las instalaciones por hoteles y restaurantes podría considerarse excesiva en tanto existen medidas alternativas para prevenir contagios que resultas menos invasivas a la privacidad, y que permiten obtener los mismos resultados de prevención de la propagación de contagios por COVID-19.
Daniel Piña
Asesor Juridico RGPD