La Agencia Española de Protección de Datos (AEPD) considera que no es necesario que las Administraciones Públicas soliciten el nombre y los apellidos para avisar a los posibles contactos que acuden a locales de ocio y afirma que en ningún caso es necesaria la identificación mediante el DNI al entenderla desproporcionada.
En una nota hecha pública, la AEPD justifica que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el Reglamento General de Protección de Datos (RGPD) como "categorías especiales".
Por ello, aconseja que se cumpla con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar.
Para poner en marcha el registro de clientes que acuden a locales de ocio, tratándose de una medida para la contención del coronavirus, determina que debe acreditarse su necesidad por las autoridades sanitarias y ser obligatoria, ya que si fuera voluntaria perdería efectividad.
"Si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento", argumenta.
Justificar la necesidad
Como ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por los establecimientos tiene que establecerse por una norma con rango de ley. La base jurídica sería el 6.1.c) -"el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento"-.
Señala, la AEPD que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamentosen la garantía de un interés público de controlar la pandemia, por lo que la base jurídica es, con carácter preferente, el artículo 6.1.e) del RGPD, que establece que el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
A sí, destaca eb su nota, la necesidad de justificar que no existan otras medidas más moderadas para la lograr el propósito perseguido con igual eficacia. Por ello dice que deberían identificarse bien y limitarse los sitios en los que exista mayor dificultad para cumplir estas medidas, puesto que no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos.Por ello,, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.
La recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos, para que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio.
En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria. Cuestión que tienen que valorar las autoridades sanitarias de las Comunidades Autónomas, concluye la AEPD en su nota.
