La nueva Orden Ministerial de Sanidad (SND/404/2020) que pone en marcha a los “rastreadores” de posibles “positivos”.

Desde ayer mismo el control de la pandemia se verá reforzado con las medidas de vigilancia y gestión de la información sobre posibles contagios que incorpora la recientísima Orden SND/404/2020 del Ministerio de Sanidad que tratará de apoyar a la autoridad sanitaria con la mejor evidencia posible, toda vez que, como se dice en la misma, se ha conseguido superar el momento más complicado de la crisis y ahora que los diferentes territorios comienzan ya a avanzar en las diferentes fases previstas en el Plan para la Transición a una nueva normalidad, aprobado por Acuerdo de Consejo de Ministros de 28 de abril de 2020, se hace preciso adaptar y reforzar los sistemas de información para el seguimiento y la vigilancia epidemiológica, de manera que pueda realizarse la detección precoz de cualquier caso que pueda tener infección activa y que, por tanto, pueda transmitir la enfermedad. Además, nos recuerda expresamente la norma en su artículo segundo que “El COVID-19, enfermedad producida por la infección por el virus SARS-CoV-2, es una enfermedad de declaración obligatoria urgente”.

Por qué se dicta la Orden.

Así pues y en clara ausencia de sistemas de información mejores (las COVAPPS, apps de trazabilidad del Coronavirus) y ante la necesidad urgente de obtener información epidemiológica que proporcione diariamente datos completos y precisos para la toma de decisiones, se decide optar por el sistema tradicional de cuestionarios y formularios por aquellos operadores llamados a tal fin: LO S NUEVOS RASTREADORES que, en esencia, son las administraciones públicas, los centros sanitarios y sociosanitarios, públicos y privados, y los servicios de prevención de riesgos laborales a quienes se les establecen una serie de obligaciones de recogida, tratamiento y remisión de información, tanto individualizada como agregada, para facilitar el acceso electrónico y automático a los datos de relevancia epidemiológica y sanitaria que sean pertinentes, siempre salvaguardando los derechos de protección de datos personales. Junto a todos ellos, los laboratorios que se encuentran en los servicios de microbiología de hospitales del Sistema Nacional de Salud y en los centros no sanitarios supervisados por un servicio de microbiología y por la propia comunidad autónoma.

A quién obliga la Orden.

El ámbito de aplicación personal es tan amplio como es admitido en derecho y se extiende “a cualquier otra entidad pública o privada cuya actividad tenga implicaciones en la identificación, diagnóstico, seguimiento o manejo de los casos COVID-19” así como a los profesionales implicados, es decir, el sector sanitario en general a los que se obliga a facilitar toda la información, Datos, “necesarios para el seguimiento y la vigilancia epidemiológica del COVID-19 que le sean requeridos por esta, en el formato adecuado y en el tiempo oportuno, incluidos los datos necesarios para identificar de forma inequívoca a los ciudadanos”.

Qué obligaciones establece.

Mientras que para las unidades y todos los niveles de salud pública (incluyendo sistema privado y servicios de prevención de riesgos laborales) se establece la obligación de realizar test a todo sospechoso de COVID-19, dentro de las 24 horas siguientes a su detección por los servicios de salud de todo el país y remitir la información en la forma y frecuencia (diaria) que en la misma se indica, a los laboratorios autorizados en España para hacer pruebas de diagnóstico se les exige remitir datos de contacto e identificación de los mismos y de los pacientes sometidos a dichas pruebas con igual frecuencia (Anexos III y IV).

Protección de Datos Personales.

De conformidad con el Reglamento de Protección de Datos Europeo (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, con carácter general está terminantemente prohibido todo tratamiento automatizado de datos personales de carácter sensible, como los relativos a la salud. No obstante ello y por tasadas razones que dicha norma expresamente establece, se excepciona tal prohibición en casos como en el que nos encontramos: su la necesidad de dicho tratamiento para garantizar la seguridad e interés vital de la población, etc,..  Y al igual que en la anterior Orden SND/297/200 de 27 de Marzo, que también habilita la creación de una aplicación móvil (APP) que permita al usuario proceder a realizar un autodiagnóstico de síntomas compatibles con esta enfermedad y que posibilitará la geolocalización del mismo a efectos de análisis de la movilidad del virus y su incidencia geográfica, esta norma que busca igual finalidad, se ampara en dicho reglamento y por tanto, tiene las declaraciones esenciales al respecto del tratamiento de estos datos que, no olvidemos, son de carácter sensible y por ello, establece los requisitos mínimos que se exige para ello:

Finalidad del tratamiento.

El tratamiento tiene por finalidad el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas al amparo de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Responsable del Tratamiento.

El responsable del tratamiento será el Ministerio de Sanidad, que garantizará la

aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.

Cesión e intercambio de datos personales.

El intercambio de datos con otros países se regirá por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, teniendo en cuenta la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58.ª Asamblea Mundial de la Salud celebrada en Ginebra el 23 de mayo de 2005

Las constructivas críticas que me sugiere esta norma exceden del contenido de este breve post y serán objeto de una ulterior reflexión acerca del alcance de estas medidas, lo que no evita que sobre la base del Principio de minimización que resulta clave en la protección de nuestra privacidad y en virtud del cual habría que fiscalizar de manera efectiva su cumplimiento autorizando el tratamiento de los datos para cualquier proyecto que se enarbole con la bandera de la seguridad y/o interés general debamos controlar y exigir que se adopten las medidas que garanticen y aseguren que:

1. Solo se traten aquellos estrictamente necesarios para la finalidad perseguida,
2. únicamente por el periodo estrictamente necesario para ello y
3. su uso se extienda exclusivamente al fin previamente autorizado.

De otro modo, como ya decía en aquella ocasión, los principios se flexibilizan y, a menudo, ceden ante exigencias de lucha frente a calamidades y eventos desastrosos como el que sufrimos actualmente y en los que la seguridad de las personas indudablemente debe primar sobre la intimidad o privacidad en relación con el tratamiento de sus datos personales empero, en ningún caso, podemos permitir que tal excepcionalidad prolongada en el tiempo termine por relajar la aplicación de dichos principios como, desgraciadamente, suele ocurrir una vez desparece la excepcional causa que lo motivó.

Juan José Cortés Vélez

Socio y letrado del Área Compliance y Legaltech en Devesa & Calvo Abogados.