Identificación y protección de datos

Se pone en debate el cumplimiento de la protección de datos en la identificación de clientes para entrar a locales de ocio. 

Está claro que el coronavirus ha obligado a cambios drásticos en nuestra vida cotidiana, incluyendo aquellos que considerábamos innecesarios antes de esta situación.

Con anterioridad, las empresas habían puesto en marcha otras medidas para combatir el contagio del COVID-19.

Con la apertura de centros de ocio, nos encontramos con otra medida nueva, esta es la identificación de clientes previo al acceso a establecimientos de ocio.

¿Qué dice la Agencia de Protección de Datos?

El pasado 31 de julio, la Agencia Española de Protección de Datos (AEPD), pone de manifiesto que no todas las medidas surgidas para controlar la propagación de la pandemia, están enmarcadas en lo dispuesto por la normativa de protección de datos y que por el contrario, la pueden vulnerar.

Del mismo modo, no todos los datos que se recojan en este ámbito de control sanitario del virus, pueden ser considerados datos de categoría especial.

Conclusiones

La AEPD determina que solicitar identificación a los clientes, como su nombre completo y DNI son medidas excesivas, por las siguientes razones:

  1. No está acreditada la necesidad de este registro por las autoridades sanitarias, ni tampoco está regulada con carácter obligatorio, es decir, por una norma con rango de ley.
  2. La base jurídica para implementar este tipo de medidas, en donde existiría una cesión de datos a las autoridades sanitarias, sería el artículo 6.1.e) del RGPD, ya que el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, es decir, existe un interés público de controlar la pandemia.
  3. Sin embargo, en pro de garantizar en el máximo nivel la protección de datos, es importante analizar en qué tipo de establecimientos es necesario implantar las medidas de identificación previa de los clientes, señalando por parte de las autoridades sanitarias aquellos establecimientos que estén en riesgo de no poder cumplir con las medidas de seguridad de sana distancia, uso de mascarillas, uso de gel desinfectante, etc.
  4. La recogida de datos debe armonizarse con el principio de minimización de datos.
  5. La finalidad de la recogida de los datos debe ser respetada en todo momento, prohibiendo el uso de esos datos personales relacionados con cualquier otro fin que no sea el control de la pandemia.
  6. Los clientes (interesados) deben ser informados del tratamiento de sus datos personales, así como de las medidas de seguridad adoptadas para su garantía.

 ¿Qué deberían hacer los locales de ocio?

Los establecimientos que estén tomando estas medidas como parte de su iniciativa para controlar la expansión del virus, deben contar con consultores de protección de datos que implanten en su negocio los principios que rigen el tratamiento de datos personales, así contemplar las instrucciones realizadas por la AEPD, evitando reclamaciones ante el órgano de control y posibles sanciones.

En este sentido, predomina el principio de minimización de datos proponiendo solicitar únicamente el teléfono del cliente, así como anotar el día y la hora de asistencia al lugar.

La anonimización de los clientes también sería una medida a valorar, como criterio asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia.

Pida ayuda a consultores de protección de datos

Si desconoce todas las implicaciones que la Normativa de protección de datos tiene en su negocio, Business Adapter Valencia puede ayudarle. Contáctenos.