COVID-19 Y PROTECCIÓN DE DATOS: CUESTIONES Y SOLUCIONES PRÁCTICAS

8 mayo, 2020 por Govertis Blog 0 comentarios

COVID-19 Y PROTECCIÓN DE DATOS: CUESTIONES Y SOLUCIONES PRÁCTICAS

*Nota: Los artículos del Blog reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

1. INTRODUCCIÓN

Con ocasión del COVID 19 se han planteado múltiples preguntas en relación con los roces que se producen entre el derecho a la protección de datos y el derecho a la salud. El último de ellos se refiere en relación con los controles de temperatura y se acentúa a medida que se pone en marcha el proceso de desescalada.

La Agencia Española de Protección de Datos (AEPD) se refirió, por primera vez a esta cuestión en sus FAQs (en relación con la toma de temperatura de los empleados) y recientemente ha publicado un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos para determinar quién puede acceder a los mismos, así como hace mención en el último documento publicado a fecha de la emisión del presente, “El uso de las tecnologías en la lucha contra el Covid19. Un análisis de costes y beneficios.”

El objetivo de estos sistemas es controlar el acceso a instalaciones para evitar posibles contagios de COVID-19, en tanto que la temperatura es indiciaria de haber contraído la enfermedad y, por tanto, del riesgo de contagio.

El problema de raíz nace del hecho de que la temperatura asociada a un sujeto identificable constituye un dato de salud, de acuerdo con la interpretación amplia que hace la normativa, por lo que es objeto de especial protección.

La legitimación para realizar este tratamiento parte, entre otros, del Considerando (46) del RGPD, que reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado u otra persona física: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

No obstante, tal y como manifiesta la AEPD, son varias las cuestiones a considerar antes de adoptar este sistema de control, las cuales desmenuzamos a continuación.

2. SISTEMAS DE CONTROL DE TEMPERATURA CORPORAL

2.1 CÁMARAS TERMOGRÁFICAS SIN RECONOCIMIENTO FACIAL

Nota. – Tipos de dispositivos, de Ares Seguridad, S.L.

TRATAMIENTO DE DATOS * (*) Conceptualmente, se efectúa un tratamiento de datos de carácter personal, porque se está llevando a cabo una operación técnica de captación de la temperatura corporal, con la que se desvela el estado de salud física en tiempo presente. Esto se asemeja a la captación de imágenes por sistema de cámaras de vigilancia en tiempo real, sobre el que la Agencia Española de Protección de Datos y bajo la anterior legislación española, nos decía que, en caso de realizarse una grabación no se generaba fichero de datos personales, si bien, esto no excluía de la obligación de informar acerca del tratamiento de los datos (imágenes) mediante el cartel de ‘zona videovigilada’. Es por esto que, este control de temperatura, como se expondrá a continuación, también deberá ser informado. Además, en el caso de que la persona supere el umbral de temperatura y sea un trabajador/a, esto comporta una afectación a los deberes de ámbito laboral, de modo que se efectuará, necesariamente, un tratamiento de datos por parte del Servicio de Prevención de Riesgos Laborales y Vigilancia de la Salud de la entidad, así como RR.HH. al tener que dejar constancia de la no presencia en el puesto de trabajo y las medidas de prevención o vigilancia que han de prescribirse al caso.

SISTEMA MENOS INTRUSIVO Y CON MENOR COSTE

2.2 CÁMARAS TERMOGRÁFICAS CON RECONOCIMIENTO FACIAL

Nota. – Tipos de dispositivos, de Ares Seguridad, S.L.

TRATAMIENTO DE DATOS DE SALUD (= TEMPERATURA CORPORAL) Y BIOMÉTRICOS (= RECONOCIMIENTO FACIAL); ASÍ COMO, PUEDE ESTAR CONFIGURADO TAMBIÉN COMO SISTEMA DE CONTROL DE PRESENCIA O CONTROL HORARIO (= REGISTRO DE JORNADA LABORAL)

Nota: en caso de vincular el control de temperatura a dispositivos de uso de huella, recordar que, según la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado, “el fichaje con huella dactilar será sustituido por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.
SISTEMA MÁS INVASIVO Y CON MAYOR COSTE

3. CUESTIONES Y SOLUCIONES

3.1 ¿ES LÍCITA LA ADOPCIÓN DE UN SISTEMA DE CONTROL DE TEMPERATURA EN EL ENTORNO LABORAL?

Sí, pero con atención a una serie de requisitos.

Al respecto de la licitud para adoptar este sistema o medida de control de acceso en el entorno laboral, ha sido la Agencia Española de Protección de Datos (AEPD), quien ha manifestado en las FAQ,s sobre el COVID-19, que el empresario o empleador “podrá tomar la temperatura a los trabajadores, como medida relacionada con la vigilancia de su salud en materia de Prevención de Riesgos Laborales”. Esto puede entenderse en tanto que, de acuerdo con un informe de la Organización Mundial de la Salud (OMS), el signo más frecuente en los pacientes COVID-19 es la fiebre.

Según el ultimo comunicado de la AEPD, nos dice que «En algunos entornos, como el de la normativa de prevención de riesgos laborales, la toma de la temperatura podría ser de utilidad dentro del marco de un tratamiento más extenso del que formen parte otras comprobaciones y garantías adicionales que, en todo caso, respeten los derechos y libertades establecidos en el RGPD».

No obstante, el sistema de control de temperatura deberá atender a una serie de requisitos, que garanticen, en este caso, la protección de datos o privacidad de la persona.

3.2 ¿CUÁL SERÍA LA BASE JURÍDICA DE LEGITIMACIÓN?

De acuerdo con la AEPD, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo [= artículo 6.1.c) RGPD].

Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento [= artículo 9.2.b) y h) RGPD].

No obstante, añade la AEPD que: “requeriría la determinación previa que haga la autoridad sanitaria competente (…) de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados”, por lo que “estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas”.

En este sentido, el “Procedimiento de actuación para los servicios de prevencion de riesgos laborales frente a la exposición al SARSCOV-2”, elaborado por el Ministerio de Sanidad, recomienda a los servicios de Prevención de Riesgos Laborales (PRL) lo siguiente:

“Dado que el contacto con el virus puede afectar a entornos sanitarios y no sanitarios, corresponde a las empresas evaluar el riesgo de exposición en que se pueden encontrar las personas trabajadoras en cada una de las tareas diferenciadas que realizan y seguir las recomendaciones que sobre el particular emita el servicio de prevención, siguiendo las pautas y recomendaciones formuladas por las autoridades sanitarias”.

Por tanto, mientras no haya una pauta o recomendación expresa sobre el control de temperatura, por parte del Ministerio de Sanidad, la decisión de adoptar tal medida recae en la empresa o empleador, a través de su servicio de PRL.

3.3 EN CASO DE ADOPTAR EL CONTROL DE TEMPERATURA, ¿CUÁLES SON LOS REQUISITOS EXIGIDOS POR LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS?

La AEPD manifiesta que la adopción de este control debe reunir unas “garantías adecuadas”. En concreto, señala la sujeción a los principios en protección de datos y la cualificación del personal destinado a realizar el control:

Principio limitación de la finalidad. – Los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Estos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica”
Principio de exactitud. – Los equipos de medición deben ser homologados y adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes”. En este sentido, añade que “el personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso”
Principio del plazo de conservación. – Es importante establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados.
En principio, y dadas las finalidades del tratamiento, este registro y conservación NO debieran producirse, SALVO QUE pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.
Personal cualificado. – La AEPD manifiesta que “debieran considerarse, entre otras, medidas (…) para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso”.

Nota. – En relación con el acceso a datos sanitarios del personal derivados de la vigilancia de la salud, el artículo 22.3 de la PRL, en consonancia con el principio de minimización de datos del artículo 5 del RGPD, señala que el mismo queda restringido al propio trabajador, al personal médico y a las autoridades sanitarias, que son aquellas que tienen competencia en materia de prevención de riesgos laborales y, en determinados supuestos, las competentes en materia de salud pública.

No obstante, lo anterior, añade el artículo que “el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva”.

PROTECCIÓN DE DATOS – CONTROL DE TEMPERATURA EN EL ENTORNO LABORAL

Uso de dispositivos que se limiten a la toma de temperatura, sin que se registre esta información asociando los datos al usuario
No destinar los datos de temperatura a otra finalidad que no sea la propia de la detección de un síntoma de la COVID-19
Que los equipos que se utilicen sean homologados y adecuados
Que el personal esté cualificado (médicos de la empresa y/o del servicio de prevención de riesgos laborales y vigilancia de la salud) y formado en el uso de los mismos. Nota. – Al no hacerse referencia a que tenga que ser necesariamente personal sanitario el que realice la toma de temperatura, cabría la posibilidad de que ésta se realice por personal de seguridad. El artículo 32.1.a) de la Ley de Seguridad Privada establece que corresponde a los vigilantes de seguridad, entre otras, ejercer la vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto privados como públicos, así como la protección de las personas que puedan encontrarse en los mismos, llevando a cabo las comprobaciones, registros y prevenciones necesarias para el cumplimiento de su misión. El sometimiento a controles de acceso a un establecimiento público o privado “será de obligado cumplimiento si así se establece por los responsables del mismo “. En la situación actual, la utilización de termómetros estaría encuadrada dentro de la utilización de medios técnicos que complementan las medidas de seguridad, para proteger a los clientes y trabajadores del establecimiento. Por tanto, un vigilante de seguridad privada reuniría los “requisitos legalmente establecidos”, pero sería necesario que acreditaran estar formados en el uso de estos dispositivos. En definitiva, si no es posible que este control se haga por personal sanitario, podría realizarse por personal de seguridad, cumpliendo los citados requisitos.
Se recomienda, por supuesto, la adopción de un PROTOCOLO para el control de temperatura a las personas trabajadoras para el acceso al centro de trabajo. El protocolo ha de ser consensuado con el servicio de prevención y los representantes de los trabajadores. En particular, se habrá de definir cómo actuar en los casos en que se detecte una temperatura superior a la normal, y deba derivarse al afectado a personal cualificado (en su caso, médicos de la empresa y/o del servicio de prevención de riesgos laborales y vigilancia de la salud) para que pueda atenderle. Una vez aprobado el protocolo, debiera enviarse al personal una CIRCULAR informando de la puesta en marcha de este sistema, Así mismo, también sería necesario informar en el momento de la toma de temperatura (Ej. Cartel informativo)
Recordar la necesidad de actualizar el Registro de Actividades de Tratamiento (RAT) con las operaciones indicadas, así como la realización de una Evaluación de Impacto de Protección de Datos (EIPD), en su caso, una vez acordado el sistema de control a implantar.

3.4 ¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE CLIENTES?

NO es recomendable a nivel general. SÍ para los sectores concretos en los que la autoridad sanitaria lo haya recomendado.

En el resto de sectores, si bien en determinados casos el control sin registro podría ser conforme a la normativa de protección de datos, no debemos olvidar que su puesta en marcha podría vulnerar otros derechos, que corresponderá valorar al cliente.

En este supuesto, si bien la habilitación legal para el tratamiento de datos puede partir de la necesidad de “proteger un interés esencial para la vida del interesado o la de otra persona física (…) como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”, y por “por razones de interés público en el ámbito de la salud pública”, y el uso del control de temperatura (sin registro de datos) podría considerarse una medida proporcionada y lícita para cumplir con esta necesidad, la AEPD en su comunicado deja la decisión de la necesidad y adecuación de la medida a las autoridades sanitarias, así como la determinación, en su caso, de la temperatura a partir de la cual se considere posible contagio:

“Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.

Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas”.

¿Y por qué la AEPD considera que las autoridades sanitarias son las que han de establecer los criterios de aplicación de la medida, así como pronunciarse sobre su utilidad y proporcionalidad?

Porque las concretas medidas, destinadas a prevenir y combatir el contagio del virus, deben ser determinadas por las autoridades sanitarias, en base a sus propias competencias. Así, la necesidad, proporcionalidad y adecuación de la medida dependerá de la estrategia que las autoridades sanitarias hayan planificado y valorado. Debe entenderse, por tanto, que corresponde, en primer lugar, a la autoridad sanitaria, valorar la idoneidad, necesidad y proporcionalidad de las medidas (por ejemplo, uso de mascarilla obligatorio en transporte público, la realización de test masivos y utilización de aplicaciones móviles de rastreo para alertar a posibles contactos sobre una potencial exposición al virus). No se puede afirmar a priori si la medida es adecuada o proporcional, a los efectos de ser adoptada en nuestra organización, si no la ponemos en relación con la estrategia sanitaria concreta.

Por tanto, nuestra recomendación es esperar a un previsible pronunciamiento específico de las autoridades sanitarias sobre esta cuestión, optando entretanto por medidas de prevención menos invasivas. De acuerdo con el último comunicado de la AEPD, «No se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios. En estos casos, tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud. Todo ello se puede agravar con el riesgo de fugas de información sensible y el conflicto con aquellas personas entienden la medida como una agresión a sus derechos».

Algunas autoridades no sanitarias sí han hecho recomendaciones en relación con el control de temperatura. En la Resolución de 4 de mayo de 2020, de la Presidencia del Consejo Superior de Deportes, por la que se aprueba y publica el Protocolo básico de actuación para la vuelta a los entrenamientos y el reinicio de las competiciones federadas y profesionales, se establece que “los centros de entrenamiento deberán dotarse de puntos de control de acceso especial, provistos de material de desinfección y aislamiento, de elementos técnicos que permitan comprobar la temperatura, de las personas que accedan al recinto, y circuitos cerrados de televisión (CCTV)”, aunque sin mencionar una temperatura concreta. Y en el Protocolo de actuación para la reactivación de la actividad judicial y salud profesional, el CGPJ “recomienda realizar control de temperatura en el acceso a la sede judicial, rechazando la entrada de resultar superior a 37,5º”.

Por su parte, la Orden SND/399/2020 aprobada para la aplicación de la fase 1 del Plan para la transición hacia una nueva normalidad, publicada en el BOE de 9 de mayo, cuando habla de medidas de higiene y prevención, medidas para prevenir el riesgo de coincidencia masiva, o las condiciones para la reapertura al público de establecimientos, locales comerciales, establecimientos de hostelería, centros educativos, universitarios y culturales, no se menciona el control de temperatura como una posible medida que los establecimientos puedan adoptar, si bien en la Disposición Final Quinta se establece que “las medidas dispuestas por la presente orden podrán ser completadas por planes específicos de seguridad, protocolos organizativos y guías adaptados a cada sector de actividad, que aprueben las Administraciones Públicas o sus organismos dependientes o vinculados, una vez oídas las partes implicadas, así como por aquellos que sean acordados en el ámbito empresarial entre los propios trabajadores, a través de sus representantes, y los empresarios o asociaciones y patronales de cada sector”.

En cualquier caso, habría que realizar una EVALUACIÓN DE IMPACTO EN PROTECCION DE DATOS (EIPD) para valorar la viabilidad del tratamiento, así como las garantías a emplear. Tal vez, el resultado de la EIPD nos muestre que el tratamiento de los datos personales reúne las garantías de seguridad y confidencialidad, conforme a Ley. Sin embargo, no puede obviarse que este tratamiento puede ocasionar una vulneración de otros derechos y libertades fundamentales, como son, por ejemplo, el derecho a la intimidad, honor y propia imagen.

3.5 ¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE PROVEEDORES?

Sí, sobre todo, en el caso de proveedores que desarrollen actividades en el centro de trabajo.

En el caso de que sean proveedores que realizan obras o servicios en nuestro centro de trabajo, habrá que estar al corriente del Procedimiento de Coordinación de Actividades Empresariales recogido en el Plan de Prevención de la empresa [artículo 24 LPRL].

En este caso, el empresario o empleador titular del centro de trabajo adoptará las medidas necesarias para que aquellos otros empresarios que desarrollen actividades en su centro de trabajo reciban la información y las instrucciones adecuadas, en relación con los riesgos existentes en el centro de trabajo y con las medidas de protección y prevención correspondientes, así como sobre las medidas de emergencia a aplicar, para su traslado a sus respectivos trabajadores.

En el caso de los proveedores que, de forma esporádica o eventual, tengan que acceder a las instalaciones o dependencias del centro de trabajo (Ej. proveedor del dispensador de agua) también podría efectuarse el control de temperatura. Se recomienda que se informe, previamente, a la empresa proveedora y, en caso de que el resultado de la medición de la temperatura de su operario fuese superior al permitido, la empresa debiera buscar una solución alternativa (lugar de entrega de la mercancía, desinfección de la misma y, en su caso, suplencia del operario por otro, en el caso de que fuera posible).

En el caso de las visitas comerciales, se aconsejaría que, en vez de efectuarse en las instalaciones, se sugiera al comercial la realización de la presentación del producto o servicio por medios telemáticos. En el caso de que la naturaleza o el tipo de producto precise la muestra comercial in situ, se recomendaría la cita previa y que se advirtiese al comercial que se efectuara un control de temperatura en el acceso.

4. OTRAS CUESTIONES ESPECÍFICAS RELATIVAS A LA PROTECCIÓN DE DATOS Y COVID-19 EN EL SECTOR PÚBLICO

4.1. ¿PUEDEN LOS AYUNTAMIENTOS TRATAR LOS DATOS PERSONALES DE LAS PERSONAS DE AVANZADA EDAD PARA OFRECER UN SERVICIO ASISTENCIAL DEBIDO A LA SITUACIÓN DE PANDEMIA POR COVID-19?

La situación derivada de la crisis del Covid-19 afecta especialmente a determinados grupos de personas vulnerables, entre los que se encuentran las personas de avanzada edad. Así se desprende de las diferentes manifestaciones realizadas por el Ministerio de Sanidad y del propio Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma, que en su artículo 7.e) permite la libre circulación de las personas para la realización de las actividades asistenciales y de cuidado a mayores.

Por este motivo, numerosos Ayuntamientos buscan la manera de ayudar a este colectivo, lo que implica obtener los datos de las personas más vulnerables, por ejemplo, mediante la cesión de estos por parte de otras Administraciones Públicas que pudieran disponer de esta información con motivo de la prestación de un servicio a estos colectivos, o mediante la obtención de estos datos del Padrón de Habitantes, y la puesta en contacto con las mismas con el fin de brindarles la prestación de servicios de primera necesidad.

Ahora bien, los Ayuntamientos se cuestionan si disponen de legitimación para tratar estos datos con la finalidad indicada.

Pues bien, hemos de partir de que la principal base de legitimación sobre la que actúa la Administración es la de interés público [art. 6.1.e) RGPD] y el cumplimiento de una obligación legal [art. 6.1.c) RGPD], quedando la del consentimiento expreso [art. 6.1.a) RGPD] para ciertas actuaciones concretas y minoritarias.

Tal como se establece en la Ley 7/1985, de 2 de abril, reguladora de Bases del Régimen de Local (LBRL), modificada por la Ley 57/2003, de 16 de diciembre, de Medidas para la Modernización del Gobierno Local, corresponde a los municipios el “… derecho a intervenir en cuantos asuntos afecten directamente al círculo de sus intereses, atribuyéndoles las competencias que proceda en atención a las características de la actividad pública que se trate y a la capacidad de gestión de la Entidad Local…”.

Asimismo, en su artículo 25.2 letra e) establece que “el municipio ejercerá, en todo caso, competencias, en los términos de la legislación del estado y de las Comunidades Autónomas, en materia de evaluación e información de situaciones de necesidad social y la atención inmediata a personas en situación o riesgo de exclusión social.”.

A su vez, el artículo 26.1 letra c) de la misma norma determina que los municipios con población superior a 20.000 habitantes deberán prestar, en todo caso, el servicio de “evaluación e información de situaciones de necesidad social y la atención inmediata a personas en situación o riesgo de exclusión social”.

Esta función de asistencia social del Ayuntamiento no parece asumida por el Estado con motivo de la declaración del Estado de Alarma, pues en el artículo 6 del mencionado RD de Estado de Alarma se establece que cada Administración conservará las competencias que le otorga la legislación vigente en la gestión ordinaria de sus servicios.

Siendo pues competencia del Ayuntamiento la prestación de evaluación e información de situaciones de necesidad social y la atención inmediata a personas en situación o riesgo de exclusión social, y estando actualmente en situación de emergencia sanitaria, se entiende procedente el tratamiento de los datos por parte de los Ayuntamientos para esta finalidad.

Ahora bien, los datos a tratar deberían ser los adecuados, pertinentes y limitados a lo necesario para lograr el fin buscado [art. 5.1.c) RGPD], que no es más que la localización las personas mayores en riesgo sanitario y asistencial, por lo que el tratamiento de su nombre, dirección y teléfono se entendería suficiente, sin perjuicio de que los Servicios Sociales pudieran recabar otros datos de contenido sensible en el ejercicio de sus funciones siempre que estos fueran necesarios para el fin perseguido y tratados según se establece en la normativa vigente.

4.2. ¿PUEDE UN AYUNTAMIENTO UTILIZAR DRONES PARA LA VIGILANCIA DURANTE EL ESTADO DE ALARMA?

Desde que se decretara el estado de alarma, el uso de drones por parte de las Administraciones Públicas se ha convertido en uno de los grandes aliados en la lucha contra el Covid-19, y es que estos dispositivos permiten intensificar el control del cumplimiento del confinamiento por parte de la población y reforzar la garantía de seguridad ciudadana.

Ahora bien, el uso indebido de los mismos puede suponer un riesgo, además de para otras aeronaves y las personas y bienes en tierra, para la protección de datos y la privacidad de los ciudadanos. Por ello, es de vital importancia que las Administraciones Públicas que vayan a hacer uso de estos conozcan la importancia de utilizarlos respetando la norma que los regula, las competencias que tienen sobre su uso y lo que deben hacer para utilizarlos con el fin de realizar algún servicio de su competencia.

Su regulación se encuentra en el Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto.

Uno de los requisitos que impone este RD es la adopción de las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales, dado que la configuración por defecto de cualquier dron incluye al menos un GPS y una cámara de video, y adicionalmente, podrían incluir cámaras termográficas, cámaras de visión nocturna, escáner 3D, dispositivos WIFI y/o Bluetooth, sistemas de detección de dispositivos móviles, etc., lo que puede suponer o supone un tratamiento de datos personales.

En lo que concierne a la protección de datos, la Agencia Española de Protección de Datos (AEPD) ha manifestado en su ‘Guía sobre Drones y Protección de Datos’ que las operaciones con drones se pueden clasificar en dos categorías principales según la finalidad de la operación: de un lado, están aquellas operaciones en las que la finalidad implica por sí misma un tratamiento de datos personales; y de otro lado, aquellas en la que la finalidad de la operación, a priori, no incluiría el tratamiento de datos personales. En la situación actual, en la que la finalidad de estos dispositivos está siendo, principalmente, el control del cumplimiento del confinamiento por parte de la población parece evidente que nos encontraríamos ante operaciones que tienen por finalidad un tratamiento de datos personales.

En estas operaciones, serán de aplicación las limitaciones a la videovigilancia a través de sistemas de cámaras o videocámaras o el seguimiento de identificadores de dispositivos móviles, por lo que habrá que tener en cuenta que la instalación de videocámaras en lugares públicos con fines de seguridad, tanto fijas como móviles, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad.

Además, se deben observar las siguientes recomendaciones:

En caso de que el Ayuntamiento contrate un operador para el manejo de los drones, siendo aquella la que decide sobre la finalidad de las imágenes, deberá formalizarse un contrato de encargo del tratamiento de los datos.
Elegir la tecnología a bordo más adecuada a la finalidad que se persigue con la operación y adoptar todas las medidas adecuadas de privacidad por defecto, evitando la recopilación y tratamiento posterior de datos innecesarios.
Habilitar mecanismos para llevar a cabo el derecho de información. Teniendo en cuenta la peculiaridad de los drones, se deberá de encontrar el modo más apropiado de informar: informar mediante señalizaciones u hojas informativas, publicaciones en redes sociales, periódicos, folletos, pósteres, etc. en los que conste la identidad del responsable del tratamiento, su finalidad y se facilite a los afectados indicaciones claras y específicas para el ejercicio de sus derechos.
Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas, en particular para prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.
Eliminar o anonimizar cualquier dato personal innecesario lo antes posible tras la recopilación.
Incorporar opciones de configuración respetuosas con la privacidad y funciones predeterminadas como parte de un enfoque de privacidad desde el diseño.
Hacer que los drones sean lo más visibles e identificables posibles, con características asociadas al responsable, haciendo que el operador sea también visible e identificable como responsable del dron.

Ahora bien, la Entidad Local no solo debe dar cumplimiento a la normativa vigente como operador de los drones, sino que, también han de regular la utilización de estos por entidades privadas o ciudadanos sobre su territorio. En el ámbito municipal, esta actividad ha de ser reglamentada mediante Ordenanzas Municipales específicas, en concordancia con otras existentes como las de Convivencia Ciudadana, Publicidad Exterior, Inspección Técnica de Edificios, Ocupación de la Vía Pública, en las que se deberán establecer las necesarias medidas de seguridad y de convivencia ciudadana.

4.3. ¿CÓMO DEBE EL AYUNTAMIENTO DAR CUMPLIMIENTO A LA NORMATIVA DE PROTECCIÓN DE DATOS EN LO QUE RESPECTA A LOS PLENOS TELEMÁTICOS?

El Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19 ha modificado, a través de su Disposición Final Segunda, la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, en concreto, se añade un nuevo apartado 3 al artículo 46 de la misma, que dispone:

“3. En todo caso, cuando concurran situaciones excepcionales de fuerza mayor, de grave riesgo colectivo, o catástrofes públicas que impidan o dificulten de manera desproporcionada el normal funcionamiento del régimen presencial de las sesiones de los órganos colegiados de las Entidades Locales, estos podrán, apreciada la concurrencia de la situación descrita por el Alcalde o Presidente o quien válidamente les sustituya al efecto de la convocatoria de acuerdo con la normativa vigente, constituirse, celebrar sesiones y adoptar acuerdos a distancia por medios electrónicos y telemáticos, siempre que sus miembros participantes se encuentren en territorio español y quede acreditada su identidad. Asimismo, se deberá asegurar la comunicación entre ellos en tiempo real durante la sesión, disponiéndose los medios necesarios para garantizar el carácter público o secreto de las mismas según proceda legalmente en cada caso.

A los efectos anteriores, se consideran medios electrónicos válidos las audioconferencias, videoconferencias, u otros sistemas tecnológicos o audiovisuales que garanticen adecuadamente la seguridad tecnológica, la efectiva participación política de sus miembros, la validez del debate y votación de los acuerdos que se adopten”.

Por tanto, es posible llevar a cabo reuniones de órganos colegiados de forma telemática, sea a través de medios audiovisuales o exclusivamente de voz, lo que tiene como consecuencia un tratamiento de datos de carácter personal y, por lo tanto, debe darse cumplimiento al requisito del deber de información previsto en el artículo 13 del RGPD.

Una segunda consecuencia de llevar a cabo plenos telemáticos, en términos de protección de datos, es la necesidad de incorporar tal tratamiento al Registro de Actividades del Tratamiento, puesto que se trata de un nuevo tratamiento con unas finalidades y bases jurídicas autónomas.

Para finalizar, señalar que existe un compendio de normativa sobre COVID 19: Derecho europeo, Estatal y autonómico, elaborado por la Editorial del BOE.