En la actualidad, innumerables personas se someten periódicamente a pruebas para detectar la infección por el virus Corona Covid-19. Para ello se utilizan las conocidas pruebas rápidas Corona. Se toma una muestra de la garganta o de la mucosa nasal para su evaluación. Una vez determinado el resultado de la prueba rápida, el material con los datos genéticos de las personas sometidas a la prueba se encuentra en la mayoría de los casos en los residuos normales. Pero, ¿se ajusta esta forma de eliminación de material genético al GDPR? DSGVO es la abreviatura del Reglamento General de Protección de Datos.
Aquí encontrará todo lo que necesita saber en pocas palabras.
Las pruebas rápidas Corona como datos en el sentido del GDPR
Al realizar una prueba rápida Corona, debe tomarse una muestra de la mucosa. Se trata indiscutiblemente de datos genéticos (considerando 34 del RGPD) en forma de muestra. Según el artículo 9 del RGPD, estos datos pertenecen a la categoría especial de datos personales y deben recibir una protección especial.
Nivel de protección del GDPR para el tratamiento de material genético
Para el tratamiento conforme al GDPR, debe cumplirse el nivel de protección respectivo exigido por el GDPR. A tal fin, el RGPD establece disposiciones sobre la seguridad del tratamiento (art. 32 del RGPD).
Eliminación de las pruebas rápidas Corona con material genético como tratamiento
El RGPD entiende el tratamiento de datos de forma muy amplia. De conformidad con el artículo 4, apartado 2, del RGPD, el término incluye operaciones como la recogida, el registro, la organización, la clasificación, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o combinación, la restricción, el borrado o la destrucción.
Por consiguiente, la eliminación de una muestra que contiene datos genéticos (prueba rápida Corona) entra dentro del ámbito del tratamiento en el sentido del RGPD.
Seguridad de la eliminación de material genético como tratamiento
De conformidad con el artículo 32 I del RGPD, los requisitos de seguridad de este tratamiento deben medirse sobre todo en función del estado de la técnica. En consecuencia, deben adoptarse medidas técnicas y organizativas (MTO) adecuadas para proteger los datos. Entre otras cosas, pueden ser necesarias medidas como la seudonimización, el cifrado y la garantía de confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios para el tratamiento.
En la mayoría de los casos, las pruebas rápidas Corona se eliminan con los residuos normales después de la evaluación. Este es actualmente el procedimiento habitual en muchas empresas y otras instituciones en las que los empleados deben someterse a pruebas periódicas. En residuos normales, los datos genéticos no están protegidos. De acuerdo con el estado actual de la tecnología, existen formas de eliminar estos datos genéticos de tal manera que se vuelvan irreconocibles, por ejemplo, mediante eliminadores de residuos de laboratorio, lo que también exige el GDPR.
¿Consentimiento de la persona afectada para la eliminación en la basura normal?
Podría plantearse si el interesado no puede dar su consentimiento a un tratamiento con menor seguridad (art. 6 I 1 lit. a DSGVO).
Independientemente de que esto fuera posible en el pasado, este procedimiento es, según la Resolución de la Conferencia de las Autoridades Independientes de Control de Protección de Datos de la Federación y los Länder de 24 de noviembre de 2021 ya no es posible en Alemania. El punto 2 de la Decisión establece que no es permisible la "renuncia a las medidas técnicas y organizativas que debe proporcionar el responsable del tratamiento o la rebaja de la norma legalmente prescrita sobre la base del consentimiento". Además, el punto 1 de la Decisión establece de forma general que las medidas técnicas y organizativas con arreglo al artículo 32 del RGPD no están a disposición de las partes implicadas, ya que se basan en obligaciones jurídicas objetivas.
En consecuencia, el interesado no puede consentir, en virtud del GDPR, la eliminación de las pruebas rápidas Corona a través de la basura normal.
Eliminación a través de una empresa de eliminación especial Conforme a la DSGVO
Para un Eliminación conforme a la DSGVO de estas muestras, por lo que los residuos normales nunca son suficientes. Es necesario encargar a una empresa de eliminación especial que se deshaga de ellos de conformidad con el GDPR.
Cabe señalar aquí que se trata entonces de un Procesamiento de trabajos (Art.28 DSGVO). Debe celebrarse el correspondiente contrato de tratamiento por encargo con la empresa de gestión de residuos especiales. Además, el eliminador especial debe poder demostrar que puede cumplir los niveles de protección y destrucción adecuados para los datos que se van a eliminar.
Conclusión
La práctica masiva actual de eliminar las pruebas rápidas Corona en los residuos normales no puede conciliarse con el GDPR. Las violaciones de la protección de datos se cuentan por millones. Para la eliminación conforme a la DSGVO habría que proceder a una eliminación especial. La solución más pragmática en este caso sería encargar el tratamiento a una empresa de eliminación especial.
Evite costosas infracciones en materia de protección de datos contratándonos para una consulta o auditoría de protección de datos.