La crisis de COVID-19 ha puesto al frente del debate el difícil equilibrio entre los derechos de privacidad del individuo y las restricciones de salud y seguridad. Esta crisis constituye una primera y seria prueba para el RGPD y las autoridades supervisoras de la UE, ya que algunas de las medidas adoptadas para contener la propagación de la COVID-19 por parte de las autoridades gubernamentales, y en cierta medida de las organizaciones, han suscitado serias preocupaciones sobre el cumplimiento de dichas medidas con los requisitos de protección de datos.  

En efecto, las personas han estado expuestas a nuevas actividades de procesamiento, como la reunión de datos sobre la salud o datos de geolocalización, el uso de nuevas soluciones tecnológicas (por ejemplo, herramientas de rastreo de contactos) y los cambios en su entorno de trabajo (es decir, el trabajo desde el hogar). Por lo tanto, esta crisis sanitaria sin precedentes debería llevarnos a evaluar si estas circunstancias excepcionales han obstaculizado realmente los derechos de las personas.  

Una de las respuestas a esta pregunta procede de la Junta Europea de Protección de Datos (EDPB), que en su declaración del 19 de marzo de 2020, dio una respuesta clara al recordar que "incluso en estos tiempos excepcionales", el RGPD sigue siendo aplicable y que "el controlador y el encargado del tratamiento de los datos deben garantizar la protección de los datos personales" de las personas.  

Si bien es difícil confirmar si la declaración de la EDPB fue seguida de una práctica  

y de manera efectiva, podemos definir una tendencia explorando algunos de los derechos de los individuos que han sido expuestos a algunas restricciones relacionadas con COVID-19.  

Artículo completo

COVID-19: ¿se han visto afectados los derechos de privacidad de los individuos?

Uno de los principios más fundamentales que se derivan del RGPD, más aún en el contexto de la pandemia de la COVID-19, es la aplicación de medidas de seguridad adecuadas, como recordó el EDPB en su declaración del 19 de marzo de 2020.   

Sin embargo, la pandemia no ha disuadido de los ciberataques, incluso contra organizaciones que estaban en primera línea en la lucha contra la COVID-19. Por ejemplo, el 22 de marzo de 2020, la AP-HP (Assistance Publique-Hôpitaux de Paris), la red de hospitales de París, ha sufrido una denegación de servicio (DDoS)). Incluso la Organización Mundial de la Salud (OMS) informó de que los piratas informáticos han tratado de utilizar su nombre para intentar extorsionar la información personal de los individuos, en particular mediante el envío de correos electrónicos fraudulentos y mensajes de WhatsApp. En abril de 2020, el sitio web de la seguridad social italiana sufrió una avería informática debido a un ciberataque.  

Además, el creciente uso de soluciones de TI y comunicación desmaterializadas por parte de las organizaciones, como la videoconferencia, ha aumentado el riesgo de ciberataques, especialmente los ataques de phishing.  

Esos riesgos y ataques cibernéticos han llevado a las autoridades a reaccionar. En lo que respecta a la aplicación del teletrabajo, las autoridades de supervisión han publicado orientaciones específicas para los empleadores a fin de garantizar la seguridad de los datos. La Autoridad de Supervisión Francesa (CNIL), recomendó que, con el fin de asegurar el sistema de información, los empleadores deberían, en particular, elaborar una carta de seguridad para el teletrabajo y comunicarla a los empleados, aplicar medidas de seguridad adecuadas (cortafuegos, programas antivirus) en los puestos de trabajo de los empleados y establecer medidas de autenticación.  

Más concretamente, en lo que respecta a la aplicación de las herramientas de videoconferencia, la Autoridad de Supervisión del Reino Unido (ICO) ha declarado que deben comprobarse los parámetros de privacidad y seguridad de las herramientas de videoconferencia y que todos los programas informáticos deben mantenerse actualizados. La Autoridad de Supervisión de Irlanda (DPC) ha publicado una declaración sobre consejos relativos a la videoconferencia para las personas y organizaciones que llaman a las organizaciones a fin de reducir al mínimo los riesgos para la protección de los datos.

Sobre la base de lo que antecede, aunque los ciberataques se han propagado durante esta pandemia, no ha habido ningún indicio de que esos ataques en esas circunstancias excepcionales deban considerarse inevitables y ser tolerados por las autoridades de supervisión. Por el contrario, las Autoridades Supervisoras han subrayado la necesidad de aumentar la conciencia sobre el riesgo cibernético y mejorar las medidas de seguridad durante este período de crisis sanitaria.  

La aplicación de medidas específicas de salud pública puede requerir la reunión de datos sanitarios, como controles de temperatura, pruebas serológicas, cuestionarios sanitarios, lo que lleva a las autoridades de supervisión a formular recomendaciones para garantizar la protección de los derechos de las personas. En lo que respecta a los controles de temperatura, la CNIL ha publicado una publicación en la que recuerda que la temperatura corporal de una persona constituye una categoría especial de datos que justifica una protección específica, y que se prohíbe a los empleadores establecer herramientas de registro automático de la temperatura y crear archivos con los datos de temperatura de sus empleados. 

En una página web específica dedicada a las pruebas en el contexto de la pandemia, la OIC subrayó que el principio de transparencia es muy importante y que "un empleador debe ser claro, abierto y honesto con los empleados desde el principio acerca de cómo y por qué" se lleva a cabo el tratamiento. La Autoridad de Supervisión Italiana declaró que, aunque se puedan realizar las comprobaciones de la temperatura corporal de los empleados, no se deben registrar.  

Una vez más, las Autoridades de Supervisión han advertido a todas las organizaciones que la lucha contra la difusión de COVID-19 no justificaría la recopilación desproporcionada de datos personales, en particular de categorías especiales de datos. 

Varios gobiernos de la Unión Europea han implantado el estado de emergencia para limitar los derechos de las personas, como la limitación de los movimientos, las reuniones públicas o incluso el ejercicio de sus derechos de privacidad. Teniendo en cuenta el riesgo de que algunos Estados miembros de la UE pudieran abusar de la situación, el EDPB tuvo que reaccionar.  

A ese respecto, el 2 de junio de 2020, el EDPB aprobó una declaración sobre las restricciones de los derechos de los interesados en relación con el estado de excepción en los Estados miembros. Esa declaración se produjo después de que el Gobierno de Hungría aprobara un decreto en el que se disponía, entre otras cosas, que "todas las medidas a raíz de la solicitud del interesado de que se ejerzan los derechos basados en el RGPD se suspendan hasta el final del estado de peligro". En su declaración, la EDPB recordó los principios relacionados con las restricciones de los derechos de las personas, permitidas por el artículo 23 del RGPD.  

En particular, subrayó que la mera existencia de una pandemia u otra situación de emergencia no era razón suficiente para prever una restricción de los derechos de las personas. Además, la EDPB subrayó que el estado de emergencia, adoptado en el contexto de una pandemia, es una condición jurídica que puede legitimar las restricciones de los derechos de los interesados, siempre que dichas restricciones se apliquen únicamente si son estrictamente necesarias y proporcionadas para salvaguardar el objetivo de salud pública. Por último, la EDPB declaró que "si las restricciones contribuyen a salvaguardar la salud pública en un estado de emergencia, la EDPB considera que las restricciones deben seguir estando estrictamente limitadas en su alcance (por ejemplo, en cuanto a los derechos de los interesados o las categorías de controladores afectados) y en el tiempo". 

Esta afirmación de la EDPB revela cierto grado de ambigüedad, ya que reconoce la posibilidad de aplicar restricciones a los derechos de las personas en la medida en que dichas restricciones sean limitadas en su alcance y en el tiempo. Podemos lamentar que la EDPB no haya proporcionado más orientación sobre esas condiciones.  

A fin de garantizar el cumplimiento de todos los principios de protección de datos, las autoridades de supervisión también han publicado orientaciones para los creadores de aplicaciones de rastreo de contactos.  

La EDPB, en sus directrices 04/2020 sobre la utilización de datos de localización y herramientas de rastreo de contactos, ha recordado la importancia de reducir al mínimo los datos, la protección de datos por diseño y los principios por defecto. Los elaboradores deberían velar por que se procese una cantidad mínima de datos a los efectos del procesamiento.  

Además, en estas directrices, la EDPB publicó un anexo en el que formuló recomendaciones prácticas para los desarrolladores de aplicaciones de rastreo de contactos en relación, en particular, con consideraciones funcionales, propiedades técnicas o seguridad. Cabe subrayar que entre estas recomendaciones, es aconsejable aplicar "las técnicas criptográficas más avanzadas".

En cuanto a las personas, la publicación de la EDPB subraya que las aplicaciones de rastreo de contactos deberían basarse en datos personales seudónimos y el uso de las aplicaciones debería ser voluntario.  

De conformidad con las directrices de interoperabilidad para las aplicaciones móviles de rastreo de contactos aprobadas en la Unión Europea, publicadas por la Comisión Europea el 13 de mayo de 2020, la EDPB completó sus directrices 04/2020, con una declaración publicada el 16 de junio de 2020, sobre las repercusiones en materia de protección de datos de la interoperabilidad de las aplicaciones de rastreo de contactos. 

Se trata de otro ejemplo de medidas de salud pública que podrían haber tenido graves repercusiones en los derechos de las personas, pero las autoridades de supervisión, una vez más, prestaron mucha atención a esta cuestión recordando a las organizaciones sus obligaciones y estableciendo límites y condiciones a esas actividades de tratamiento. Parece que la EDPB necesitaba insistir en su última declaración en que los individuos deben mantener siempre el control de sus datos. 

Conclusión

En conclusión, la primera lección aprendida de esta crisis excepcional es que la falta de cooperación entre las autoridades supervisoras en cuestiones de protección de datos derivadas de la pandemia de COVID-19 podría haber creado aún más incertidumbre para las personas y las organizaciones. Sin embargo, la situación ha mejorado progresivamente y hemos observado una mayor coherencia entre las Autoridades de Supervisión y el EDPB en sus diversas directrices y declaraciones. 

Por último, el mensaje clave de la EDPB y las Autoridades de Supervisión fue que los derechos de las personas deben respetarse en todo momento, incluso en el contexto de una crisis sanitaria excepcional. Tal vez sea un poco pronto para evaluar si en la práctica los derechos de las personas no se han visto obstaculizados en algunos Estados miembros de la Unión Europea. Es posible que tengamos una respuesta definitiva en un futuro próximo, en caso de que se presente una denuncia ante las autoridades de supervisión.