En la Comunidad de Madrid, como ejemplo, se ha establecido que los locales comerciales (como por ejemplo restaurantes), podrán pedir a sus clientes datos personales, como el nombre, apellidos, DNI y teléfono/email, para tratar de formentar una reacción rápida ante los nuevos brotes del COVID-19.
La Agencia Española de Protección de Datos (AEPD) ha tomado una postura al respecto:
-Los datos personales que se pretenden recopilar no son considerados datos de categoría especial, como establece el art. 9 RGPD (entre otros, datos de salud).
-Es necesario que sea un requisito obligatorio que impongan las autoridades sanitarias y que si el cliente no quiere proporcionarlo, no sufra consecuencias negativas.
-Para hacer un seguimiento adecuado de la evolución de los contagios, estos datos deben ser cedidos a la autoridades sanitarias, hecho fundamentado en el interés público.
-La recogida y cesión de datos debe realizarse de forma que su registro identifique los posibles contactos (identificar las personas que coincidieran con los infectados el mismo día, hora, lugar, etc). No vale con contactar con todas las personas que pudieron estar en el establecimiento, porque entonces, se estaría realizando un tratamiento excesivo, con el riesgo de producir colapso sanitario.
-Es necesario cumplir con el principio de minimización y anonimización, bastando solo con solicitar el número de teléfono y el día y hora de asistencia al lugar del titular del teléfono (el titular no se debe identificar), no teniendo que pedir otros datos como nombre y apellidos.
-Sólo deben utilizar los datos para controlar los contagios del virus, no pudiendo ser utilizados con otros fines, como pueden ser comerciales.
-Por supuesto antes de recoger esos datos, debe informarse a los clientes de forma clara, sencilla y accesible sobre el tratamiento de estos datos, como los van a proteger, etc.
1122
Perdonad si ayer faltamos a la cita diaria con nuestras noticias pero un rayo (probablemente) fue la causa del incendio de dos tanques de la refinería que tenemos al lado de casa y que nos rememoró el que vivimos incluso más cerca hace 17 años y en el que hubo 8 muertos
Afortunadamente esta vez no ha habido desgracias personales.
En estos casos, el tratamiento consistente en la recogida de los datos personales de los interesados en acceder a estas instalaciones por parte de los trabajadores y/o sistemas de la empresa, se fundamenta en el cumplimiento de una obligación legal impuesta a las empresas en una norma con rango de ley, por lo que será obligatorio facilitar los datos personales, pudiendo prohibirse la entrada ya que de otra forma, la medida perdería efectividad
Gracias ¿pero alguna referencia donde apoyar el cambio de la redacción?
Existen referencias en el art. 6.1.c) del RGPD (“el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”) y en el art. 8.1 de la LOPDGDD («El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley»)
Ayer volví de Roma y allí en los restaurantes piden nombre y teléfono.
Pues haber preguntado a mi hijo Txema alias C1b3rs0n
(el abogado experto en temas de LOGPD, RGPD, etc) 😉