Ante las diversas iniciativas públicas que tratan de fomentar una reacción rápida ante posibles nuevos brotes de COVID–19, como registrar determinados datos de los clientes que acuden a locales de ocio, la Agencia española de Protección de Datos, ha emitido un comunicado al respecto, realizando las siguientes puntualizaciones:
– Los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.
– Para poner en marcha el registro de clientes que acuden a locales de ocio, debe acreditarse su necesidad por las autoridades sanitarias, y teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. Base jurídica: obligación legal.
– Debe también hacerse especial incidencia en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia.
– La recogida y la cesión de datos debe organizarse de una forma que el registro permita identificar los posibles contactos.
– Además, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar, junto con el de la anonimización de los titulares del dispositivo.
– Asimismo, debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación.
– Por último, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas.