Transcurridos varios meses de la declaración del estado de pandemia por el nuevo coronavirus SARS-CoV-2 (COVID-19), la «nueva normalidad» surgida de esta situación ha obligado al conjunto de la sociedad a adoptar medidas preventivas en el transcurso de su actividad diaria. Un claro ejemplo son las acciones de desinfección y los protocolos de distanciamiento social (como la regulación de aforo; horarios…).
Toda esta nueva cotidianeidad ha tenido su repercusión en el ámbito económico. Negocios y establecimientos de todo tipo han debido adaptarse a los nuevos criterios sanitarios. De este modo, no sólo se han separado zonas de consumo o se han multiplicado los turnos de limpieza, sino que se ha empezado a controlar el acceso en muchos edificios y locales (áreas cerradas).
El motivo de este control no es otro que garantizar que la entrada de una persona en un determinado lugar; ya sea un aeropuerto, un comercio o la sede de una empresa, se haga en unas condiciones de salud pública adecuadas. Unas condiciones que van, desde intentar controlar que una persona no presente síntomas de padecer Covid-19 (toma de temperatura), a tener una vía de contacto con los asistentes a un lugar en caso de que se registre un brote en un determinado período.
REGISTRO DE DATOS PERSONALES DE CLIENTES
Según establece el artículo 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“RGPD”), las empresas que lleven a cabo una actividad que entrañe un riesgo para derechos y libertades de los interesados deben contar con un registro de actividades de tratamiento.
La Agencia Española de Protección de Datos («AEPD») considera que el registro de datos personales de clientes por prevención de Covid-19, aunque aluda a la salud pública, no implica que tengan la consideración de datos de “categoría especial” (aunque siguen siendo personales). No obstante, habrá que atender al caso concreto. Véase el artículo que publicamos en relación a la toma de temperatura, según sean comercios o centros de trabajo.
Por tanto, los negocios que traten datos personales en el desempeño de su actividad deben estar al día en las exigencias legales en materia de protección de datos. Y deben tener los datos de sus clientes debidamente recogidos y protegidos. Pero, en el caso de un «registro de clientes» que incluya datos relativos a la Covid-19, no existe habilitación legal general al respecto, por lo que serán los propios clientes los que deban dar su consentimiento a la recogida de sus datos.
QUÉ DATOS RECOGER Y CÓMO TRATARLOS
Las Administraciones públicas; en concreto, las autonómicas, han tratado de regular el registro de pasajeros y de acceso a determinados locales.
Por ejemplo, el registro de viajeros establecido por la Consellería de Sanidade de la Xunta de Galicia de zonas con alta incidencia epidemiológica por Covid-19. O la Orden 920/2020, de 28 de julio, de la Consejería de Sanidad de la Comunidad de Madrid, que establece la obligación de llevar un registro de clientes para locales de ocio, tales como salones de banquetes, discotecas y establecimientos de ocio nocturno.
De hecho, en la Orden de la Comunidad de Madrid, la idea era solicitar, en la entrada de dichos establecimientos, el nombre, apellidos y DNI, además de otros datos de contacto. No obstante, la AEPD considera que la exigencia de estos datos es excesiva y desproporcionada, y que es suficiente con un número de teléfono y la hora de concurrencia de esa persona al local.
La recogida de estos datos debe ser para generar una base que sólo podrá utilizarse para la lucha contra el virus, y no con ninguna otra finalidad. En todo caso, los datos recogidos por un establecimiento podrán ser cedidos a la Administración sanitaria con base al interés público, pero atendiendo al principio de minimización y seguridad de los datos (y a lo que dicte cada autonomía, en su caso).
*******************************************
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
