¿Estoy obligado a dar mis datos en lugares de ocio por COVID-19?
En comunidades como Madrid o Castilla-La Mancha se obligará a los locales de ocio nocturno a registrar el nombre, número de teléfono y/o de DNI de los clientes para poder contactarlos con rapidez en caso de que se registre un positivo en el establecimiento. En Madrid la normativa ya se ha aprobado, mientras que en Castilla- La Mancha sólo se ha anunciado.
¿Las empresas privadas tienen potestad para recoger esos datos?. Se extrae de esta pregunta que las empresas privadas no están legitimadas para actuar por el “interés público”, tienen que ser las autoridades sanitarias quienes manejan los datos y cuanto menos se den, mejor. Además, tiene que existir una habilitación normativa que permita a los locales hacer esa recogida.
Pedir mínimo de datos al entrar a un local sí podría ser proporcional, pero con normativa acorde
Muchas personas se están preguntando si no se hace un tratamiento de sus datos personales al entrar en una discoteca de esta manera. La respuesta es afirmativa, al igual que se pueden tratar datos como el número de teléfono o el nombre para apuntarse en una lista de asistencia a uno de estos locales. Sin embargo, casi todo depende de quién controla los datos que damos y para qué objetivo se usan.
En este caso, se hace en el contexto de una pandemia donde se pueden aplicar ciertas concesiones en materia de protección de datos si y sólo si quien maneja esos datos es una autoridad sanitaria. Es decir, que podría estar justificado que recojan ciertos datos, como un número de teléfono o incluso tu identificación, pero no para que los trate cualquier empresa privada (en este caso los locales de ocio y las terrazas).
Además harían falta normas previas que regulen esa recogida de datos y, actualmente, la normativa de protección de datos, no lo tiene..
La finalidad del uso de los datos tiene que estar definida
En el caso de apuntarte a las listas de un local, es la propia discoteca la que tramita tu asistencia usando los datos que tú has proporcionado. Con ello, te están diciendo cuál es la finalidad que van a cumplir: dejarte entrar a un precio u otro, por ejemplo.
En este caso, la finalidad es otra: ayudar a combatir una pandemia que afecta a nuestra salud y, ese papel, no puede desempeñarlo la empresa, sino una autoridad sanitaria competente, como el Ministerio de Sanidad, escudándose en preservar el “interés público”, una de las bases legitimadoras incluidas en el Reglamento General de Protección de Datos.
¿Ayudaría realmente a gestionar la crisis sanitaria causada por COVID-19 esta medida? Para que tu negocio sea seguro, la obligación del empresario, es tomar las medidas de seguridad adecuadas como limitar el aforo, garantizar las medidas de higiene, el uso de mascarilla…., el tema de recogida de datos sería competencia de Sanidad.
Si te obligan a dar los datos para entrar, no es un consentimiento libre
El Boletín Oficial de la Comunidad de Madrid ha publicado este 29 de julio que los establecimientos tendrán que llevar un registro de fecha, hora y nombre y apellidos y número de teléfono de las personas que pasan por él (un mínimo de datos) y que solo podrán almacenarlos durante 28 días. La empresa no puede hacer nada con ellos más que derivarlos a Sanidad si son requeridos y deben avisarte que para eso los piden.
Ahora bien, en la resolución también dice que esos datos se recogerán gracias al “consentimiento del interesado”, pero condicionan la entrada al local a ello.
Que una empresa que gestiona un local de ocio nocturno diga que se basa en el “consentimiento” de la persona para recabar esos datos (es decir, que trata mis datos porque yo se los estoy dando voluntariamente) no sirve si no te van a dejar entrar si decides que no quieres darlos.
Si el consentimiento que damos a que se traten nuestros datos no es “libre”, entonces no es válido. “En este caso lo que están haciendo es someter el acceso al local a la condición de que se preste el consentimiento. Eso invalida automáticamente el consentimiento: “si yo no consiento, no entro”.
Al ser un espacio privado, los titulares se pueden reservar el derecho de admisión y pueden supeditar esa admisión al cumplimiento de los requisitos que quieran. Si quisieran funcionar solo con una app en la que todo el mundo tuviera que estar registrado para poder acceder, podrían pero habría que justificar por qué esa app, por qué esa recopilación de datos, cuál es la finalidad pretendida, a quién se dan los datos.
La normativa de protección de datos obliga a informar, en el momento de la recogida de los datos, los destinatarios de la información, por lo que sí, es obligatorio que se especifique que se pasarán esos datos a Sanidad así como la finalidad de ese tratamiento.
Fuente: Maldita.es