Sujetos implicados en el tratamiento de datos de salud en supuestos excepcionales de emergencia sanitaria
| Autor | Juan Francisco Rodríguez Ayuso |
| Cargo del Autor | Profesor Ayudante Doctor. Coordinador Académico del Máster Universitario en Protección de Datos. Universidad Internacional de La Rioja (UNIR) |
| Páginas | 111-159 |
— 111 —
Capítulo Segundo
Sujetos implicados
en el tratamiento de datos de salud
en supuestos excepcionales
de emergencia sanitaria
Sumario. I. El papel de los prestadores de servicios, públicos y privados, como encargados del
tratamiento: 1. Diligencia en la elección: sólo los más aptos. 2. Contenido contrac-
tual: cuestión de mínimos.- II. La necesidad y conveniencia del Data Protection Officer
ante la crisis del coronavirus: 1. Nombramiento de la figura atendiendo a la natu-
raleza del sujeto responsable y a la sensibilidad del dato: 1.1. Tratamiento de datos
personales llevado a cabo por autoridades u organismos públicos, a excepción de los
tribunales que actúen en ejercicio de su función judicial. 1.2. Tratamiento llevado
a cabo por responsables y encargados del tratamiento cuyas actividades principales
consistan en operaciones de tratamiento que, atendiendo a su naturaleza, alcance o
fines, exijan de una observación habitual y sistemática de interesados a gran escala.
1.3. Tratamiento llevado a cabo por responsables y encargados del tratamiento cu-
yas actividades principales consistan en operaciones de tratamiento a gran escala de
categorías especiales de datos personales o de datos personales relativos a condenas
e infracciones penales. 2. Posición dentro de la organización: imparcialidad como
elemento esencial. 3. Cometidos en términos de numerus apertus, reforzados en tiem-
pos de emergencia sanitaria.- III. Administraciones Públicas y empleadores privados
como responsables y encargados del tratamiento: tratamientos de personal no identi-
ficado y supuestos específicos relacionados con el COVID-19: 1. Prevención y control
sin necesidad de identificación: ¿obligación o diligencia?, ¿reacción o accountability?:
1.1. Principio de licitud, lealtad y transparencia. 1.2. Principio de minimización de
datos y de limitación del plazo de conservación. 1.3. Principio de integridad y con-
fidencialidad. 1.4. Principio de responsabilidad proactiva. 2. Geolocalización de las
personas infectadas o en riesgo de infección. 3. Tomas de temperatura en estableci-
mientos abiertos al público.
I. EL PAPEL DE LOS PRESTADORES DE SERVICIOS, PÚBLICOS Y
PRIVADOS, COMO ENCARGADOS DEL TRATAMIENTO
Como ya tuvimos ocasión de ver, el RGPD aborda la definición del encargado del
tratamiento en su artículo 4.8), que dispone, literalmente, que, por tal, se habrá de
J F R A
— 112 —
entender «la persona física o jurídica, autoridad pública, servicio u otro organismo
que trate datos personales por cuenta del responsable del tratamiento». Como pode-
mos advertir, esta definición consta de tres aspectos esenciales, que pasamos a descri-
bir brevemente:
a) un componente subjetivo, pretendidamente amplio, que comprende tanto a
los sujetos de derecho con personalidad jurídica propia, como a entidades u
organismos que carecen de esta condición, sean de naturaleza pública o de
naturaleza privada;
b) un componente objetivo, que alude al tratamiento de datos personales pro-
piamente dicho, en los términos del artículo 4.2) RGPD, y
c) un componente extra, que delinea la figura del encargado del tratamiento y
aporta un matiz que la distingue de otros sujetos que se hacen constar tam-
bién en la normativa sobre protección de datos, como es el hecho de que el
tratamiento de los datos personales lo realice por cuenta del responsable del
tratamiento.
Así las cosas, mientras que el responsable del tratamiento se caracteriza por su
capacidad de decisión en la concreción de los fines y los medios del tratamiento de los
datos personales del interesado (en este caso, afectados y/o potencialmente afectados
por la pandemia del COVID-19), el encargado del tratamiento se distingue por ha-
llarse sujeto, precisamente, a las instrucciones marcadas por este responsable del tra-
tamiento. Esta subordinación, que no encuentra su razón de ser en una dependencia
jerárquica, como sucede entre empresarios y trabajadores, sí lo hace en una especie
de delegación de funciones que se realiza en favor de una organización externa a la
del responsable del tratamiento, jurídicamente distinta, que realizará el tratamiento
de los datos personales en nombre y por cuenta del responsable del tratamiento que,
con carácter previo, solicita la prestación de sus servicios144.
Como podemos observar, la definición aportada por el RGPD del encargado del
tratamiento no concreta, en ningún caso, el nivel que debería comportar esta dele-
gación. De este modo, en la práctica, podría desembocar, bien en el desarrollo de
una actividad muy específica, bien en el de una actuación mucho más amplia o ge-
nérica, en la que el encargado del tratamiento podría, incluso, llegar a condicionar
la prestación del servicio a sus propios criterios técnicos u organizativos. Dentro de
esta amplitud en la delegación podríamos citar, por ejemplo, la aplicación informá-
tica de carácter público que, sobre la base del consentimiento explícito del titular
de los datos personales, permitirá autoevaluarle, con base en los síntomas médicos
que comunique, de la probabilidad de que esté infectado por el COVID-19, ofrecer-
le información al respecto y proporcionarle consejos prácticos y recomendaciones a
seguir según la evaluación, además de posibilitarle la geolocalización para verificar
que se encuentra donde declara estar, cuyo desarrollo corresponderá, casi en exclu-
siva a la Secretaría General de Administración Digital en su condición de encarga-
da del tratamiento y de la que el responsable del tratamiento será el Ministerio de
Sanidad.
144 ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of “contro-
ller” and “processor”, 00264/10/EN WP 169, adopted on 16 February 2010.
Privacidad y Coronavirus: aspectos esenciales
— 113 —
1. Diligencia en la elección: sólo los más aptos
De cuanto precede, podemos advertir, en primer lugar, que todo tratamiento de
datos personales exige la presencia necesaria de un responsable del tratamiento, del
que, en su caso, se hará depender la concurrencia, o no, de uno o varios encarga-
dos del tratamiento145. Estos encargados del tratamiento, una vez celebrados los co-
rrespondientes contratos con el responsable del tratamiento, tendrán la facultad de
prestar servicios muy diversos, como puede ser la elaboración de nóminas por parte
de un asesor laboral para los trabajadores del responsable del tratamiento, la gestión
de una comunidad de propietarios por el administrador de fincas, el alojamiento del
sitio web por un prestador de servicios de la sociedad de la información o, en lo que
aquí interesa, como acabamos de citar, el desarrollo de una aplicación para poder
autoevaluar a los ciudadanos y ofrecerles información sobre el coronavirus o, incluso,
el control de acceso o la toma de temperatura por parte de empresas de seguridad
contratadas por los empleadores.
Además de la anterior, una segunda conclusión que podríamos inferir es la impo-
sibilidad de que la determinación de las finalidades y de los medios del tratamiento
que corresponde al responsable el tratamiento pueda delegarse en el encargado del
tratamiento. Nada más lejos de la realidad. Encargar el tratamiento siempre estará
sujeto a las instrucciones (sobre la base de las finalidades y medios previamente esta-
blecidos) marcadas por el responsable del tratamiento, siendo esta la diferencia más
importante que distingue a ambas figuras. Es por ello por lo que, en la relación entre
el responsable del tratamiento y el encargado del tratamiento, no es posible hablar
de comunicación, transmisión o cesión de datos, ya que tan sólo una de las dos partes
cuenta con el estatus de responsable del tratamiento; en otras palabras, estamos ante
una ficción jurídica en la que no hay, en términos propios de la normativa aplicable,
una cesión propiamente dicha, toda vez que los datos permanecen en la esfera de
control del responsable del tratamiento (hospital, público o privado; empleador, en-
tre otros), pese a que, puntualmente, sean gestionados por un tercero designado por
aquel146.
Evidentemente, la ficción jurídica descrita desaparece en aquellos casos en los
que el encargado del tratamiento se separa de las directrices marcadas por el respon-
sable del tratamiento y establece, por sí mismo y con la extensión que sea, los fines
y los medios de tratamiento. Esta cuestión está contemplada en los artículos 28.10
RGPD y 33.2.2º LOPDGDD, que disponen que, cuando esto suceda, el encargado del
tratamiento tendrá la consideración de responsable del tratamiento en relación a di-
cho tratamiento, es decir, en relación a aquella parte en la que se exceda, con todas
las consecuencias, ciertamente relevantes, que de ello se desprende en materia de
responsabilidad.
145 NÚÑEZ GARCÍA, J. L., “El encargado del tratamiento”, en PIÑAR MAÑAS, J. L. (Dir.), Reglamento
general de protección de datos: hacia un nuevo modelo europeo de privacidad, Madrid, Ed. Reus, 2016, p. 322.
146 Ya desde la normativa anterior, PIÑAR MAÑAS, J. L., “Novedades en relación con la figura del en-
cargado del tratamiento”, en ZABÍA DE LA MATA, J. (Coord.), Protección de datos: comentarios al Reglamento,
Valladolid, Ed. Lex Nova, 2008, p. 219.
Para continuar leyendo
Solicita tu prueba