El Comisario Federal de Protección de Datos, Ulrich Kelber, ha presentado su informe de actividades para 2021. En particular, advirtió contra el manejo demasiado fácil de los datos sanitarios debido a la evolución de la pandemia de Corona.
Normativa legal sobre el tratamiento de datos sanitarios como el estado de vacunación
En primer lugar, el Comisario Federal de Protección de Datos afirma que, en vista de la pandemia de Corona, es necesario establecer normas legales para el tratamiento de datos sanitarios como el estado de vacunación y convalecencia o los resultados de pruebas. La directriz en este caso es el art. 9 II DSGVO. Los requisitos del RGPD también deben cumplirse en el sector privado.
Si no existe tal base jurídica, sólo el consentimiento del interesado puede considerarse justificación para el tratamiento de estos datos. Especialmente en las relaciones laborales, surgen problemas en este contexto debido al desequilibrio de poder con respecto a la voluntariedad. La normativa legal crearía claridad jurídica, seguridad jurídica y uniformidad en este ámbito.
El Comisario Federal de Protección de Datos, Ulrich Kelber, tiene la intención de seguir asesorando a los ministerios federales implicados en este objetivo y trabajar para lograr una normativa legal.
Los datos sanitarios no deben convertirse en entradas
Muchas medidas de control de pandemias han provocado que los datos sanitarios se conviertan en cuasi billetes de entrada. El control de los datos sanitarios, como el estado de vacunación y convalecencia o los resultados de pruebas, constituye un tratamiento de datos sanitarios y sólo está permitido en condiciones especiales y con medidas especiales de protección de los interesados, de conformidad con el artículo 9 del RGPD.
El Comisario Federal de Protección de Datos critica en particular que no haya participado en las decisiones sobre los reglamentos correspondientes. Además, la exposición de motivos de los proyectos no abordaba el artículo 9 del RGPD. En el lado positivo, sin embargo, destaca que las soluciones digitales para las pruebas mitigan en parte los riesgos. Reclama que debería haber habido un "requisito adicional para garantizar la confidencialidad por parte de los controladores".
Aunque la situación de pandemia como tal pudiera constituir una situación excepcional en el sentido del artículo 9 II del RGPD, faltaba la referencia a la misma. Además, existía el riesgo de que la manipulación fácil de datos sanitarios se hiciera más frecuente como consecuencia de ello.
Tratamiento de los datos sanitarios en los centros de pruebas
La progresión de la pandemia también ha hecho que las pruebas necesarias en muchos lugares ya no sean realizadas únicamente por médicos o, al menos, bajo su supervisión. Si los datos sanitarios son tratados por centros de análisis de terceros, en un principio las personas afectadas ya no estaban protegidas por el secreto profesional. El Comisario Federal de Protección de Datos vio aquí una laguna que había que colmar. Al fin y al cabo, los proveedores de pruebas no sólo procesan el nombre, la dirección y los datos sanitarios obtenidos a través de la prueba, sino que, en caso de resultado positivo, también existe la obligación de notificarlo a la autoridad sanitaria competente. No se sabe hasta qué punto todos los centros de pruebas trabajan también respetando la protección de datos, sobre todo porque ya se han producido algunos percances.
No fue hasta que el Comisario Federal de Protección de Datos lo señaló en noviembre de 2021 que los centros examinadores también se vieron obligados a mantener la confidencialidad.
Revisión de los datos sanitarios en el lugar de trabajo
También se introdujeron normativas como la 3G en el lugar de trabajo, en parte para combatir la pandemia. También en este caso se procesaron datos sanitarios a gran escala. De repente, los empresarios tenían una tarea de gran envergadura y responsabilidad. Tienen que comprobar cuidadosamente qué recogida de datos es necesaria y cuándo, y cómo se va a llevar a cabo el tratamiento y almacenamiento. Deben respetarse muchos principios fundamentales de la ley de protección de datos. Por ejemplo, no suele ser necesario almacenar datos en el caso de una inspección visual antes de entrar en el lugar de trabajo. En caso contrario, estos datos también deberán suprimirse tan pronto como su finalidad haya dejado de existir, lo que no es necesariamente el caso sólo después del período máximo de almacenamiento de seis meses (§ 28b III 9 IfSG).
Aquí también se planteó el problema de que los certificados de vacunación, que nunca fueron concebidos como documentos de identidad a prueba de falsificaciones, de repente asumieron exactamente esta función, por lo que rápidamente se produjeron falsificaciones.
Conclusión
Incluso si el tratamiento de datos personales en forma de datos sanitarios es claramente necesario con mayor frecuencia en la pandemia, el Comisario Federal de Protección de Datos insta a la cautela. Tratar los datos sanitarios con demasiada facilidad iría en contra de una idea básica del RGPD. En concreto, exige que los datos sanitarios no se conviertan a la larga en un "billete de entrada".
¿Tiene dudas sobre la protección de datos en su empresa? Nuestro equipo de expertos estará encantado de ayudarle.
Español 
Deutsch 
English 
Français 
Polski