Últimamente están llegando a oídos de la ciudadanía muchos supuestos de políticos o altos cargos que han conseguido vacunarse de la COVID-19, aun no encontrándose dentro de los grupos prioritarios de vacunación.
En este contexto, al hilo de la negativa del Servicio de Salud del Principado de Asturias (SESPA) de facilitar información a un diputado de la Junta del Principado de Asturias sobre qué altos cargos del Gobierno del PSOE – que presiden actualmente la Comunidad Autónoma- se habían vacunado, se formuló consulta a la Agencia Española de Protección de Datos por el propio Delegado de Protección de Datos del SESPA.
Tanto el SESPA como su Delegado de Protección de Datos alegaban que, en tanto la circunstancia de haberse vacunado contra la COVID-19 es un dato relativo a la salud, se necesita del consentimiento expreso del interesado dado que no cabe apreciar, a su juicio, ninguna de las circunstancias que levanten la prohibición de su tratamiento de los artículos 9.2º RGPD y 6 RGPD.
Argumentos de la AEPD
Tras analizar minuciosamente el supuesto de hecho, el Gabinete Jurídico de la AEPD se pronuncia sobre dicha consulta concluyendo que SÍ podrían facilitarse dichos datos de salud siempre y cuando se aporten las debidas garantías.
Los puntos clave de su razonamiento son los siguientes:
Efectivamente, la información relativa a la condición de haberse recibido la vacuna, en cuanto revela información sobre el estado de salud de las personas que la han recibido, es un dato de salud, y por tanto debe incluirse dentro de las “categorías especiales de datos” de acuerdo con el artículo 9 del RGPD.
Se produce una colisión entre el derecho de información de los parlamentarios que forma parte del contenido del derecho fundamental a la participación política (artículo 23 CE) y el derecho a la protección de datos de los altos cargos vacunados (artículo 18.1º y 4º CE).
Para poder facilitar la información sobre la identidad de los altos cargos vacunados, sin consentimiento de los mismos, deben apreciarse de forma correlativa, primero, alguna de las circunstancias del artículo 9.2º RGPD y, segundo, alguna de las circunstancias del artículo 6.1º RGPD distintas al consentimiento. Al respecto, la AEPD entiende que pueden apreciarse las siguientes circunstancias:
Artículo 9.2 g) RGPD: “el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”
Artículo 6.1º RGPD:
-
-
-
-
-
- letra c): “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”
- letra e): “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”
-
-
-
-
Que, en la facilitación de dicha información, se respeten los principios del artículo 5 RGPD y, en concreto, los principios de minimización de datos y de limitación de la finalidad:
-
-
-
- Principio de minimización de los datos: de modo que los datos personales que se faciliten a los parlamentarios sean los estrictamente indispensables para el ejercicio de su función.
- Principio de limitación de la finalidad: de modo que no sean tratados ulteriormente de manera incompatible con la finalidad para la que se obtuvieron, por lo que deberá indicarse en la comunicación que los mismos únicamente pueden ser utilizados para la finalidad que justifica su cesión.
-
-
Que, en todo caso, no corresponde a la AEPD sino a la Mesa de las Cámaras (o al concreto órgano administrativo que ostente la condición de Responsable del Tratamiento) la interpretación y aplicación de las normas que hemos citado anteriormente a efectos de valorar la existencia y suficiencia de las garantías adecuadas para proceder a la comunicación de los datos a los parlamentarios; la necesidad y proporcionalidad del tratamiento; y, en su caso, de los datos concretos que deban ser comunicados en caso de petición.
En este sentido, la AEPD invita a la Mesa de las Cámaras a realizar el triple juicio de idoneidad, necesidad y proporcionalidad, para valorar “si la comunicación de datos personales relativos a la salud de determinadas personas es necesaria para el cumplimiento de la finalidad de control de la acción del Gobierno perseguida, y si dicha finalidad no puede alcanzarse por otros medios que no requieran la comunicación de dichos datos, como podría ser, por ejemplo, la comunicación de la información agregada (es decir, anonimizada, de forma que no permita la identificación de personas físicas) referida a los distintos grupos de vacunación previstos en los protocolos de vacunación o la no pertenencia a alguno de ellos, indicando el número total de personas que se encontrarían en cada uno de esos supuestos”.
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.
