Desde que el pasado 9 de junio entró en vigor el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, las administraciones públicas han ido adoptando distintas iniciativas para prevenir y controlar los contagios y evitar futuros rebrotes.

Si bien estas medidas son de diverso alcance, dependiendo de la administración concreta que las aplica, todas tienen en común su afectación, en mayor o menor medida, a la protección de datos personales.

La propia norma expone que las medidas para la detección precoz de la enfermedad y el control de las fuentes de infección y vigilancia epidemiológica, así como las obligaciones de recogida, tratamiento y remisión de información, de los datos de relevancia epidemiológica y sanitaria pertinentes, se entiende “siempre salvaguardando los derechos de protección de datos personales”.

Sin embargo, no ha sido tan sencillo concretar, de forma real y efectiva, en qué debe traducirse esta “salvaguardia” de los derechos de protección de los datos personales y determinar qué medidas podían adoptarse con esa finalidades, pero sin vulnerar derechos personales.

Es por ello, por lo que el día 31 de julio de 2020, la Agencia Española de Protección de Datos (AEPD), ha emitido un comunicado–tras varios informes, consultas y otros comunicados- sobre una de las iniciativas públicas que consisten en el registro de los datos de los clientes que acuden a un local de ocio.

En esta comunicación, la AEPD da respuesta a las siguientes cuestiones. En primer lugar, deja claro que estos datos de registro de los clientes que acuden a locales de ocio no tienen la consideración de “categoría especial”, a los efectos del Reglamento general de protección de datos, pues la creación de un registro de clientes no afecta ni versa sobre ningún relativo a su salud.

En segundo lugar, recuerda que al tratarse de una medida para la contención de la epidemia y, por tanto, con una finalidad pública, las autoridades deben acreditar su necesidad y, en caso de que así lo hagan, estas medidas de registro tendrán que ser obligatorias para cualquier persona que quiera acudir a uno de los referidos locales.

También se refiere la AEPD a los requisitos de proporcionalidad y minimización de los registros. Respecto al requisito de la proporcionalidad, en concreto, la AEPD distingue entre las medidas que pueden adoptarse dependiendo del local de ocio de que se trate, pues, es evidente, que no deberían ser las mismas cuando nos referimos a un local de ocio nocturno que si se trata de llevar un registro de personas que acuden a un museo. Y por lo que respecta la mínima intromisión a la intimidad personal, advierte que las medidas podrían consistir, simplemente, en la de facilitar un número de teléfono de contacto, sin ser siquiera necesario dar el nombre y apellidos ni, muchos menos, identificarse con el documento nacional de identidad.

Y, por último, se recuerda que cualquier medida debe cumplir con el principio de limitación de la finalidad, es decir, que los datos obtenidos como consecuencia de la implantación de estos registros de acceso únicamente pueden utilizarse con fines de prevención, contención y coordinación del virus.