Pot la Policia Local accedir a dades de pacients amb COVID-19?


Josep Aragonés Salvat     08/04/2020

Consulta:

La Policia Local vol sol·licitar a el Servei Autonòmic de Salut una llista amb les dades de les persones que són portadores de virus COVID-19, per considerar que aquesta informació és essencial per evitar la propagació de virus.

Per a això, volen legitimar la sol·licitud en l'article 22.2 de la Llei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal (LOPD) i l'ordre publicada pel Gabinet Jurídic de l'Agència Espanyola de Protecció de dades amb Nº/REF: 0017/2020 en la qual consideren, basant-se en el considerant 46 de la GDPR 2016/679 (Reglament General de Protecció de dades de la UE), el següent: "la recollida de dades i tractament per a fins policials de dades de caràcter personal per les Forces i cossos de seguretat sense consentiment de les persones afectades, estan limitats a aquells supòsits i categories de dades que siguin necessaris per a la prevenció d'un perill real per a la seguretat pública o per a la repressió d'infraccions penals, considerant-se lícits quan el tractament és necessari per finalitats humanitàries, inclòs el control d'epidèmies i la seva propagació ".

Seria lícit i legal demanar i que els proporcionen aquestes dades?

Resposta:

Davant la consulta plantejada i amb caràcter previ a la seva anàlisi des de la normativa de protecció de dades de caràcter personal, hem de començar assenyalant el règim jurídic que afecta la Policia Local durant la vigència de l'Estat d'Alarma i que es conté en el Reial Decret 463 / 2020, de 14 de març, pel qual es declara l'estat d'alarma per a la gestió de la situació de crisi sanitària ocasionada pel COVID-19; disposant al respecte l'article 5, apartat primer, que «Els integrants de les Forces i Cossos de Seguretat de l'Estat, els cossos de policia de les comunitats autònomes i de les corporacions locals quedaran sota les ordres directes del Ministre de l'Interior, als efectes d'aquest reial decret, en el que sigui necessari per a la protecció de persones, béns i llocs, poden imposar serveis extraordinaris per la seva durada o per la seva naturalesa.». Per tant, el comandament del Cos de la Policia Local, durant la vigència de l'Estat d'Alarma i pel que fa a la protecció de persones, l'ostenta el Ministeri de l'Interior.

Les lleis autonòmiques de Coordinació de Policies Locals defineixen els cossos de Policia Local com «instituts armats de naturalesa civil, amb estructura i organització jerarquitzada...». Per la seva banda, les esmentades normes preveuen com a dret individual el d'«exposar, a través de la via jeràrquica, verbalment o per escrit, tot tipus de suggeriments relacionats amb el funcionament del servei, l'horari o les tasques, així com qualsevol altra petició que estimin pertinent.»
Pel que fa a la Jefatura del Cos de la Policia Local aquesta «exerceix la màxima responsabilitat en la Policia Local i ostenta el comandament immediat sobre totes les unitats, seccions i serveis en què s'organitza el cos, sota la superior autoritat de l'alcalde o d'aquell en qui hagi delegat l'exercici de les seves atribucions, quan així ho prevegi la normativa aplicable.» i a la mateixa correspon «Elevar propostes als òrgans municipals competents sobre: (...) millores de l'organització i del funcionament, pressupostos i mitjans materials i personals.».

Exposat l'anterior i descendint a l'àmbit competencial de el dret fonamental a la protecció de dades de caràcter personal (art. 18.4 CE), del tenor literal de la consulta sembla desprendre que per part de la Policia Local es pretén formular una petició directa al Servei Autonòmic de Salut (Responsable del Tractament de la dada personal de salut: positiu COVID-19) a l'objecte que per aquest se li comuniquin aquestes dades mitjançant llista de "persones que són portadores de virus COVID-19", l'anterior per considerar essencial dit Cos policial a l'objecte d'evitar la propagació de virus a la localitat.
Així mateix, aquesta Policia Local considera que són pressupostos habilitants per obtenir de el Servei Autonòmic de Salut la llista sol·licitada l'art.22.2 de la Llei Orgànica 15/1999 de Protecció de dades de caràcter personal (LOPD), el contingut de l'Informe 0017/2020 del Gabinet Jurídic de l'Agència Espanyola de Protecció de dades i el "article 46" del Reglament 2016/679 General de Protecció de dades -GDPR-, consultant si "seria lícit i legal demanar i que els proporcionen aquestes dades".

Avancem que la resposta de el Servei Autonòmic de Salut serà negativa, basant-nos en el següent:

1. De la no aplicabilitat de l'art. 22.2 Llei Orgànica 15/1999 al supòsit plantejat

L'article 22.2 de la Llei Orgànica 15/1999 disposa que «La recollida i tractament per a fins policials de dades de caràcter personal per les Forces i Cossos de Seguretat sense consentiment de les persones afectades estan limitats a aquells supòsits i categories de dades que siguin necessaris per a la prevenció d'un perill real per a la seguretat pública o per a la repressió d'infraccions penals, havent de ser emmagatzemats en fitxers específics establerts a l'efecte, que s'han de classificar per categories en funció del seu grau de fiabilitat.»

El meritat art. 22.2 LOPD 15/99 resulta actualment d'aplicació en així preveure-ho la vigent Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals; la Disposició transitòria quarta diu «Els tractaments sotmesos a la Directiva (UE) 2016/680 de el Parlament Europeu i de Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades i per la qual es deroga la Decisió Marc 2008/977 / JAI de el Consell, continuaran regint-se per la Llei Orgànica 15/1999, de 13 de desembre, i en particular l'article 22, i les seves disposicions de desenvolupament, mentre no entri en vigor la norma que transposi a el Dret espanyol que disposa la directiva esmentada.»

El citat article 22 de la Llei Orgànica 15/1999 va ser interpretat pel Gabinet Jurídic de l'Agència Espanyola de Protecció de Dades -AEPD- [per tots, l'informe 10/2014 que reitera la seva doctrina d'informes de 23 de març de 1999, de 17 de setembre de 2013 i de 4 d'octubre de 2013] que considera que habilita "als membres de la Policia Judicial per a l'obtenció i tractament de les dades requerides, el que comportarà la procedència de la cessió instada, sempre que, com s'indica en l'informe de la Comissaria General de la Policia Judicial adjunt a la consulta i aquesta Agència Espanyola de Protecció de Dades ha vingut indicant reiteradament, es compleixin les següents condicions:

a) Que quedi degudament acreditat que l'obtenció de les dades resulta necessària per a la prevenció d'un perill real i greu per a la seguretat pública o per a la repressió d'infraccions penals i que, tractant-se de dades especialment protegides, siguin absolutament necessàries per als fins d'una investigació concreta.
b) Que es tracti d'una petició concreta i específica, al no ser compatible amb el que assenyala anteriorment l'exercici de sol·licituds massives de dades.
c) Que la petició s'efectuï amb la deguda motivació, que acrediti la seva relació amb els supòsits que s'han exposat.
d) Que, en compliment de l'article 22.4 de la Llei Orgànica 15/1999, les dades siguin cancel·lades "quan no siguin necessàries per a les investigacions que n'hagin motivat l'emmagatzematge".

Queda clar que les sol·licituds efectuades amb fonament en l'art. 22.2 LOPD 15/99 únicament poden efectuar-se en funcions de Policia Judicial i amb la finalitat de prevenció d'un perill real per a la seguretat pública o per a la repressió d'infraccions penals. Per tant, seguretat pública (que no, salut pública) i reprensió d'infraccions penals, resultant que les policies locals únicament exerceixen funcions de policia judicial en matèria de trànsit i seguretat viària a les vies competència del Municipi, considerem que ha de rebutjar-la petició de accés a les llistes de malalts COVID-19 (dada de salut pública).

2. Del Considerant 46 GDPR

El considerant 46 GDPR diu textualment: "El tractament de dades personals també s'ha de considerar lícit quan sigui necessari per protegir un interès essencial per a la vida de la persona interessada o la d'una altra persona física. En principi, les dades personals únicament han de tractar-se sobre la base de l'interès vital d'una altra persona física quan el tractament no pugui basar-se manifestament en una base jurídica diferent. Certs tipus de tractament poden respondre tant a motius importants d'interès públic com als interessos vitals de l'interessat, com per exemple quan el tractament és necessari per a fins humanitaris, inclòs el control d'epidèmies i la seva propagació, o en situacions d'emergència humanitària, sobre sobretot en cas de catàstrofes naturals o d'origen humà."

Els "considerants" no tenen força normativa i únicament tenen la funció de raonar el contingut de la part dispositiva (l'articulat) del Reglament.
Així les coses, ha de ara portar-se a col·lació el que disposa l'article 9 GDPR que, sota la rúbrica "tractament de categories especials de dades personals" ens diu:

«1. Queden prohibits el tractament de dades personals que revelin (...) dades relatives a la salut (...) d'una persona física.». En aquest sentit el Considerant 53 GDPR ens aclareix que «El tractament de categories especials de dades personals, sense el consentiment de l'interessat, pot ser necessari per raons d'interès públic en l'àmbit de la salut pública. Aquest tractament ha d'estar subjecte a mesures adequades i específiques per tal de protegir els drets i llibertats de les persones físiques. En aquest context, «salut pública» s'ha d'interpretar en la definició del Reglament (CE) no 1338/2008 de Parlament Europeu i de Consell, és a dir, tots els elements relacionats amb la salut, concretament l'estat de salut, amb inclusió de la morbiditat i la discapacitat, els determinants que influeixen en aquest estat de salut, les necessitats d'assistència sanitària, els recursos assignats a l'assistència sanitària, la posada a disposició d'assistència sanitària i l'accés universal a ella, així com les despeses i el finançament de l'assistència sanitària, i les causes de mortalitat.».
Les funcions de la Policia Local estan determinades en les lleis autonòmiques de Coordinació de Policies Locals i en aquestes no atribueixen als cossos de policia local la participació directa i concreta en qüestions de salut pública, funcions que són atribuïdes a el Sistema Públic de Salut de cada comunitat autònoma.

CONCLUSIONS

  1. La Policia Local és un cos d'estructura i organització jerarquitzada, sent que les peticions individuals han de realitzar-se a través de la via jeràrquica dirigida a la Jefatura.
  2. Al cap de la Policia Local competeix la formulació de les sol·licituds a la superioritat i, durant la vigència de l'Estat d'Alarma, haurà de dirigir als òrgans competents del Ministeri de l'Interior perquè siguin aquests qui, prèvia ponderació i si ho consideren d'interès, ho sol·liciten a l'autoritat sanitària.
  3. El tractament de dades de salut pública constitueix un tractament de dades de caràcter personal especialment protegides que, en atenció a l'context de la pregunta formulada, correspon a el Servei de Salut de la Comunitat Autònoma, no sent causa habilitant per a l'accés i/o comunicació de els mateixos a la Policia Local que disposa l'article 22.2 Llei Orgànica 15/99 LOPD i / o Considerant 46 GDPR.
  4. En el supòsit de considerar la Policia Local que ostenta un interès legítim en l'accés als meritats dades de salut, ha d'elevar la Direcció de l'Cos una consulta al DPO de l'Ajuntament i/o sol·licitar que l'Ajuntament iniciï procediment administratiu davant l'AEPD davant la negativa rebuda per part de Servei Autonòmic de Salut.