Protección de datos en tiempos de COVID-19: ¿Puede exigirse a los clientes hosteleros su DNI y datos de contacto?

2021-05-03T15:17:00

Tratando de contener la expansión de la COVID-19, son numerosas las iniciativas que tratan de garantizar la trazabilidad de los contactos y, así, una reacción rápida ante posibles contagios. Entre ellas se encuentran, por ejemplo, las medidas de localización y rastreo de contactos o, en particular, el registro de los datos de los clientes que acuden a los locales de ocio.

Protección de datos en tiempos de COVID-19: ¿Puede exigirse a los clientes hosteleros su DNI y datos de contacto?
3 de mayo de 2021

Tratando de contener la expansión de la COVID-19, son numerosas las iniciativas que tratan de garantizar la trazabilidad de los contactos y, así, una reacción rápida ante posibles contagios. Entre ellas se encuentran, por ejemplo, las medidas de localización y rastreo de contactos o, en particular, el registro de los datos de los clientes que acuden a los locales de ocio.

En este contexto, el Gobierno de Canarias adoptó recientemente una Resolución en virtud de la cual todos los restaurantes en fase 1 y 2 deben llevar un registro de los clientes que utilicen sus interiores en el que se incluya el DNI de dichos comensales.

Sin entrar a valorar la conveniencia o legalidad de esta Resolución, debe resaltarse que este tipo de tratamientos de datos deben estar alineados, desde el punto de vista de protección de datos, con las distintas guías publicadas durante el transcurso de la pandemia por las autoridades de protección de datos nacionales y europeas y, en particular, con el Comunicado sobre la recogida de datos personales por parte de los establecimientos publicado por la Agencia Española de Protección de Datos (AEPD) el pasado mes de julio y con las Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 adoptadas por el Comité Europeo de Protección de Datos (CEPD) en abril, ambos extrapolables al supuesto aquí enjuiciado.

¿Qué implicaciones tiene el registro de clientes desde una perspectiva de protección de datos?

La AEPD recuerda que la aplicación de esta medida de contención debe ser considerada necesaria por las autoridades sanitarias y ser obligatoria (en aras de no perder efectividad). En efecto, en caso de ser el consentimiento la base jurídica, para que dicho consentimiento se entendiese libre la negativa a prestar datos como el DNI no podría tener ninguna consecuencia negativa (por ejemplo, impedir la entrada al establecimiento).

Así, el seguimiento de la evolución de los contactos y la cesión de los datos a las autoridades sanitarias estaría amparado -según señala AEPD- en el artículo 6.1.e del RGPD, entendiendo el tratamiento como “necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.

Además, y (únicamente) mientras se mantenga el estado de alarma, no será necesario que la norma en cuestión tenga rango de ley.

Sentado lo anterior, será necesario (a) justificar que no existen otras medidas más moderadas (y con igual eficacia) para garantizar la trazabilidad de los contactos; (ii) aplicar el principio de limitación de la finalidad y del plazo de conservación; y (ii) cumplir con el principio de minimización (en virtud del cual sería suficiente recabar el número de teléfono y los datos del día y hora de asistencia al local en cuestión).

Finalmente, los ciudadanos deben ser informados debidamente sobre el tratamiento que se hará de sus datos con carácter previo a su recogida, y deberán aplicarse las medidas de seguridad apropiadas.

¿Qué principios deben cumplirse cuando se recogen este tipo de datos personales?

Uno de los principios establecidos por el Reglamento General de Protección de Datos (“RGPD”) que deben regir en todo tratamiento es el de minimización de datos, mediante el cual únicamente deben tratarse aquellos datos que resulten adecuados, pertinentes y limitados a lo necesario.

En este sentido, debe señalarse que cuando se creó la app “Radar Covid” el CEPD señaló que datos como el nombre y apellidos de los ciudadanos son “innecesarios para la finalidad de avisar a los posibles contactos”.

Por ello, todo tratamiento de datos personales, aun en el marco de la actual pandemia, debe limitarse a aquellos datos que resulten estrictamente necesarios para la finalidad perseguida, no debiendo recogerse datos adicionales que no sean imprescindibles.

Por otra parte, cabe resaltar que la Resolución se ha publicado en el marco del actual estado de alarma en el que nos encontramos. Una vez culmine éste (si así sucede) el próximo 9 de mayo, Canarias debería ampararse en una norma con rango de ley para poder continuar aplicando la medida (pues está contenida en una resolución).

En tal supuesto, la base jurídica en la que podrían ampararse los establecimientos hosteleros para la recogida y el tratamiento de estos datos personales sería el cumplimiento de una obligación legal aplicable al responsable (artículo 6.1.c) del RGDP).

Con todo, las iniciativas similares que surjan en un intento de contener la expansión de la pandemia deberán ser necesarias, sometidas a una revisión periódica y limitadas no sólo en el tiempo sino también en su alcance. Según lo dispuesto por las autoridades competentes, la identificación a través de DNI resultaría en todo caso desproporcionada.

Autores: Ana Sánchez y Jorge Monclús

3 de mayo de 2021