Mesures per a la protecció de dades obtingudes per a la detecció precoç, control i vigilància epidemiològica del virus SARS-CoV-2

El Reial Decret llei 21/2020, aprovat pel Consell de Ministres del dia 9 de juny, regula una sèrie de mesures per a la detecció precoç de la malaltia i el control de les fonts d’infecció i vigilància epidemiològica, entre les quals s’inclou la qualificació de la COVID-19 com una malaltia de declaració obligatòria urgent i es dóna continuïtat a una sèrie d’obligacions de recollida, tractament i remissió d’informació, de les dades de rellevància epidemiològica i sanitària que siguin pertinents, així com al sistema establert amb els laboratoris per a la recollida i tramesa d’informació amb el resultat de proves diagnòstiques per PCR (Reacció en Cadena de la Polimerasa) a Espanya com a complement al sistema de vigilància individualitzada dels casos de COVID-19. L’article 27 de Reial Decret indicat estableix les mesures per a garantir la salvaguarda dels drets de protecció de dades personals.

En efecte, en l’article 27 es disposa que el tractament de la informació de caràcter personal que es realitzi com a conseqüència del desenvolupament i aplicació d’aquest Reial Decret llei es farà d’acord amb el que estableix el marc normatiu vigent de protecció de dades ( RGPD i LOPDGDD) i la Llei 14/1986, de 25 d’abril, general de sanitat. En particular, les obligacions d’informació als interessats relatives a les dades obtingudes pels subjectes inclosos en l’àmbit d’aplicació d’aquest Reial Decret llei s’han d’ajustar al que disposa l’article 14 RGPD, tenint en compte les excepcions i obligacions previstes en el seu apartat 5.

També, es defineix que el tractament tindrà per exclusiva finalitat el seguiment i vigilància epidemiològica de la COVID-19 per prevenir i evitar situacions excepcionals d’especial gravetat, atenent a raons d’interès públic essencial en l’àmbit específic de la salut pública, i per a la protecció d’interessos vitals dels afectats i d’altres persones físiques a l’empara del que estableix el RGPD.

Finalment, s’identifiquen com a responsables del tractament les comunitats autònomes, les ciutats de Ceuta i Melilla i el Ministeri de Sanitat, en l’àmbit de les seves respectives competències, que garantiran l’aplicació de les mesures de seguretat preceptives que resultin de la corresponent anàlisi de riscos, tenint en compte que els tractaments afecten a categories especials de dades i que aquests tractaments seran realitzats per administracions públiques obligades al compliment de l’Esquema Nacional de Seguretat.

L’intercanvi de dades amb altres països se subjecta al que disposa el RGPD, tenint en compte la Decisió núm. 1082/2013 / UE del Parlament Europeu i de Consell, de 22 d’octubre de 2013, sobre les amenaces transfrontereres greus per a la salut i el Reglament Sanitari Internacional (2005) revisat, adoptat per la 58a Assemblea Mundial de la salut celebrada a Ginebra el 23 de maig de 2005.