Ante la necesidad de controlar los rebrotes de COVID-19, se hace recolecta de datos de los usuarios de algún lugar de ocio. Pero, debe hacerse bajo la mirada aprobatoria de la Ley.
Por ello, la Agencia Española de Protección de Datos difundió un comunicado sobre estas iniciativas regionales, que requieren ciertos datos de los asistentes a eventos y lugares y así garantizar una respuesta rápida ante un caso inesperado.
El tratamiento de estos datos, de acuerdo con la agencia, debe ser identificar posibles infectados, y no son datos catalogados en el RGPD como “categorías especiales”.
Pero recuerda que “debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Adicionalmente, si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento“.
En este caso, la agencia recuerda que la base jurídica sería el 6.1.c) (“el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”).
Además, la agencia indica que la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera), se explica en el comunicado.
Y apela a la minimización, por lo que podría ser suficiente un número de teléfono, junto con los datos del día y la hora de asistencia al lugar.