Vamos a necesitar una ley más grande contra el Coronavirus

 

Algo que hace mes y medio parecía una pijadilla de abogado leguleyo (“falta una ley con medidas de protección para todo esto”) se va convirtiendo en cuestión de primera línea.

 

Hace un mes estábamos con eso de si el RGPD dificultaría la lucha contra el coronavirus, y yo clamaba –en el desierto, eso sí- que era necesario promulgar una nueva ley con garantías adecuadas para hacer según qué cosas.

Explicaré esto en la segunda mitad del post, ayudándome de uno de mis ejemplos chorras favoritos: el de Milli Vanilli.

Para terminar, repasaremos cosillas interesantes de los últimos pronunciamientos sobre el tema del Comité, el Supervisor Europeo de Protección de Datos, y la Comisión Europea.

 

Pero vayamos de menos a más. Como el cabronazo del virus.

 

Las cosas se complican a velocidad endiablada. De pronto, ya no se trata de legislar mitigando posibles riesgos para derechos, sino de legislar quién empezará pagando el pato en términos de derechos.

 

Malos tiempos para la lírica (y los derechos)

 

Estos días se han tomado durísimas decisiones: por ejemplo quién -y quién no- accedía a alguno de los contados respiradores de las UCIs.

 

Pero vienen más decisiones críticas, e indirectamente, vitales:

Mañana mismo habrá que decidir quién -y quién no- puede salir de casa. Quién y quién no puede trabajar. Quién y quién no puede ganarse la vida.

 

Los criterios pueden ser objetivos y ¿neutros? como el “desescalamiento” por franjas de edad.

O más personalizados, como el “certificado de inmunidad” planteado por la Junta de Castilla y León. Si un análisis encuentra los anticuerpos del virus en tu sangre significará que has superado la enfermedad, y eso podría darte el derecho a moverte libremente, a trabajar o, no sé, a irte de vacaciones, por ejemplo.

 

“Veamos sus anticuerpos”

 

Pero es que casi todas las empresas del país se están preguntando si, de una u otra forma, pueden identificar de entre sus trabajadores a los que están inmunizados, antes de decidir quién entra o no en sus instalaciones, o por ejemplo, en uno de los EREs que van a anegar nuestra economía en nada y menos.

Por supuesto, las empresas tienen muchos intereses en conocer este atributo, pero esos intereses no prevalecen sin más sobre los del trabajador.

Y un eventual consentimiento a un test “voluntario” sería muy difícilmente defendible como “libremente prestado”.

No es esto lo que la empresa quiere escuchar, pero es lo que hay: una cosa es tener la información necesaria sobre la salud del trabajador para mejor proteger al resto de la plantilla, y otra muy distinta quedarte solo con la superraza dotada de anticuerpos que emerja radiante tras la pandemia.

 

Eso sin contar con las autorizadas voces que ponen radicalmente en duda la certeza y utilidad de esta “herramienta”.

 

¿Le importa decirme su código postal?

 

El manejo de la información sobre localización de infectados, da igual el medio (GPS, datos de telefonía, bluetooth), puede significar una intensa estigmatización para quienes residan o trabajen en las “zonas calientes” que se identifiquen.

 

¿Quién le pone el cascabel al gato?

 

Hay un montón de cosas por decidir, y estas decisiones no pueden ser tomadas por cada empresa o cada comunidad autónoma: tienen que venir dadas por una ley.

 

Y no es el mejor momento. En nuestras cámaras legislativas no se aprecia vida inteligente desde hace años, sólo trolls de distintos colores, incapaces de transar acuerdos de interés ya no digo general, simplemente ajeno.

 

Éramos pocos y parió la abuela

 

La reciente –e inevitable, si uno lo piensa- entrada en el juego de vampiros de datos de primer orden como Google y Apple, hacen saltar todas las alarmas.

Por lo que se sabe hoy, habilitarán una API para permitir que los dispositivos de ambos ecosistemas se hablen entre sí. Pero ampliarán su generosidad a instalar las apps de turno junto con actualizaciones de sistema.

 

  • Dejando la (glups!) “activación efectiva”, al consentimiento del usuario.
  • Dejando el (snif!) alcance del “impacto en derechos” al albur de cada Autoridad nacional.
  • Dejando la desactivación y borrado posterior del conjunto (Yuck!)… a sí mismos, Google y Apple.

 

Está por ver que esa generosidad alcance a la publicación íntegra del código cogenerado para la ocasión. Trust but verify.

 

¿Base legítima?

 

El testimonial, formal, ficticio papel que estaba llamado a jugar el consentimiento en cualquier app con aspiraciones, se ha puesto de manifiesto con el alivio o más bien alborozo general que ha provocado la noticia de la posibilidad de instalación automática en cualquier móvil, Android o IOS de la mano de Google/Apple.

Estamos hablando de algo que debe funcionar como una vacuna, y por tanto, en cerca de la totalidad del universo afectado.

 

¿Por qué sería necesaria una norma con rango de ley?

 

La legitimación del tratamiento masivo de datos de salud, combinados con nuestros contactos e interacciones en proximidad–ya sea por bluetooth, geolocalización, o triangulación de antenas de telecomunicación, requiere un choque de pechos entre nuestros guapos, pilosos y bailones protagonistas.

 

Voy a intentar explicarlo de forma sencilla, algo que no nos gusta mucho a los abogados, siempre encerrados en nuestra jerga y chistecitos en latín.

Así que prepárense para un buen número de paridas visuales y poco rigurosas.

 

 

Milli Vanilli: la importancia del 6+9.

 

En general, el tratamiento de datos especialmente sensibles (ideología política, orientación sexual, salud –el resultado de un test de coronavirus-… por ejemplo) exige uno de los legendarios choque de pechos entre Milli y Vanilli. Como este:

 

Milli:

Como es un tratamiento de datos personales, tiene que concurrir una base general del art 6 (consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo). Esta parte no viene a cuento ahora.

Vanilli:

Como de entrada está prohibido tratar datos personales de salud porque están especialmente protegidos, tiene que concurrir una excepción del art. 9.2, siempre del Reglamento General de Protección de Datos. Esto es lo que nos importa ahora.

 

Y no lo planteemos en términos viejunos “¿Es posible o no tratar datos de salud sin consentimiento?”. Claro que es posible, hay un montón de combinaciones. Lo que pasa es que cada una tiene sus requisitos.

 

Milli es relativamente sencilla de conseguir. Relativamente.

 

Pero Vanilli es otra cosita. El tratamiento de datos especialmente sensibles está prohibido en principio, pero hay diez excepciones, diez Vanillis. Y no todos estos Vanillis son iguales. Algunos dan más miedito que otros.

 

Y claro, los más comprometidos o excepcionales tienen un plus de exigencia: requieren la aplicación de “medidas adecuadas y específicas de protección” de los derechos de los afectados.

 

Vanilli, calienta que sales

 

Los Vanillis o excepciones que se manejan en relación con la lucha contra el Coronavirus son las previstas en los apartados (g) e (i) del artículo 9.2 del Reglamento General de Protección de Datos.

 

  • 2.g) “interés público esencial”.
  • 2.i) “tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”.

 

No les aburro con la transcripción literal de los artículos, pero ambos reproducen lo de “sobre la base del Derecho de la Unión o de los Estados miembros” y lo de “medidas adecuadas y específicas para proteger” los intereses, derechos y libertades del interesado.

Un detallín sin importancia: Medidas adecuadas y específicas

 

Esto de las medidas adecuadas y específicas puede sonar a palabrería legal pero no lo es: quiere decir, muy resumidamente, que la norma de derecho nacional o comunitario que levante la prohibición general de tratar datos de estos, tiene que:

 

  • Ser una norma con rango de ley.
  • Tiene que prever tratamientos de datos estrictamente necesarios y proporcionales a la finalidad perseguida.
  • Tiene que prever medidas adecuadas y específicas de salvaguardia de los derechos de los afectados, en relación con los tratamientos previstos.
  • Esas medidas tienen que estar previstas e identificadas en la propia Ley, o en su defecto, en otra ley identificada concretamente por esta.

 

¿Qué pasa si Vanilli no tiene lo que hay que tener?

 

¿Qué pasa cuando estas medidas brillan por su ausencia? Eso es lo que pasó con el famoso art 58 bis 1 que autorizaba a los partidos políticos a tratar los datos de ideología política de los ciudadanos. Los artífices de la normativa dieron estas medidas adecuadas y específicas de protección por supuestas, y el Constitucional acabó declarando nulo el precepto.

 

A todo esto, ¿Qué dicen las autoridades europeas sobre este tema?

 

En las últimas dos semanas hemos visto declaraciones sucesivas sobre este tema del Comité Europeo de Protección de Datos, del Supervisor Europeo de Protección de Datos y de la Comisión Europea.

 

a) Comité Europeo de Protección de Datos

 

El Comité Europeo de Protección de Datos, en relación con el tratamiento de datos de localización mediante antenas de telecomunicaciones, apunta conjuntamente al art 15 de la actual Directiva E-privacy y a los principios generales del RGPD para decir que “la introducción de medidas legislativas” –con perdón, yo entiendo que “introducir” es “promulgar” algo que no existe – tiene que respetar aquellos principios.

 

En un documento inmediatamente anterior, el Comité ya decía claramente que estos tratamientos de datos exigían (i) datos anonimizados, (ii) consentimiento o (iii) si “se introducían” medidas excepcionales, de nuevo las míticas salvaguardias adecuadas.

 

b) Supervisor Europeo de Protección de Datos

 

Wojciech Wiewiórowski, heredero de Giovanni Buttarelli, empieza recalcando lo evidente: que la protección de datos personales no puede ser obstáculo ni excusa para la parálisis o la ineficiencia en la lucha contra la pandemia.

 

Pero después arrima el ascua a su sardina (que es, no olvidemos, la sardina de todos nosotros) para insistir en lo incómodo: que cuando se juega con derechos fundamentales hay reglas que cumplir.

c) Comisión Europea

 

Insistiendo en lo mismo.

¿Como andamos de Vanillis en Derecho Español?

 

Es malo no tener. Pero es mucho peor creer que tienes algo para descubrir que, cuando lo necesitas, no te sirve.

La nueva LOPD de 2018 introdujo una Disposición adicional, la 17ª, tan apresurada y chapucera como el resto de ese horrendo pegote de última hora llamado “los derechos digitales”. No procede aquí enumerar todos sus carencias y problemas, y además, ya lo ha hecho gente más preparada que yo.

 

Sí procede decir que el apartado primero de la Disposición Adicional 17ª prevé un catálogo de normas a las que enganchar tratamientos basados en el interés público.

 

Cualquiera que busque ahí “medidas adecuadas y específicas” para los tratamientos de datos personales del perímetro y calibre de los que se están cociendo con recetas de apps coreanas, israelíes, singapureñas, etc… se llevará una decepción mayúscula.

 

Apedréenme, pero es así: la movida de derechos y datos que se nos viene, exigirá una señora ley y de las difíciles. No simplemente algo que se le parezca.

 

Que no nos pase como con los Milli y Vanilli “de verdad”, otra carrera azarosa, con final decepcionante y aún peor, trágico.

Y no me vengan los de siempre con eso de “alarmar innecesariamente a la población”. Sobran los motivos no para pedir, sino para exigir transparencia y rigor en todo lo que se está haciendo.  

 

Solidaridad digital

Afortunadamente puedo terminar este depresivo post con una inspiradora del Supervisor europeo, el de la solidaridad digital.

Remata con ella su declaración, en estos términos:

 

“Así es como entendemos la solidaridad digital, que debe hacer que los datos sirvan a todos en Europa y especialmente a los más vulnerables. La solidaridad digital rechaza replicar los sucios y desacreditados modelos de negocio de vigilancia y targeting que tanto han perjudicado la confianza en la sociedad digital, pero que permitirán que la protección de datos sirva a la humanidad durante esta extraordinaria prueba a nuestros conocimientos, habilidades y valores humanos.”

 

Que Dios nos pille confesados.

 

Jorge García Herrero

 Abogado y Delegado de Protección de Datos.