Doctrina

Título: COVID-19 y Derecho Público (durante el estado de alarma y más allá)
Fecha: 01/07/2020
Coordinadores: David Blanquer Criado
Voces sustantivas: Corporaciones de derecho publico, Capacidad de obrar, Capacidad de obrar ante las administraciones públicas, Derecho de la unión europea, Defensor del pueblo, Derecho administrativo sancionador, Deslinde, Entidades locales, Función pública, Fundaciones, Infracciones y sanciones, Legítima, Libertades públicas, Medidas de seguridad, Personas jurídicas, Procedimiento administrativo, Resistencia a la autoridad, Responsabilidad patrimonial, Responsabilidad patrimonial de la administración, Seguridad ciudadana, Silencio administrativo, Subvenciones públicas, Sociedades mercantiles, Telecomunicaciones, Transporte aéreo, Unión europea, Amenazas, Atentados, Adopción de acuerdos, Congreso de los diputados, Caducidad, Concurrencia de causas, Deber de información, Derecho a la libertad de expresión, Derecho a la protección de la salud, Derecho a participar en los asuntos públicos, Derecho de información, Derecho de reunión, Documento público, Domicilio, Ejercicio de los derechos, Empresas de seguridad, Enseñanza, Fuerza mayor, Funciones públicas, Información pública, Intervención de empresas, Lesión, Libertad de circulación, Libertad de información, Libertad religiosa, Libertades de expresión e información, Organismos públicos, Organización administrativa, Privación de derechos, Proteccion de datos de caracter personal, Persona jurídica, Personal sanitario, Personas físicas, Plazo de prescripción, Prestaciones personales obligatorias, Relación de causalidad, Rendición de cuentas, Salud pública, Secretarios de estado, Seguridad y salud, Servicios de salud de las comunidades autónomas, Servicios sociales, Teletrabajo, Órganos de gobierno, Administración general del estado, Antijuridicidad, Banco de españa, Consejo de estado, Consejo económico y social, Centro de trabajo, Compañías de seguros, Datos de carácter personal, Desobediencia a la autoridad, Documentos públicos, Embargo, Estudiantes, Fuerza mayor, Interés legítimo, Investigación científica, Legislación aplicable, Legitimación, Lesión individualizada, Lesión susceptible de valoración económica, Marcas, Medida de seguridad, Ordenanzas locales, Obligaciones de información, Plazo para resolver, Plazos, Plazos de prescripción, Poder de disposición, Propiedad, Quorum de constitución, Rendición de cuentas

Cómpralo ya en Tirant.com

Precio: 39,90 Euros 37,91 Euros Descuento -5.0%
Libro electrónico: 24,00 Euros

Salida en 1 semana

Ir a librería

Número epígrafe: 4
Título epígrafe: Transparencia y protección de datos en el estado de alarma y en la sociedad digital post COVID-19

TEXTO:

I. ESTADO DE ALARMA, SOCIEDAD DIGITAL Y DERECHOS FUNDAMENTALES. LA TRASCENDENCIA DE LA TRANSPARENCIA Y LA PROTECCIÓN DE DATOS

Como ya todos sabemos el artículo 116 de la Constitución dispone que una ley orgánica regulará los estados de alarma, de excepción y de sitio, y las competencias y limitaciones correspondientes. Precisa que el estado de alarma será declarado por el Gobierno mediante decreto acordado en Consejo de Ministros por un plazo máximo de quince días, dando cuenta al Congreso de los Diputados, reunido inmediatamente al efecto y sin cuya autorización no podrá ser prorrogado dicho plazo (nada dice acerca del número máximo de prórrogas que pueden acordarse). El decreto determinará el ámbito territorial a que se extienden los efectos de la declaración.
La Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio regula en los artículos 4 a 12 el estado de alarma, que, según el art. 4, podrá ser decretado cuando, entre otras alteraciones graves de la normalidad, se produzcan "crisis sanitarias, tales como epidemias y situaciones de contaminación graves". En aplicación de lo que establece la Constitución y la citada Ley Orgánica el Gobierno aprobó el Real Decreto 463/2020, de 14 de marzo, por el que se declaró el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19. A partir de ahí se han aprobado innumerables disposiciones, Decretos-leyes, Decretos, Órdenes, decenas de ellas, del Estado, de las Comunidades Autónomas, de las Entidades Locales, en un proceso normativo totalmente desconocido hasta la fecha, imposible de abarcar, con normas publicadas en todos los Boletines Oficiales de cada día y a veces incluso dos al día, en ocasiones minutos antes de concluir la jornada para ser aplicable ese mismo día de publicación. El objetivo era hacer frente a las consecuencias derivadas de la crisis del coronavirus, convertida en pandemia global.
La declaración del estado de alarma no permite suspender derechos y libertades. Tan sólo permite limitarlos en los términos previstos en el artículo 11 de la Ley Orgánica 4/19812. Así debe interpretarse el artículo 55.1 de la Constitución que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aun así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos deriva del artículo 18.4 de la Constitución de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma. En cuanto al derecho de acceso a la información la cuestión radica en que no se reconoce formalmente como derecho fundamental ni en la Constitución ni en la Ley 19/2013, de transparencia, que se dicta de acuerdo al artículo 105 de la Constitución. En cualquier caso la libertad de expresión e información y el derecho a participar en los asuntos públicos no han sido tampoco suspendidos, pues en ningún caso es posible en el estado de alarma.
En consecuencia, como punto de partida, los derechos a la protección de datos, a la libertad de información y expresión y a participar en los asuntos públicos no han resultados ni suspendidos durante el estado de alarma. Sin embargo no pocas de las medidas que se han adoptado desde el 14 de marzo han incidido negativamente en los derechos que acabo de mencionar, lo que a su vez plantea la cuestión de si realmente hemos sufrido una situación más cercana al estado de excepción, pese a que formalmente el que se ha declarado es el estado de alarma. Sobre ello se han pronunciado Tomás de la Quadra-Salcedo3, Manuel Aragón4, Mercedes Fuertes5, Pedro Cruz Villalón6, o Javier Álvarez7. Pese a que el debate es sin duda de enorme interés, no podemos ahora ocuparos de ello. La sentencia del Tribunal Constitucional 30/2016, dictada como consecuencia de la declaración del estado de alarma acordado por Real Decreto 1673/2010, de 4 de diciembre, para la normalización del servicio público esencial del transporte aéreo paralizado "como consecuencia de la situación desencadenada por el abandono de sus obligaciones por parte de los controladores civiles de tránsito aéreo", da pistas para aventurar la que puede ser una solución a las controversias que ahora se están planteando. Más recientemente el debate se ha reabierto a raíz del Auto del Tribunal Constitucional de 30 de abril de 2020, o las sentencias de algún Tribunal Superior de Justicia, como el de Aragón, también de 30 de abril, dictados en uno y otro caso como consecuencia de las manifestaciones convocadas con ocasión del 1º de mayo.
Pese a lo que dispone la ley Orgánica 4/1981 y el Artículo 55 de la Constitución lo cierto es que no pocas medidas adoptadas en el marco del Estado alarma han afectado muy directamente a la protección de datos, la transparencia y el acceso a la información. Esta situación es especialmente delicada si tenemos en cuenta que las especiales condiciones en las que nuestras vidas se han desarrollado durante estas semanas han puesto sobre la mesa la importancia de la innovación tecnológica en el marco de la sociedad digital.
II. TRANSPARENCIA Y ACCESO A LA INFORMACIÓN DURANTE EL ESTADO DE ALARMA

A) A vueltas con el derecho de acceso como derecho fundamental

En el marco del estado de alarma, ¿se ha producido de hecho una suspensión de los derechos de expresión e información y participación y por tanto del derecho de acceso a la información pública? Ya he señalado en otro lugar que en mi opinión, si no suspendidos (evidentemente tales derechos no han quedado suspendidos ni de facto ni de iure), sí han sufrido limitaciones no siempre justificadas. Sobre ello se han pronunciado también, críticamente, entre otros, Elisa de la Nuez8, Esperanza Zambrano9 o José María Gimeno10, así como Access Info y Transparencia Internacional.
La International Conference of Information Commissioner's (ICIC) ha emitido una Declaración11 (suscrita entre otros por el Consejo de Transparencia y Buen Gobierno de España, el Consejo de Transparencia de Andalucía12 y el de Murcia), en la que reconoce que "las autoridades públicas deben tomar decisiones importantes que afecten la salud pública, las libertades civiles y la prosperidad de las personas" y que "los recursos pueden desviarse del trabajo habitual de derechos de información", por lo que "las organizaciones públicas centrarán correctamente sus recursos en la protección de la salud pública", y puede ser necesario "adoptar un enfoque pragmático, por ejemplo, en torno a la rapidez con que los organismos públicos responden a las solicitudes". Pero asimismo advierte que el derecho del público a acceder a información sobre las decisiones que se adopten durante la crisis del Covid-19 "es vital" y que "la importancia del derecho de acceso a la información permanece" y concluye que "los organismos públicos también deben reconocer el valor de una comunicación clara y transparente, y de un buen mantenimiento de registros, en lo que será un período muy analizado de la historia". Me interesa mucho resaltar esta última precisión: estamos ante un período de la historia que será "muy analizado",

Según el art. 15 de la Declaración de Derechos del hombre y el ciudadano de 1789 "La sociedad tiene derecho a pedir cuentas de su gestión a todo agente público". Ya antes, en 1766, Suecia había aprobado su Freedom of the Press Act. En 1914 el Juez Brandeis incluyó en el capítulo V ("What Publicity Can Do") de su opúsculo Other' s People Money13 su famosa frase: "La luz del sol es el mejor de los desinfectantes". El artículo 42 de la Carta de los Derechos Fundamentales de la Unión Europea reconoce el derecho de acceso a los documentos públicos, si bien es verdad que sólo frente al Parlamento Europeo, el Consejo y la Comisión. Son sólo algunos de los pasos que se han ido dando desde al menos el siglo XVIII para poder reconocer el derecho de acceso a la información pública como un derecho fundamental. Algo tan simple como el "derecho a saber", el Right to Know.
Que entre nosotros, sin embargo, no se reconozca el derecho de acceso a la información pública como un derecho fundamental autónomo o independiente es tan inexplicable como incomprensible. La ley 19/2013, de transparencia, es una ley ordinaria, no orgánica, y en todo su texto no hay ni una sola referencia a los artículos constitucionales en los que se reconoce el derecho a la libertad de expresión e información (art. 20.1 apartados a y d CE) o de participación en los asuntos públicos (art. 23), derechos estos de los que suele hacerse derivar el de acceso a la información. Muy al contrario la ley reconoce en su artículo 12 que todas las personas tienen "derecho a acceder a la información pública en los términos previstos en el artículo 105.b) de la Constitución", es decir en los términos de un precepto que para nada pretende regular un derecho fundamental sino tan sólo un principio de actuación de la Administración Pública del que a lo sumo derivan derechos subjetivos de las personas "con capacidad de obrar" en sus relaciones con las Administraciones Públicas (art. 13.d de la Ley 39/201514) o derechos de los interesados en el procedimiento.
En cualquier caso, sólo en los supuestos de estado de excepción o de sitio, nunca de alarma, sería posible suspender los derechos a la libertad de expresión e información y en ningún caso el de participación en los asuntos públicos. Así lo establece el tan repetido artículo 55 de la Constitución. Por tanto hemos de partir de la base de que los derechos fundamentales en los que se basa el derecho de acceso a la información pública (ya que hoy por hoy, como he señalado, con la ley en la mano, no se considera como un derecho fundamental autónomo) no puede entenderse que hayan quedado en absoluto suspendidos con la declaración del estado de alarma.
Sin embargo las dudas se han planteado. Se ha señalado, por un lado, que el portal de transparencia se había "cerrado" y, por otro, se han suspendido los plazos para responder las peticiones de acceso. Veamos.
B) El Portal de la Transparencia

Los artículos 10 y 11 de la ley 19/2013 de Transparencia, acceso a la información pública y buen gobierno se refieren al Portal de la Transparencia. El primero señala que "la Administración General del Estado desarrollará un Portal de la Transparencia, dependiente del Ministerio de la Presidencia15, que facilitará el acceso de los ciudadanos a toda la información a la que se refieren los artículos anteriores relativa a su ámbito de actuación". Primero, por tanto, e importante, no hay un único portal de transparencia, sino varios, en función de la estructura descentralizada de nuestro Estado y la consiguiente existencia de diversas Administraciones Públicas. De hecho en el Portal de la Transparencia no se publica información de Comunidades Autónomas, Entidades Locales, Sociedades Estatales, Fundaciones y órganos Constitucionales.
Según el citado artículo 10 de la Ley 19/2013 el Portal incluirá la información de la Administración General del Estado cuyo acceso se solicite con mayor frecuencia. Además, según el artículo 11 la información se publicará de acuerdo a los principios de accesibilidad, interoperabilidad y reutilización.
Durante el estado de alarma se ha planteado cierta controversia acerca de si el Portal de la Transparencia estaba o no cerrado. La respuesta debe en mi opinión ser matizada. Es cierto que el Portal de la Transparencia de la Administración General del Estado así como el resto de Portales de Transparencia de las demás Administraciones y entidades públicas han seguido funcionando durante el estado de alarma. Ningún portal, por tanto y en lo que yo conozco, ha sido cerrado. Ahora bien el Portal es una pieza clave en el modelo de transparencia que diseña la ley 19/2013, que sólo adquiere plena virtualidad si se pone en relación con el derecho de acceso. La cuestión es sencilla: la transparencia pivota fundamentalmente en torno a dos grandes ejes, la transparencia activa y el derecho de acceso a la información. Dejar solo en manos de la voluntad de los sujetos obligados, por muy obligados que por ley estén, la publicación de información puede que permita afirmar que el portal de la transparencia sigue funcionando, y así es sin duda, pero no que la transparencia en sí siga plenamente operativa. En circunstancias de normalidad la transparencia activa debe necesariamente ser complementada con el derecho de acceso a la información al objeto de poder tener conocimiento no solo de lo que publican las entidades públicas sino de aquello que sin ser publicado debe ser conocido por los ciudadanos. Y si ello es así en circunstancias de normalidad aún más en el marco de excepcionalidad como la que hemos vivido y aún todavía seguimos viviendo. Si la carencia de información o la publicación incompleta no pueden ser compensadas mediante el derecho de acceso a la información pública, podrá sin duda afirmarse que el portal de la transparencia sigue abierto, y repito que así así, pero no que la transparencia sea o haya sido plenamente eficaz. En consecuencia ninguna objeción cabe hacer a la afirmación de que los portales de transparencia han seguido operativos durante el estado de alarma y que por tanto no es correcto afirmar que han sido cerrados. Pero esa situación, unida a la suspensión de plazos para atender las peticiones de acceso, ha hecho que irremediablemente la transparencia como tal haya sido en parte desactivada durante el estado de alarma.
C) La controvertida suspensión de plazos durante el estado de alarma

En contra de lo que ha ocurrido en otros países o en relación con algunas instituciones internacionales, entre nosotros los plazos para atender las peticiones de acceso a la información pública han estado suspendidos hasta el 1 de junio. Se levantó la suspensión de plazos administrativos a partir de dicha fecha por Real Decreto 537/2020, de 22 de mayo16.
Mantener abiertas las vías para que el derecho de acceso a la información pública y con él la libertad de expresión e información así como de participación en los asuntos públicos sean reales y efectivos, incluso en estado de alarma, es imprescindible. El 27 de abril veintisiete organizaciones miembros de la Coalición Pro Acceso pidieron al Gobierno que garantice el ejercicio del derecho de acceso a la información, después de que se hayan suspendido los plazos administrativos por el estado de alarma17.
Por su parte el Consejo de la Unión Europea ha mantenido el plazo de 15 días para atender las solicitudes de acceso, sin perjuicio de que puedan producirse ciertos retrasos al responder18. Y en Argentina la Agencia de Acceso a la Información Pública dictó su Resolución 70/202019 por la que dispone que quedan exceptuados de la suspensión de los plazos administrativos los trámites previstos por la Ley Nº 27.275, de Acceso a la Información Pública. La Resolución se basa en que "si bien el ejercicio del derecho de acceso a la información pública es susceptible de ser suspendido en circunstancias excepcionales (...) no ha mediado en tal sentido declaración alguna por parte del Estado Nacional; de allí que mantiene plena vigencia al presente." Además llama la atención sobre el hecho de que "su ejercicio resulta fundamental para el control ciudadano de los actos públicos y la evaluación de la gestión del Estado; a la vez que, ante una situación de emergencia y crisis sanitaria producto de la pandemia generada por el COVID 19, acceder a la información pública se torna indispensable para conocer la actuación de la Administración y evitar la arbitrariedad en la toma de decisiones públicas"20. Podríamos referir ahora más ejemplos de no suspensión de plazos.
Según el artículo 1º del Real Decreto 463/2020 el estado de alarma se declaró "con el fin de afrontar la situación de emergencia sanitaria provocada por el coronavirus Covid19". En consecuencia todas las medidas que se adopten y que pueden implicar limitación o restricción de derechos deben estar dirigidas a esa finalidad y no a otra. La suspensión de plazos administrativos que regula la disposición adicional tercera, cuyo texto fue modificado por Real Decreto 465/2020, debe tener como objetivo, o al menos fundamentarse en la necesidad de afrontar tal situación. No olvidemos que la suspensión de plazos trae como consecuencia la suspensión de la obligación que tienen las Administraciones de dictar resolución expresa (art. 21 de la Ley 39/2015) y en consecuencia se enerva la posibilidad de reaccionar contra la inactividad o el silencio de la Administración. Como hace ya años recordaban García de Enterría y Tomás-Ramón Fernández, la figura del silencio administrativo, tuvo en su origen (1900, en Francia) como finalidad evitar que la Administración pudiese "eludir el control jurisdiccional con solo permanecer inactiva; en tal caso el particular afectado por la inactividad de la administración quedaba inerme ante ella, privado de toda garantía judicial"21. Pues bien, la suspensión de plazos y con ello de la obligación de resolver, puede producir la inmunidad siquiera sea temporal de la Administración. Algo que es especialmente relevante en el ámbito de las solicitudes de acceso a la información pública y que carece de justificación incluso en estado de alarma.
Por otra parte, parece que en un marco de teletrabajo y tras la apuesta decidida por el funcionamiento electrónico del sector público que recoge la ley 40/2015 (arts. 38 y ss.) no parece que esté justificado suspender todos los plazos administrativos Menos aun cuando de ello depende, aunque sea indirectamente, la efectividad misma de derechos fundamentales que no solo parece que no deben ser limitados en el estado de alarma sino que muy al contrario han de ser fortalecidos o al menos mantenidos en los mismos términos que en un estado de normalidad.
Por tanto, la suspensión de plazos a la que vengo refiriéndome carece en mi opinión de toda justificación, sin perjuicio, además, de que la regulación de tal suspensión ha dejado mucho que desear. De entrada, no todos los plazos han quedado suspendidos22. Por lo que muy bien podría haberse acordado mantener vigentes los referidos a la contestación a las peticiones de acceso. Además, la reforma operada por el Real Decreto 465/2020 introdujo la previsión de que los plazos quedan suspendidos sin perjuicio de poder "acordar motivadamente la continuación de aquellos procedimientos administrativos que vengan referidos a situaciones estrechamente vinculadas a los hechos justificativos del estado de alarma, o que sean indispensables para la protección del interés general o para el funcionamiento básico de los servicios". Carece de sentido, en mi opinión, que plazos "indispensables para la protección del interés general", entre los que sin duda deben entenderse incluidos los relativos al acceso a la información pública, puedan continuar corriendo sólo si lo motiva la entidad del sector público que así lo considere oportuno. Cuando la situación debería ser cabalmente la contraria: sólo motivadamente podrían en tales casos suspenderse los plazos (y aun así sería dudoso, pues bastaría con aplicar las limitaciones al acceso o las causas de inadmisión de la solicitud que pudieran producirse, de acuerdo a los arts. 14 y 18, respectivamente, de la Ley 19/2013).
Por otra parte debe tenerse en cuenta que la suspensión de términos y la interrupción de plazos se ha aplicado, según el apartado 2 de la Disposición adicional tercera del Real Decreto 463/2020, "a todo el sector público definido en la ley 39/2015", es decir la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y el sector público institucional. Pero solo a las entidades que en tal concepto cabe integrar. Quiero con esto resaltar que no coincide el ámbito subjetivo de aplicación de la ley 39/2015 con el de la ley 19/2013. Así por ejemplo las peticiones de acceso a la información pública dirigidas a la Casa de su Majestad el Rey, el Congreso de los Diputados, el Senado, el Tribunal Constitucional y el Consejo General del Poder Judicial así como el Banco de España, el Consejo de Estado, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo Económico y Social o las instituciones autonómicas análogas en relación con sus actividades sujetas a derecho administrativo no quedaron sujetas a la suspensión de plazos que estableció el Real Decreto de declaración de estado de alarma. Pero es que incluso cabe plantear dudas acerca de si la suspensión de plazos era aplicable también a las corporaciones de derecho público por cuanto éstas no forman parte del sector público definido en la ley 39/2015 sino que ésta se les aplica supletoriamente en relación con el ejercicio de sus actividades de derecho público. Tampoco las sociedades mercantiles en cuyo capital social la participación pública, directa o indirecta, sea superior al 50% o las fundaciones del sector público quedaron afectadas por la suspensión de plazos. Si esto es así no se comprende que la transparencia y el acceso a la información no estén limitados en relación con ciertas entidades pero sí con otras. Si la justificación se pretende encontrar en la imposibilidad o dificultad en la actuación administrativa y las relaciones con los ciudadanos que el confinamiento durante el estado de alarma ha traído consigo, hay que concluir que el mismo alcanza (o no, que es lo lógico) a las entidades del sector público previstas en la ley 39/2015 y a las demás a que se aplica la ley de transparencia.
En conclusión en época de estado alarma es imprescindible facilitar toda aquella información pública de la que se disponga. No luchamos ante un enemigo que no deba conocer la realidad de las cosas. Nuestro enemigo común ha sido y es el coronavirus y para atajarlo es imprescindible conocer toda la información que sea posible. De este modo el "derecho a saber", que está en la base misma de la transparencia y el acceso a la información, debe ser ahora más reivindicado que nunca. Información que alcanza también a todos los datos sobre la evolución de la pandemia y sobre la gestión económica que desde los poderes públicos se está llevando a cabo, incluida la referida a adquisiciones de material, coste, adjudicatarios y en general celebración de contratos.
En un estado de alarma declarado con el fin de afrontar la situación de emergencia sanitaria provocada por el coronavirus no debieron suspenderse los plazos para atender las solicitudes de información pública y mucho menos deben limitarse o restringirse las informaciones que en base al deber de transparencia activa deben estar a disposición de todas las personas. Más aún en un escenario de digitalización e implantación de herramientas y recursos digitales del que siempre han hecho gala nuestros Gobiernos.
La transparencia, en fin, debe salir reforzada del estado de alarma. Lástima que nada haya sobre ello en el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, que acaba de publicarse.
III. PRIVACIDAD DURANTE EL ESTADO DE ALARMA

A) El alcance de la posible limitación de la privacidad durante el estado de alarma. En particular el informe de la AEPD 0017/2020

Como se ha puesto de manifiesto ya en varias ocasiones, tanto el Reglamento (UE) 2016/679, General de Protección de Datos de la Unión Europea (RGPD) como la Ley Orgánica 3/2018, de Protección de Datos (LOPDGDD) permiten, como no puede ser de otro modo, el tratamiento de datos, incluidos datos de salud, sin el consentimiento de los afectados, cuando sea necesario para atajar el coronavirus. La legislación sectorial en materia de sanidad y salud pública también lo permiten, como la de prevención de riesgos laborales. Con todo este marco normativo ha de ponerse de relieve una vez más que la protección de datos ni es ni puede ni debe ser un obstáculo para la más efectiva de las luchas contra el coronavirus dentro del Estado de Derecho. Una vez más insisto en que la protección de datos apenas prohíbe hacer nada, sino que marca la línea que indica cómo deben hacerse las cosas.
Desde luego, como ya he puesto de manifiesto en otras ocasiones, no creo que pueda pensarse que el derecho fundamental a la protección de datos se haya vaciado de contenido durante el estado de alarma. Pero hay que ser extraordinariamente cauto para evitar cualquier riesgo de impacto irreversible en la protección de datos. Las pistas ya las dio la Agencia Española de Protección de Datos en su relevante Informe 0017/202023 y el Comité Europeo de Protección de Datos lo advirtió ya desde su Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, adoptada el pasado 19 de marzo24 en la que resalta que la normativa sobre protección de datos y en particular el Reglamento (UE) 2016/679, no impiden tomar medidas en la lucha contra la pandemia del coronavirus, pero advierte que incluso en estas excepcionales circunstancias quienes traten datos personales deben asegurar su protección. Sin perjuicio de que el propio Reglamento y la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas (Directiva e-Privacy) prevén reglas que pueden aplicarse al tratamiento de datos que se lleve a cabo en un contexto como el actual, que permitiría incluso obviar en ciertos casos el consentimiento de los afectados. Además el Comité Europeo de Protección de Datos lo ha analizado con detalles en sus Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19 y 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto del brote de COVID-1925. Por su parte Wojciech WIEWIÓROWSKI, Supervisor Europeo de Protección de Datos hizo pública el 6 de abril de 2020 una declaración sobre EU Digital Solidarity: a call for a pan-European approach against the pandemic26 en la que insistía en que la protección de datos no debe ser un obstáculo en la lucha contra la pandemia pero teniendo en cuenta que cualquier medida tomada a nivel europeo o nacional debe ser:

- Temporal: "no están aquí para quedarse después de la crisis".
- Con finalidades limitados: "sabemos lo que estamos haciendo".
- En base a un acceso a los datos limitado: "sabemos quién está haciendo qué".
- Y conociendo qué se hará tanto con los resultados de las operaciones de tratamiento como con los datos en bruto utilizado en el proceso: "sabemos el camino de vuelta a la normalidad".
La cuestión, sobre el papel, ni era ni es difícil: si no es en ningún caso posible suspender el derecho a la protección de datos (recuerdo que ello tampoco sería posible ni en un estado de excepción ni de sitio) sino sólo limitar su ejercicio en lo imprescindible para combatir la situación que ha dado lugar al estado de alarma ("afrontar la situación de emergencia sanitaria provocada por el coronavirus COVID-19", según el art. 1 del Real Decreto 463/2020), si ello es así, decía, los principios esenciales que configuran el contenido esencial del derecho a la protección de datos en ningún caso pueden violarse y la situación ha de volver a una total normalidad una vez concluido el estado de alarma.
En este escenario las medidas que hubiese que adoptar (y que se han adoptado) en materia de protección de datos para acabar cuanto antes con la pandemia deberían y deben respetar en todo caso los principios que enumera el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva. Ninguno de estos principios cede en el estado de alarma. Y todo ello bajo la supervisión de las autoridades de protección de datos, en particular la Agencia Española de Protección de Datos, cuyas competencias en este ámbito, por lo demás, en ningún caso pueden ser sustraídas ni ejercidas por las autoridades competentes delegadas a que se refiere el Real Decreto 463/2020, pues la existencia misma de una autoridad de control independiente forma asimismo parte del contenido esencial del derecho a la protección de datos, tal como se desprende del artículo 8.3 de la Carta de los derechos fundamentales de la Unión Europea27.
Más atrás ya señalé que en relación con el alcance del derecho a la protección de datos durante el estado de alarma es de enorme importancia el Informe 0017/2020 del Gabinete Jurídico de la Agencia Española de Protección de Datos que hizo público el pasado 12 de marzo (antes pues del Real Decreto 463/2020, publicado en el BOE del 14 de marzo) sobre tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-1928

Dicho Informe parte de la base de que "la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada". En efecto, tras el Real Decreto 463/2020 no se ha suspendido el derecho a la protección de datos (que por lo demás, como antes vimos, ni en los estados de excepción o sitio puede suspenderse), y su ejercicio, por el mero hecho de declarar el estado de alarma, no queda limitado. Ahora bien, como también advierte el Informe, "la propia normativa de protección de datos personales [RGPD] contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general". La advertencia de la Agencia es totalmente acertada, como también lo es la que recoge a continuación: "Por ello, al aplicarse dichos preceptos previstos para estos casos en el RGPD, en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos --dentro de los límites previstos por las leyes-- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común". Especialmente relevante me parece la afirmación de que la protección de datos no debe utilizarse para obstaculizar o limitar las medidas que deban tomarse para luchar contra la epidemia. No puedo estar más de acuerdo con tal afirmación. En numerosas ocasiones, constantemente mejor dicho, vengo afirmando que la protección de datos no es un derecho impertinente que "prohíba" sin más "hacer cosas"; más bien marca el camino que indica "cómo deben hacerse las cosas". Ni en situaciones de pandemia global como la que estamos sufriendo podemos poner en entredicho un derecho fundamental como es el de la protección de datos. Muchas fueron las voces que reclamaban poco menos que acabar con la protección de datos tras los atentados del 11S. La seguridad, se decía, estaba por encima de la privacidad. Hubo que luchar, y no poco, para hacer ver que la seguridad y la privacidad no son contradictorias sino complementarias. Es decir, y volviendo a la crisis del coronavirus: la protección de datos en ningún caso es un obstáculo para luchar con todas las armas que en nuestras manos estén contra el coronavirus.
Así debe entenderse el reiterado informe de la Agencia. Que parte claramente de la realidad incontestable de que el derecho a la protección de datos no es un derecho absoluto (como también ha recordado el Supervisor Europeo de Protección de Datos). Y de que tanto el Reglamento General de Protección de Datos como la Ley Orgánica 3/2018 contienen previsiones que, junto lo que establecen otras normas sectoriales, permiten en situaciones excepcionales el tratamiento de datos de salud incluso sin necesidad de contar con el consentimiento de los afectados. Recuerda el Informe el Considerando 46 del RGPD: "El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano". Esta es cabalmente la situación por la que se declaró el estado de alarma: la necesidad de controlar una epidemia y su propagación. Teniendo en cuenta que el interés vital que puede estar en juego no es sólo el propio del afectado, sino de un tercero: "de otra persona física" (artículo 9.2.c) del RGPD). Partiendo de esta base la Agencia analiza asimismo la legislación sectorial que permite el tratamiento de datos de salud sin consentimiento de los afectados. La Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales; la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada por el Real Decreto-Ley 6/2020, de 10 de marzo) o la Ley 33/2011, de 4 de octubre, General de Salud Pública. A las que habría que añadir ahora el Real Decreto 463/2020, de 14 de marzo, de declaración del estado de alarma y el Real Decreto-ley 21/2020,de 9 de junio,en los términos que más adelante analizo. Por tanto ningún obstáculo al tratamiento de datos de salud con la finalidad de luchar contra la pandemia. La Agencia lo deja claro: "el RGPD ha pretendido dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable". Y añade que en consecuencia, en una situación de emergencia sanitaria como la que vivimos "es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable. Cuáles sean dichas decisiones, (desde el punto de vista de la normativa de protección de datos personales, se reitera) serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales ya tan reiterados. Pero los responsables de tratamientos, al estar actuando para salvaguardar dichos intereses, deberán actuar conforme a lo que las autoridades establecidas en la normativa del Estado miembro correspondiente, en este caso España, establezcan".
Y aún más: "Serán estas autoridades sanitarias competentes de las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Lo anterior hace referencia, expresamente, a la posibilidad de tratar los datos personales de salud de determinadas personas físicas por los responsable de tratamientos de datos personales, cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública). Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo".
Dicho lo anterior, lo que de ningún modo cabe, como ya he advertido más atrás, es ignorar los principios y garantías que han de observarse en todo caso en relación con el derecho fundamental a la protección de datos. También lo señala la Agencia: deben respetarse los principios contenidos en el artículo 5 del RGPD, "y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos. Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que, como se ha dicho, la propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria". Por ello debe evitarse a toda costa, como advierte el Considerando 54 del RGPD, que "terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines".
Una lectura sosegada de la opinión de la AEPD, de la declaración de la Presidencia y de las Directrices del Comité Europeo de Protección de Datos y del Supervisor Europeo nos lleva a la conclusión de que la protección de datos en absoluto puede ser un obstáculo en la lucha contra el coronavirus.
Por lo demás, la Agencia ha desarrollado y sigue desarrollando durante todo el estado de alarma una labor ingente para fijar criterios en relación con la protección de datos, en ocasiones reclamando de las autoridades sanitarias que fijen los suyos para de este modo poder aclarar mejor los tratamientos que son posibles, con qué finalidad y en base a qué legitimación. Más adelante me refiero a algunos de los documentos que en este escenario ha hecho públicos la Agencia29.
B) Algunos retos para la protección de datos derivados de las medidas que han debido implantarse para luchar contra el coronavirus

1. Las aplicaciones de seguimiento y/o trazabilidad

Las características del COVID-19, su extraordinaria expansión y el alto grado de contagio hicieron que en diversos países se pusieran pronto en marcha dispositivos, programas y aplicaciones que permitiesen hacer un seguimiento y trazabilidad de las personas a efectos de poder contar con información sobre la evolución de la enfermedad. Parece que, sobre todo las aplicaciones, eran muy efectivas de cara al control y contención de los contagios, pero a su vez implicaban notables riesgos para la privacidad de las personas. Sin perjuicio del uso fraudulento y sin garantías de webs y aplicaciones que, si no dirigidas al seguimiento y trazabilidad de los contagios, sí permitía, aparentemente, la autoevaluación de las personas en función de los síntomas, lo que obligó a la Agencia a emitir un Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el coronavirus en el que advirtió "de los riesgos que implica el facilitar categorías de datos sensibles, como son los relativos a la salud, a estas webs y apps, incluso en aquellos casos en los que aparentemente esos datos no se asocian a la identidad del usuario que utiliza la aplicación"30. Asimismo es de gran interés su Documento sobre El uso de las tecnologías en la lucha contra el COVID1931.
Por parte del Gobierno se puso en marcha lo que se ha denominado "DataCOVID", que, según exponía el propio Gobierno, constituye un estudio de movilidad de la población para contribuir a la toma de decisiones ante el coronavirus32. Incluso se aprobó por el Ministerio de Sanidad la Orden SND/297/2020, de 27 de marzo, por la que se encomendó a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, que en definitiva vino a poner de manifiesto la intención de utilizar masivamente las posibilidades que la geolocalización puede ofrecer a partir de los datos de los teléfonos móviles. Se trataba, por un lado, de "verificar que [el usuario] se encuentra en la comunidad autónoma en que declara estar", y por otro de analizar "la movilidad de las personas en los días previos y durante el confinamiento"33.
La Orden SND/297/2020 no autorizaba o regulaba los tratamientos de datos que derivarían del diseño y uso de las Apps y que permitirían la geolocalización o estudiar la movilidad de, parece, cualquier cliente de operadores móviles, sino establecer una relación de responsable-encargado en los tratamientos a que se refiere. En un caso (geolocalización) el responsable era el Ministerio de Sanidad y el encargado la Secretaria General de Administración Digital; en el otro (estudio de movilidad de la población), el responsable sería el Instituto Nacional de Estadística y los encargados "los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo".
En cualquier caso, los tratamientos a que se refiere la Orden han de basarse en un título habilitante que los haga lícitos (título que sin duda puede encontrarse en el artículo 6.1.d) y e) y en varios apartados del artículo 9.2, ambos del RGPD) y deben respetar el resto de principios de la protección de datos que antes he recordado. Entre otros los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación. Y en particular el principio de responsabilidad proactiva, que a su vez exige tener en cuenta la protección de datos desde el diseño y por defecto (especialmente importante cuando se trata de desarrollar una aplicación informática para el apoyo en la gestión de la crisis sanitaria), la realización de una evaluación de impacto a la protección de datos (pues se dan sin duda las condiciones previstas en el artículo 35 del RGPD) y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 del RGPD, que además debe hacerse público, según el art. 31.2 de la LOPDGDD. Por otra parte es imprescindible informar a los interesados en los términos previstos, según los casos, en los artículos 13 y 14 del RGPD salvo que se acredite que se dan algunas de las circunstancias que prevén los apartados 4 y 5, respectivamente, de ambos artículos. Por otra parte, deberán aplicarse las previsiones del Real Decreto-ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones34. Todas estas circunstancias han de ser tenidas en cuenta así como, por supuesto, el acceso a la vía judicial en su caso, como ha advertido el Comité Europeo de Protección de Datos precisamente en relación con el posible uso de datos de geolocalización a partir del uso de los móviles35.
Dicho lo anterior, hay que tener en cuenta varias circunstancias.
Por un lado, es imprescindible conocer la situación real en la que tales medidas van a ser aplicadas. No sólo por parte de los poderes públicos que van a ponerlas en marcha, sino también por todas las personas que vamos a ser destinatarios de las mismas. En este sentido la transparencia en cuanto a la transmisión de la información por parte de las autoridades competentes en los términos del Real Decreto 463/2020 es imprescindible. Los datos han de ser reales, sean los que sean.
Por otra parte, deben realizarse las evaluaciones necesarias para concluir qué tipo de aplicación, qué tratamiento de datos basado en las técnicas de big data y qué medidas se han adoptado o deben adoptarse para garantizar plenamente el derecho a la privacidad de las personas. La propia Orden en su punto cuarto se remite a la legislación de protección de datos, cuya plena aplicación ha de darse por descontada36. Pero no podemos olvidar que hay voces que, incluso fuera de nuestras fronteras y referidas a experiencias semejantes a la nuestra, han expresado sus cautelas frente a las técnicas basadas en la geolocalización. Me refiero por ejemplo al Libro Blanco sobre "Decentralized Privacy-Preserving Proximity Tracing", elaborado por investigadores de diversos centros europeos37, incluyendo un detallado estudio de las medidas de seguridad que deben implantarse38. Por su parte el Supervisor Europeo de Protección de Datos ha abogado por el uso de la tecnología para acabar con el virus y ha instado a poner en marcha una pan-Europea "COVID-19 mobile application", coordinada a nivel de la Unión Europea, si bien lo ideal sería que también se coordinara con la Organización Mundial de la Salud, para garantizar la protección de datos por diseño a nivel mundial desde el principio39, al objeto de evitar las posibles diferencias que puedan existir entre las aplicaciones que vayan desarrollándose en cada país.
Las alternativas y posibilidades que la tecnología ofrece son muchas. María ALVAREZ CARO, en un muy interesante trabajo40, ha analizado la solución ofrecida conjuntamente por Google y Apple. El pasado 10 de abril ambas compañías anunciaron "una solución conjunta para acelerar y facilitar el uso de tecnología BLE [bluetooth de bajo consumo energético] para el rastreo de contactos por parte de los Gobiernos"41. Se trata de una solución en dos etapas: "Primero, a mediados de mayo, se lanzan unas APIs (Application Programming Interfaces) para que los desarrolladores de apps gubernamentales puedan acceder a las mismas para el desarrollo de apps de este tipo y, en un segundo estadio, en los próximos meses, tendrán la funcionalidad de rastreo de contactos (realmente, funcionalidad de notificación de exposición al virus) incorporada a nivel de sistema operativo. Es importante destacar que sólo las autoridades sanitarias gubernamentales (desarrolladores en nombre de autoridades gubernamentales) podrán tener acceso a las APIs". Se trata de una solución que pretende alcanzar al mayor número de personas y que sería respetuosa con el derecho a la protección de datos42.
2. La toma de temperatura

La posible (y en realidad evidente) generalización de la toma de temperatura como medio para atajar el coronavirus ha hecho que la Agencia haya reaccionado y haya hecho público un Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos43 en el que "expresa su preocupación por este tipo de actuaciones, que suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias".
En su comunicado la Agencia es extraordinariamente cautelosa a la hora de aceptar la toma de temperatura como medida adecuada para la lucha contra el coronavirus y prevenir nuevos contagios. En realidad el comunicado gira sobre todo en torno a la necesidad de contar con criterios de la autoridad sanitaria que determinen si la toma de temperatura es medida adecuada para la finalidad perseguida o existen medidas alternativas. Señala expresamente que "la aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el ministro de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados"." Estas medidas, continúa la Agencia, deben aplicarse sólo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas con igual eficacia por otras menos intrusivas". E insiste que a la hora de ponderar entre el impacto sobre los derechos de los clientes usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas deben tenerse en cuenta en primer lugar los criterios establecidos por las autoridades sanitarias.
Partiendo de esta base y por tanto del llamamiento que en realidad hace la Agencia para que las autoridades sanitarias fijen cuanto antes sus criterios, considera que la base jurídica para la comprobación de la temperatura corporal no puede ser con carácter general el consentimiento ya que las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder al mismo tiempo la posibilidad de entrar en los centros de trabajo, educativos o comerciales o en los medios de transporte a los que estén interesados en acceder. Por tanto, concluye la Agencia, ese consentimiento no sería libre. En el entorno laboral la base jurídica podría ser la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo, pero siempre y cuando se establezcan garantías adecuadas por parte del responsable del tratamiento. Asimismo podría entenderse que la existencia de intereses generales en el terreno de la salud pública también podría ser considerado como título habilitante, pero en ningún caso el interés legítimo de los responsables por cuanto en el tratamiento de categorías especiales de datos dicho título no es título habilitante.
Por otra parte debe limitarse rigurosamente la finalidad del tratamiento, que no puede ser otra que la de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto con otras personas, pero en ningún caso deben ser utilizados para otras finalidades lo cual es especialmente relevante cuando se utilicen dispositivos tales como cámaras térmicas que puedan grabar y conservar los datos o tratar información adicional.
En cuanto a quién puede tomar la temperatura la Agencia opta por no ser especialmente rigurosa y en consecuencia parece aceptar que no siempre tenga que ser personal sanitario quien lleve a cabo tal tratamiento. De las preguntas frecuentes sobre COVID-19 y protección de datos que publicó inicialmente la Agencia44 podría entenderse que no se exige que en todo caso y en exclusiva sea sólo y nada más que personal sanitario quien puede tomar la temperatura a los trabajadores con el fin de detectar casos de coronavirus. Lo que sí se exige en todo caso es que se respeten los principios de protección de datos, y especialmente el de finalidad (sólo contener la propagación del coronavirus y no otras distintas) y conservar los datos no más del tiempo necesario para tal finalidad. En el documento que ahora abalizamos señala, por un lado que los datos deben ser exactos en el sentido de que los equipos de medición deben ser adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. Por otro exige que la adecuación se establezca utilizando solo equipos homologados, que deberán ser utilizados por personal que reúna los requisitos legalmente establecidos y esté formado en su uso. En cualquier caso el tema es más que complicado, tal como con gran rigor ha puesto de manifiesto Jesús MERCADER, que considera que a la luz del art. 22.6 Ley de Prevención de Riesgos Laborales, las medidas de vigilancia que como en el caso de la toma de temperatura deban implantarse han de ser llevadas a cabo por "personal sanitario con competencia técnica, formación y capacidad acreditada", si bien admite que "el número de sanitarios necesarios para llevar a cabo esos controles puede resultar a todas luces insuficiente, por lo que resulta necesario valorar el recurso otros sistemas que se encuentren dotados de las suficientes garantías". En cualquier caso concluye que si bien parece que la AEPD parte "de una interpretación amplia de los sujetos que están facultados para realizar dicho control, esa interpretación choca en este momento con las limitaciones existentes en la normativa de prevención de riesgos laborales y que se proyectan en materia de protección de datos"45.
En fin la AEPD exige que se cumpla con el deber de información, que se establezcan plazos y criterios de conservación y que se adopten las medidas de seguridad adecuadas.
La declaración de la Agencia es en principio impecable, pero parte de un presupuesto que quizá podría ser controvertido. Me refiero al hecho de que la simple toma de temperatura utilizando para ello dispositivos que en ningún caso identifiquen al afectado ni guarden o conserven la información podría no ser considerado un tratamiento de datos personales por cuanto que la información recabada no podría en ningún caso vincularse a una persona identificada o identificable. Excluyó por supuesto de este planteamiento el uso de cámaras térmicas que puedan identificar a los afectados o de cualquier otro dispositivo que permita esa identificación. Cierto que en caso de que se detecte una temperatura superior a la recomendable podrán producirse efectos sobre el interesado, que obviamente no podría acceder al lugar o entorno al que deseaba entrar. Se estaría por tanto produciendo una consecuencia negativa para él derivada de una información captada al tomarle la temperatura. Quizá en este caso sí nos encontremos ante un tratamiento de datos, con todas las consecuencias que de ello derivarían.
3. El teletrabajo y la protección de datos

Una de las consecuencias más evidentes de la declaración del estado de alarma es la generalización del teletrabajo. La imposibilidad de desplazarse a los centros de trabajo y la necesidad de permanecer confinados han hecho que lo que hasta ahora venía siendo casi una excepción se haya convertido en la regla general. En todos aquellos supuestos en los que el desarrollo de una actividad no requería de la presencia física de la persona se han implantado técnicas de teletrabajo que han demostrado ser extremadamente eficaces y que suponen una de las notas características del desarrollo cotidiano del estado de alarma que puede convertirse en una de las consecuencias de futuro más evidentes y llamativas de la situación que durante estos meses nos ha tocado vivir. En efecto el teletrabajo puede pasar de ser una manifestación casi anecdótica o residual a la norma general en muchos sectores, sin perjuicio además de ser manifestación de lo que ya se empieza a considerar como un nuevo derecho fundamental: el de la conciliación familiar y laboral46.
La implantación del teletrabajo tiene sin embargo numerosas implicaciones relacionadas con la seguridad de la información y la protección de datos.
De la primera se ha ocupado el INCIBE, que a través de la Oficina de Seguridad del Internauta (OSI) ha hecho públicas diversas reglas para un teletrabajo seguro que evite los ciberataques47. Asimismo el CCN-CERT ha hecho público su Informe RBP/18 sobre "Recomendaciones de seguridad de situaciones de teletrabajo y refuerzo en vigilancia"48. Desde el punto de vista de la protección de datos la Agencia Española de Protección de Datos ha hecho públicas unas Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo49. Se formulan, por un lado, recomendaciones al empleador, en cuanto responsable del tratamiento, que se refieren a la definición de una política de protección de la información para situaciones de movilidad, la elección de soluciones y prestadores de servicios confiables y con garantías, la restricción del acceso a la información, la configuración periódica de los equipos y dispositivos utilizados en las situaciones de movilidad, la monitorización de los accesos realizados a la red corporativa desde el exterior y la gestión racional de la protección de datos y la seguridad. Por otro al personal que participa en las operaciones de tratamiento en el marco del teletrabajo, que se refieren al respeto a la política de protección de la información en situaciones de movilidad definida por el responsable, la protección del dispositivo utilizado en movilidad y el acceso al mismo, la garantía de la protección de la información que se esté manejando, el almacenamiento de la información en los espacios de red habilitados al efecto y la comunicación inmediata de cualquier brecha de seguridad que en su caso pudiera producirse.
Todas estas recomendaciones deben considerarse aplicables no solo durante el estado de alarma sino con carácter general. Como decía, el teletrabajo se está generalizando y en su desarrollo es imprescindible tener en cuenta las exigencias derivadas del respeto a la protección de datos de carácter personal.
4. Celebración on line de reuniones y protección de datos

La situación de confinamiento que ha traído consigo la crisis del coronavirus, no solo en España, como es obvio, sino a nivel global ha hecho que prolifere la celebración de reuniones on line utilizando herramientas colaborativas de muy diverso tipo, lo que puede plantear problemas de protección de datos que deben tenerse muy en cuenta sobre todo pensando en la posibilidad, casi certeza, de que el sistema va a seguir utilizándose aún después de estos meses de falta de presencialidad. De hecho la preocupación por el uso de herramientas o aplicaciones que permiten la celebración de videoconferencias online ha sido analizada por numerosas autoridades con competencias en materia de protección de datos y privacidad no solo en Europa sino más allá de su territorio. Basta hacer referencia, por ejemplo, a los puntos que ha señalado la Federal Trade Commission y que deberían tenerse en cuenta a la hora de celebrar reuniones online utilizando herramientas colaborativas50.
En algunas ocasiones, además, puede tratarse de reuniones formales con un régimen jurídico muy preciso en cuanto a las reglas de convocatoria, celebración y adopción de acuerdos. Lo que puede exigir un tratamiento de datos más intenso, pero que al mismo tiempo ha de llevarse a cabo con todas las garantías.
Ante todo debe partirse de que la celebración de reuniones por videoconferencia implica el tratamiento de datos de carácter personal: en todo caso la voz y a veces los datos de identificación de los participantes, así como su imagen. Este tratamiento de datos debe cumplir los principios de protección de datos, es decir licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, seguridad y responsabilidad proactiva. Veamos cómo operan alguno de ellos.
En cuanto al principio de licitud es imprescindible que se dé alguno de los supuestos que legitiman el tratamiento de datos de carácter personal. El consentimiento de los afectados puede ser título habilitante pero no hay que excluir que pueda así mismo considerarse aplicable el título de interés legítimo o incluso el de interés público dada la necesidad de que se acrediten las circunstancias que en su caso sean necesarias para considerar válidamente celebrado la reunión y válidamente adoptados los acuerdos a los que en su caso se llegue. En particular puedes resultar imprescindible identificar a los participantes para evitar que puedan participar quiénes no forman parte del órgano colegiado, garantizar la validez de la constitución del órgano acreditando el quórum de constitución o garantizar la validez de los acuerdos adoptados acreditando para ello el quórum de adopción de acuerdos. Estas circunstancias implican que en ciertos casos sea imprescindible identificar a los asistentes sin que ello pueda estar condicionado a que estos otorguen su consentimiento. Asimismo no puede ser el consentimiento el que habilite el tratamiento para la elaboración de las actas correspondientes.
Por otra parte debe informarse a los interesados de acuerdo a lo que establecen los artículos los artículos 13 y 14 del RGPD así como el artículo 11 de la Ley Orgánica 3/2018. En particular acerca de la identidad de quién trata los datos, qué tipos de datos van a ser recabados o la finalidad.
Distinto es el tema de qué datos pueden o deben ser recabados para las anteriores finalidades, lo que nos lleva a plantear el tema, por un lado, de la limitación de la finalidad y por otro el de la minimización de datos.
La finalidad sólo puede ser la de poder llevar a cabo o facilitar la celebración de reuniones online, así como, en su caso, la elaboración de las actas correspondientes, sin que los datos puedan ser utilizados para finalidades distintas. En cuanto a los datos que pueden ser tratados, plantea especial interés la posibilidad de utilizar categorías especiales de datos, especialmente datos biométricos, para identificar a los participantes. Según el artículo 9 del Reglamento General de Protección de Datos los datos biométricos son considerados categorías especiales de datos si permiten identificar de manera unívoca a una persona física. En este sentido no cabe duda de que la utilización de sistemas de reconocimiento facial implicaría el uso de datos biométricos con la finalidad de reconocer o identificar de manera unívoca a las personas intervinientes en las reuniones. Cabe entonces plantear si el uso de tales sistemas es legítimo o si por el contrario deberían utilizarse otros sistemas menos intrusivos para la privacidad que permitiesen alcanzar la misma finalidad (identificar a los asistentes a la reunión).
Más adelante me ocupo del tratamiento de datos, y en particular del reconocimiento facial, en la celebración de exámenes. Lo que entonces diré es de aplicación a la celebración de reuniones, por lo que me remito a ello.
La misma remisión cabe hacer en relación con la posibilidad de grabar las reuniones. Esta circunstancia puede ser no solo conveniente sino incluso imprescindible para la constancia del desarrollo del debate y de los acuerdos adoptados así como para la elaboración del correspondiente acta. En este sentido los asistentes deben ser informados de que la sesión se va a grabar, bien en audio o también en imágenes, para garantizar el principio de transparencia. El hecho de que la plataforma utilizada advierta además de forma expresa de que la sesión está siendo grabada incrementa aún más la transparencia en el tratamiento de datos.
En fin es especialmente relevante el cumplimiento estricto del principio de integridad y confidencialidad de los datos, es decir, la exigencia de adoptar estrictas medidas de seguridad. El responsable del tratamiento deberá adoptar tales medidas o, en caso de que la reunión se celebre utilizando herramientas de terceros, exigir que estas reúnan todas las garantías de seguridad que sean necesarias. No es necesario ahora recordar que, como en más de una ocasión se ha puesto de manifiesto, parece que ciertas plataformas colaborativas tienen o han tenido fallos de seguridad que desaconsejarían su uso o cuando menos y en todo caso el de versiones que no fuesen las últimas y más actualizadas. Incluso alguna institución relevante ha acordado suspender las reuniones on line por temor a posibles ataques informáticos que incrementarían el riesgo de que las mismas pudiesen ser intervenidas y hechas públicas.
En otro orden de cosas deben estar plenamente garantizados los derechos de los afectados tal como están regulados en los artículos 15 a 22 del RGPD y artículos 12 a18 de la LOPDGDD. De entre ellos puede plantear alguna duda el cómo atender el derecho de acceso, teniendo en cuenta que el mismo podría afectar a datos personales de terceros tal como ocurriría si se pretendiese el acceso íntegro a grabaciones de voz o de imagen. En este sentido cabe traer a colación la Resolución de la Agencia Española de Protección de Datos nº R/00558/2019, referida al acceso a grabaciones de voz. En ella la Agencia advierte que "dichas grabaciones pueden contener, además de sus datos [del interesado], información relativa a terceras personas que no le podría ser comunicada, ya que, en caso contrario, podría constituir una cesión de datos sin consentimiento". Y permite expresamente que "el derecho de acceso a la grabación de su voz solicitado por la parte reclamante sí está amparado por la normativa vigente en materia de protección de datos, facilitando la copia de la grabación solicitada a la parte reclamante o, en su defecto, transcripción de su contenido".
Un aspecto especialmente relevante del régimen jurídico de la celebración de reuniones online es el de la relación entre quién organiza la reunión y el prestador del servicio, plataforma o herramienta que va a ser utilizado para dicha reunión. Con carácter general estaremos ante una relación entre un responsable del tratamiento --quien organiza la reunión-- y un encargado --quien presta el servicio--. En estos casos debe aplicarse en su totalidad el artículo 28 del RGPD, en particular lo que establece su apartado primero según el cual cuando se vaya a realizar un tratamiento por cuenta de un responsable éste elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos de los interesados. Además dicho artículo exige que el tratamiento por el encargado se rija por un contrato u otro acto jurídico que vincule al encargado y el responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable. Por su parte el artículo 33 de la LOPDGDD se refiere asimismo a la relación entre responsable y encargado.
Es evidente que en no pocas ocasiones la celebración de videoconferencias utilizando las plataformas generalmente usadas, más que en un contrato se basara en la aceptación de los términos y condiciones de quién presta el servicio. En este sentido es muy importante señalar que deben revisarse con mucha atención tales términos y condiciones al objeto de comprobar que están en línea con lo que exige el Reglamento y la Ley. En particular deberá tenerse especial cuidado con la ubicación de los servidores del prestador, que en principio deberían estar alojados en territorio de la Unión Europea o en su caso en territorio de algún Estado que cuente con declaración de adecuación por parte de la Unión Europea. Si no fuese así, debería darse alguna de las garantías que regulan los artículos 46 y 47 del Reglamento o basarse en alguno de los supuestos excepcionales que prevé su artículo 49. De lo contrario podríamos encontrarnos con un caso de transferencias internacionales de datos no acordes al Derecho de la Unión Europea.
Por otra parte el responsable debe exigir al encargado que adopte las medidas de seguridad que sean necesarias para evitar violaciones tales como el acceso a los datos por parte de terceros.
Por último todo lo anterior es aplicable, en lo esencial, a las reuniones on line que celebren las Administraciones Públicas.
El artículo 17 de la Ley 40/2015, de régimen jurídico del sector público, permite las reuniones de órganos colegiados "a distancia": "todos los órganos colegiados se podrán constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas tanto de forma presencial como a distancia, salvo que su reglamento interno recoja expresa y excepcionalmente lo contrario". Y añade que "en las sesiones que celebren los órganos colegiados a distancia, sus miembros podrán encontrarse en distintos lugares siempre y cuando se asegure por medios electrónicos, considerándose también tales los telefónicos, y audiovisuales, la identidad de los miembros o personas que los suplan, el contenido de sus manifestaciones, el momento en que éstas se producen, así como la interactividad e intercomunicación entre ellos en tiempo real y la disponibilidad de los medios durante la sesión. Entre otros, se considerarán incluidos entre los medios electrónicos válidos, el correo electrónico, las audioconferencias y las videoconferencias".
Por otra parte, no sólo las Administraciones Públicas que celebren las reuniones han de tomar las medidas de seguridad establecidas en el Esquema Nacional de Seguridad regulado mediante Real Decreto 3/2010, de 8 de enero, sino que los proveedores que en su caso les presten el servicio de videoconferencia deberán asimismo cumplir con medidas de seguridad semejantes. Así lo dispone la disposición adicional primera de la Ley Orgánica 3/2018 según la cual en los casos en los que un tercero preste un servicio en régimen de contrato a alguna de las administraciones públicas (por ejemplo el servicio de organización o gestión de reuniones telemáticas) las medidas de seguridad se corresponderán con las de la Administración Pública de origen y se ajustarán al Esquema Nacional de Seguridad.
5. La celebración de exámenes on line y el reconocimiento facial

También el confinamiento ha exigido rediseñar enteramente la docencia a todos los niveles lo que ha afectado en particular a la celebración de las pruebas de avaluación, que requieren entre otras cosas medidas que garanticen la identidad de los estudiantes y el recto desarrollo de los exámenes. A dicho tema se refiere específicamente el Informe de la Agencia Española de Protección de Datos 0036/2020 sobre utilización del reconocimiento facial para la realización de exámenes on line51. El tema es de tal entidad que la Agencia ha hecho también público un Informe (010308/2019) sobre el uso de sistemas de reconocimiento facial por parte de las empresas de seguridad privada52.
El reconocimiento facial es una de las expresiones más relevantes de tratamiento de datos intrusivo. Se considera como una de las más graves amenazas para la privacidad en el futuro, y también, desgraciadamente, en el presente. Incluso en una reciente carta de 8 de junio de 2020, que dirige el CEO de IBM Arvind Krishna al Congreso y al Senado de Estados Unidos, se compromete formalmente a no llevar a cabo más avances en tecnologías de reconocimiento facial y se opone firmemente a cualquier tecnología, incluida el reconocimiento facial, que pueda ser utilizada para vigilancia masiva, perfilado racial, violaciones de derechos básicos o libertades, o cualquier otra finalidad que no esté de acuerdo con sus principios y valores de confianza y transparencia.
El uso de categorías especiales de datos está en principio prohibido por la legislación de protección de datos, lo que no impide que en ciertos casos tal prohibición pueda ser levantada con el consentimiento de los afectados. Esto es lo que ocurre con los datos biométricos. Significa esto, como dice la Agencia, que el consentimiento del afectado podrá permitir el tratamiento de sus datos biométricos, pero siempre que el mismo sea explícito, previo, libre e informado. El principal problema que plantea el consentimiento para el tratamiento de datos biométricos de cara a la celebración de exámenes (así como de reuniones de órganos colegiados online, a las que antes me he referido) es que podría considerarse que su otorgamiento no es libre. En este sentido el considerando 42 del RGPD destaca que el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. La anterior consideración nos puede llevar a la conclusión de que no sería posible exigir en todo caso el reconocimiento facial para la identificación de quienes hacen un examen o asisten a una reunión online. En particular sería dudoso poder considerar libre el consentimiento en caso de que existiendo varias posibilidades para tal identificación además del reconocimiento facial, algunas de las cuales pueden ser menos intrusivas para la protección de datos, no se diese posibilidad a los interesados de poder optar por ese otro medio de identificación.
Por otra parte, y al objeto de poder demostrarlo, es preciso tener constancia del consentimiento otorgado, en particular si se tratan datos biométricos. En este sentido son relevantes algunas de las consideraciones que el Comité Europeo de Protección de Datos ha recogido en sus recientes Directrices 5/2020 sobre el consentimiento en el Reglamento 2016/79 adoptadas el pasado 4 de mayo53. En ellas se afirma que el hecho de que el consentimiento deba ser explícito (en particular cuando se pretenden tratar categorías especiales de datos) no implica que sea necesario que en todo caso deba ser escrito. Especialmente, al referirse al consentimiento en un contexto online, señala que puede acreditarse, por ejemplo, a través de la "conservación de información sobre la sesión en la que el consentimiento ha sido expresado". Lo que el Comité Europeo exige es que los responsables del tratamiento apliquen el principio de responsabilidad proactiva en relación con la obtención válida del consentimiento de los afectados.
En conclusión cabría afirmar que la exigencia del reconocimiento facial podría ser lícita si el interesado otorga su consentimiento expreso para ello y además se articulan sistemas alternativos menos intrusivos para su identificación.
Por otra parte la Agencia se refiere a la posibilidad de grabar las pruebas orales. En este sentido señala que "la grabación de los exámenes orales puede ser necesaria como medio de prueba para el ejercicio de sus derechos por parte del alumno, así como para que el profesor pueda justificar la evaluación realizada, sin perjuicio de que puedan admitirse otros medios probatorios (por ejemplo, exigir al alumno un esquema de lo que va a exponer)". Y añade que "con la finalidad señalada, y siempre que las normas internas de la Universidad prevean la grabación de los exámenes orales, el tratamiento se encontrará fundamentado en lo previsto en el artículo 6.1.e): el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento".
6. Protección de datos, detección precoz de la enfermedad, control de las fuentes de infección y vigilancia epidemiológica tras el estado de alarma en el Real Decreto-ley21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente la crisis sanitaria ocasionada por el COVID-19

No es posible concluir estas líneas sin hacer una referencia, que necesariamente debe ser breve y meramente descriptiva, al Real Decreto Ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.
Publicado en el BOE del 10 de junio, el Real Decreto-ley, según dispone su artículo 1º, tiene por objeto establecer las medidas urgentes a que antes me refería, así como prevenir posibles rebrotes, con vistas a la superación de la fase III del Plan para la Transición hacia una Nueva Normalidad (sic, con mayúsculas en el texto original) por parte de algunas provincias, islas y unidades territoriales y, eventualmente, la expiración de la vigencia del estado de alarma declarado por el Real Decreto Ley 463/2020. Sin perjuicio de que llama la atención que en una norma se haga referencia a un concepto como el de "Nueva Normalidad", el Decreto-ley se enfrenta ya a la situación posterior al COVID-19 teniendo en cuenta, lo cual es de gran importancia, que gran parte de las medidas a que se refiere, y en particular las que a continuación analizo, serán de aplicación en todo el territorio nacional, una vez finalizada la prórroga del estado de alarma, "hasta que el Gobierno declare de manera motivada y de acuerdo con la evidencia científica disponible, previo informe del Centro de Coordinación de Alertas y Emergencias Sanitarias, la finalización de la situación de crisis sanitaria ocasionada por el COVID-19" (art. 2.3 del Real Decreto-ley 21/2020). Es decir las medidas que a continuación expongo no tienen fijado un plazo de aplicación determinado, sino que estarán vigentes en tanto el Gobierno no lleve a cabo tal declaración. Lo cual supone dejar en manos del Gobierno la determinación temporal de la aplicación de medidas extraordinariamente relevantes, algunas de las cuales afectan directamente a derechos, como la protección de datos. Tema muy controvertido y me atrevería a decir que de dudosa constitucionalidad.
Del reiterado Real Decreto-ley nos interesa ahora hacer referencia al Capítulo V que establece medidas para la detección precoz, control de fuentes de infección y vigilancia epidemiológica, lo que implica el tratamiento de una gran cantidad de datos personales que además tienen que ver con la salud de las personas por lo que entran dentro de lo que se denomina categorías especiales de datos.
El Real Decreto-ley (art. 22) considera el COVID 19 como enfermedad de declaración obligatoria urgente a efectos de lo previsto en el Real Decreto 2210/1995 de 28 de diciembre por el que se crea la red nacional de vigilancia epidemiológica.
Dicho esto el artículo 23 establece la obligación de facilitar a la Autoridad de Salud Pública competente todos los datos necesarios para el seguimiento y la vigilancia epidemiológica del COVID-19 que le sean requeridos, incluidos en su caso los datos necesarios para la identificación personal. Esta obligación de información alcanza a cualquier administración pública así como cualquier centro, órgano o agencia dependiente de ellas y a cualquier otra entidad, pública o privada, cuya actividad tenga implicaciones en la identificación diagnóstico seguimiento o manejo de los casos COVID-19. El alcance de la medida es notabilísimo, por cuanto esa obligación de información es, en particular, de aplicación a todos los centros, servicios y establecimientos sanitarios y servicios sociales, tanto del sector público como privado, así como a los profesionales sanitarios que trabajan en ellos.
Por otra parte, y en relación con la detección precoz y notificación de supuestos de personas sospechosas de COVID-19, el artículo 24 señala que los servicios de salud de las comunidades autónomas y de Ceuta y Melilla deben garantizar que en todos los niveles de la asistencia, y de forma especial en la atención primaria de salud, se realice a todo caso sospechoso de COVID-19 una prueba diagnóstica por PCR, u otra técnica de diagnóstico molecular, tan pronto como sea posible desde el conocimiento de los síntomas y que toda la información derivada se debe transmitir en tiempo y forma, según se establezca por la autoridad sanitaria competente.
Asimismo (art.25) los laboratorios, públicos y privados, autorizados en España para la realización de pruebas diagnósticas para la detección de SARS-COV-2 mediante PCR u otras pruebas moleculares deberán remitir diariamente al Ministerio de Sanidad y a la autoridad sanitaria de la Comunidad Autónoma en la que se encuentren los datos de todas las pruebas realizadas a través del sistema de información establecido por la Administración respectiva. En fin se dispone (art. 26) que los establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada en los que las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos, tendrán la obligación de facilitar a las autoridades sanitarias la información de la que dispongan, o que le sea solicitada, relativa a la identificación y datos de contacto de las personas potencialmente afectadas.
Como vemos el Real Decreto-ley establece unas medidas que, si bien persiguen luchar contra la transmisión de la enfermedad, inciden muy notablemente en el derecho fundamental a la protección de datos personales.
Para garantizar la adecuación de los tratamientos de datos a que vengo refiriéndome, el propio Real Decreto-ley incluye una previsión expresa (art. 27) relativa a la necesidad de tener en todo caso presente lo que establece la legislación de protección de datos, en particular el RGPD y la ley Orgánica 3/2018, así como la ley 14/1986 de 25 de abril, General de Sanidad. En este sentido se tiene especialmente en cuenta la necesidad de cumplir y respetar los principios a que se refiere el artículo 5 del Reglamento y el deber de información a los interesados. No en vano el derecho a la protección de datos atribuye a los titulares de los datos un poder de disposición sobre los mismos de modo que puedan conocer quién trata sus datos, por qué y para qué. Por eso se exige informar a los interesados, aunque llama la atención que el artículo 27.1 tan solo se refiere al deber de información cuando los datos no se obtienen directamente del interesado, que es el supuesto previsto en el artículo 14 del RGPD, al que expresamente se remite el citado artículo 27.1. En efecto los destinatarios de los datos, por ejemplo las autoridades sanitarias, deberán informar en los términos del artículo 14 (si bien es cierto que el propio Real Decreto-ley se refiere a la posibilidad de excepcionar el deber de información si se dan los supuestos previstos en el apartado 5 del citado artículo 14). Pero pese a que tan solo se hace una referencia al artículo 14 lo cierto es que también es de plena aplicación el artículo 13 del RGPD, que regula la información que deberá facilitarse a los interesados cuando los datos personales se obtengan directamente de estos (por ejemplo en los casos a que se refiere el artículo 26), que estarían obligados a informar sobre los extremos a qué se refiere el citado artículo 13.
Por otro lado, se considera que el título habilitante para el tratamiento es la protección de intereses vitales de los afectados y de otras personas, tal como establece el artículo 9 2.c) del Reglamento, así como que el tratamiento es necesario por razones de interés público esencial en el ámbito específico de la salud pública, de acuerdo a lo que establece el artículo 9.2 g) del citado Reglamento. Por otra parte se advierte sobre la necesidad de implantar las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgo, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos, como antes he señalado, y que dichos tratamientos serán realizados por Administraciones Públicas obligadas al cumplimiento del Esquema Nacional de Seguridad. Por último se regula el régimen de comunicación de datos a otros países, que en caso de que no sean Estados miembros de la Unión Europea, da lugar a una transferencia internacional. Dichas comunicaciones y/o transferencias se regirán por el Reglamento General de Protección de Datos, teniendo en cuenta además el Derecho europeo o internacional aplicable. En cualquier caso las transferencias deberán hacerse con todas las garantías que establece el Reglamento, es decir con pleno cumplimiento de lo previsto en sus artículos 44 y siguientes.
IV. TRANSPARENCIA Y PROTECCIÓN DE DATOS TRAS EL CORONAVIRUS. LA HORA DE LA SOCIEDAD DIGITAL Y EL PLENO RESTABLECIMIENTO DE LOS DERECHOS

En fin, una última consideración que no es necesario resaltar: cualquier medida adoptada para hacer frente a la crisis del coronavirus ha de cesar en cuanto la situación excepcional en la que se enmarca desaparezca. También esto encaja dentro de la normal aplicación de la Ley y el Derecho. Las sucesivas prórrogas del estado de alarma traen consigo, en lo que sea necesario, la ampliación de la vigencia de las medidas adoptadas en su aplicación, pero, como advierten con carácter general en relación con las medidas adoptadas con ocasión de los estados de alarma, excepción y sitio GARCIA DE ENTERRIA y Tomás Ramón FERNANDEZ, justificadas "precisamente por las circunstancias excepcionales que tratan de resolver, pierden todo sentido cuando estas circunstancias desaparecen. Restablecida la normalidad, no es necesario siquiera proceder a su derogación formal y expresa para que tal derogación se estime producida"54.
Al recuperarse la normalidad fáctica volverá por tanto a restablecerse el pleno ejercicio de los derechos y entre ellos el derecho de acceso a la información pública (una vez restablecidos los plazos para resolver las solicitudes de acceso) y el de protección de datos. En relación con elsegundo habremos de estar especialmente atentos y cautelosos, y aquí los prestadores de servicios y sobre todo los poderes públicos deberán ser especialmente responsables, al objeto de garantizar que en efecto las limitaciones al derecho han quedado sin efecto y que por tanto, por ejemplo, ya no están siendo geolocalizados masivamente nuestros móviles. Porque mientras que la recuperación del resto de los derechos podrá y deberá ser evidente, la de la privacidad puede pasar desapercibida porque su violación pasa asimismo desapercibida. Esa es la gran diferencia entre el derecho a la privacidad y el resto de derechos: pueden estar vulnerando nuestra privacidad sin que para nada seamos conscientes de ello; lo seremos cuando se produzcan en su caso las consecuencias de la violación, pero no antes. Y será difícil que pueda demostrarse que ya no estamos sometidos a una vigilancia constante que por lo demás en cualquier caso es posible. Y que incluso en un estado de alarma puede ser hasta necesario para conseguir la finalidad requerida: acabar con la pandemia.
Se trata, en definitiva, de garantizar que cualquier medida que se adopte y que pueda afectar a la protección de datos no sitúe a este derecho en estado de alarma sino que permita acabar cuanto antes con el estado de alarma. Para lo cual, como ya vimos más atrás que ha advertido el Supervisor Europeo de Protección de Datos55, tales medidas han de ser temporales, para finalidades determinadas, que impliquen el acceso limitado a los datos que sean imprescindibles y, muy importante, siendo conscientes de que volveremos a la normalidad. Lo que de nuevo me permite plantear mis dudas acerca de que, so pretexto no de recuperar la normalidad,sino de empezar una "Nueva Normalidad", puedan segur limitándose derechos hasta que el Gobierno lo decida, tal como permite el art. 2.3 del Real Decreto-ley 21/2020 al que más atrás ya me he referido.
En definitiva debemos recuperar la plena vigencia del derecho a la protección de datos y la plena efectividad de la transparencia y el acceso a la información. El estado de alarma y una de sus consecuencias fundamentalmente, el confinamiento al que todos nos hemos visto sometidos durante semanas, ha demostrado como decía que ya la sociedad digital es posible no sólo en el ámbito del mercado, el ocio y el entretenimiento si no en la práctica totalidad de las manifestaciones de nuestra vida cotidiana, incluida el trabajo. Pero para que la sociedad digital sea una realidad, derechos tales como la protección de datos y el acceso a la información son imprescindibles. Insisto una vez más en la necesidad de considerar de una vez por todas el derecho de acceso a la información como un derecho fundamental. Las personas tenemos derecho a saber, para de este modo poder exigir la rendición de cuentas de los servidores y poderes públicos. Pero además la sociedad digital solo será posible si se reconocen otros derechos, de entre los que merece especial atención el derecho de acceso a Internet. El artículo 81 de la Ley Orgánica 3/2018 señala que todos tienen derecho a acceder a Internet independientemente de su condición personal social económica o geográfica.
Como ya he dicho en algún otro lugar las consecuencias terribles derivadas de la pandemia habrían sido mucho mayores si el escenario no hubiese sido el de una sociedad digital que ha evolucionado en estos tres últimos meses mucho más que en años anteriores, pero que al mismo tiempo ha dejado ver las diferencias discriminatorias que pueden producirse entre quienes tienen acceso a Internet y quienes están privados del uso de la red. También deberá formularse como derecho fundamental el derecho a la conciliación, muy de la mano del teletrabajo. Este ya no será una simple anécdota propia de las empresas e instituciones más avanzadas tecnológicamente sino un derecho que para nada afecta a la calidad del trabajo, al rendimiento y a la productividad. Todas estas consideraciones nos permiten además concluir que si bien es cierto que la mayoría de las medidas excepcionales que se han tomado con ocasión del estado de alarma deben cesar, como ya he dicho más atrás, una vez que éste culmine, también lo es que ciertos derechos y ciertos tratamientos de datos deben pasar a ser absolutamente normales, asentarse y consolidarse en nuestra sociedad. Me refiero una vez más al teletrabajo pero también a la posibilidad de utilizar los recursos de la sociedad digital en el ámbito de la enseñanza, de la educación, de la salud. Las reglas y criterios sobre celebración de reuniones o de exámenes utilizando plataformas colaborativas son reglas que no se agotan con el estado de alarma sino que deben asumirse con total normalidad a partir de ahora.
En consecuencia se trata de recuperar la plena normalidad en el ejercicio de los derechos y reivindicar el reconocimiento de nuevos derechos que permitan el desarrollo de la sociedad digital sin que por ello deban sufrir merma alguna los derechos fundamentales.

NOTAS:

1 El presente trabajo se enmarca en el Proyecto de Investigación DER2016-79819-R, del Programa estatal de investigación, Desarrollo e Innovación Orientada a los Retos de la Sociedad, del Ministerio de Economía y Competitividad, sobre "Protección de datos, seguridad e innovación: retos en un mundo global tras el Reglamento Europeo de Protección de Datos", del que soy investigador principal. Para su elaboración me baso en parte en lo que ya he tenido ocasión de exponer recientemente en otros lugares. En particular, "Contra los bulos, transparencia. O sobre cómo la transparencia y el derecho a saber son exigencias democráticas también (o aún más) en estado de alarma", publicado el 6 de mayo de 2020 en Hay Derecho-Expansión, disponible en https://hayderecho.expansion.com/2020/05/06/contra-los-bulos-transparencia-o-sobre-como-la-transparencia-y-el-derecho-a-saber-son-exigencias-democraticas-tambien-o-aun-mas-en-estado-de-alarma/; "La protección de datos durante la crisis del coronavirus", publicado el 20 marzo 2020 en la Newsletter de la Abogacía, disponible en https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/; "Privacidad en estado de alarma y normal aplicación de la Ley", publicado el 9 abril, 2020 en Hay Derecho-Expansión, disponible en https://hayderecho.expansion.com/2020/04/09/privacidad-en-estado-de-alarma-y-normal-aplicacion-de-la-ley/; "Celebración de reuniones 'online' por órganos de gobierno y administración de personas jurídicas y protección de datos de carácter personal", publicado en CMS Referencias Jurídicas, mayo de 2020 y disponible en https://cms.law/es/esp/publication/celebracion-de-reuniones-online-por-organos-de-gobierno-y-administracion-de-personas-juridicas-y-proteccion-de-datos-de-caracter-personal. Libero al lector de las constantes remisiones que debería incluir a lo largo del trabajo a todas estas reflexiones previas, considerando que al citarlas ahora las tengo ya por hechas.
2 El decreto de declaración del estado de alarma, o los sucesivos que durante su vigencia se dicten, podrán acordar las medidas siguientes:

a) Limitar la circulación o permanencia de personas o vehículos en horas y lugares determinados, o condicionarlas al cumplimiento de ciertos requisitos.
b) Practicar requisas temporales de todo tipo de bienes e imponer prestaciones personales obligatorias.
c) Intervenir y ocupar transitoriamente industrias, fábricas, talleres, explotaciones o locales de cualquier naturaleza, con excepción de domicilios privados, dando cuenta de ello a los Ministerios interesados.
d) Limitar o racionar el uso de servicios o el consumo de artículos de primera necesidad.
e) Impartir las órdenes necesarias para asegurar el abastecimiento de los mercados y el funcionamiento de los servicios de los centros de producción.
3 "Límite y restricción, no suspensión", El Pais, 8 de abril de 2020, y más tarde "La aversión europea al estado de excepción", El País, 28 de abril de 2020.
4 "Hay que tomarse la Constitución en serio", El País, 10 de abril de 2020.
5 "Estado de excepción, no de alarma", El Mundo, 20 de abril de 2020.
6 "La Constitución bajo el estado de alarma", El Pais, 20 de abrirl de2020.
7 "Estado de alarma o de excepción", Estudios Penales y Criminológicos, vol. XL (2020), pp. 1-20).
8 "¿Está suspendida o no la transparencia por el estado de alarma?", en Hay Derecho-Expansión, disponible en https://hayderecho.expansion.com/2020/04/20/esta-suspendida-o-no-la-transparencia-por-el-estado-de-alarma/

9 "Crisis sanitaria, no crisis de transparencia", en https://investigacionapi.com/portada/2020/03/30/crisis-sanitaria-no-crisis-en-transparencia/

10 "Transparencia y crisis sanitaria", en El Heraldo, 20 de abril de 2020, https://www.heraldo.es/noticias/opinion/2020/04/21/transparencia-y-crisis-sanitaria-jose-maria-gimeno-la-firma-1370658.html

11 https://www.informationcommissioners.org/covid-19

12 Que en su página web afirma expresamente que "ha suscrito la Declaración de la Conferencia Internacional de Comisionados de Información.... y ha defendido el derecho de acceso a la información de la ciudadanía en el marco de la pandemia global del coronavirus": https://www.ctpdandalucia.es/

13 https://louisville.edu/law/library/special-collections/the-louis-d.-brandeis-collection/other-peoples-money-by-louis-d.-brandeis

14 "Quienes de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares, en sus relaciones con ellas, de los siguientes derechos: d) Al acceso a la información pública, archivos y registros, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y el resto del Ordenamiento Jurídico". Cáigase en la cuenta de que el ámbito subjetivo de este precepto es incluso menor que el de la Ley 19/2013, pues no se extiende a "todas las personas".
15 Hoy el Portal de la Transparencia depende del Ministerio de Política Territorial y Función Pública, Secretaría de Estado de Función Pública, Dirección General de Gobernanza Pública.
16 Por otra parte, mediante Orden SND/388/2020, de 3 de mayo, se estableció la reapertura al público de los archivos, de cualquier titularidad y gestión, y se han regulado las condiciones para la realización de su actividad y la prestación de los servicios que le son propios. Si bien se facilita con ella el acceso a archivos, no resuelve los problemas de falta de transparencia que aquí he puesto de manifiesto. Tan sólo facilita el viejo derecho de acceso a archivos y documentos, preferentemente para su aportación en procedimientos administrativos y judiciales.
20 Sobre ello vid Federico ANDREUCCI, "Consideraciones sobre las excepciones de la Agencia de Acceso a la Información Pública de la República Argentina respecto de la suspensión de plazos administrativos por la pandemia de Coronavirus", en Derecho Digital e Innovación, nº 5.
21 Curso de Derecho Administrativo, I, 2017, Madrid: Civitas.
22 Sobre suspensión de plazos en el estado de alarma, por todos, Alfonso Melón Muñoz, "Algunas consideraciones sobre la suspensión de plazos sustantivos, administrativos y procesales derivada del estado de alarma declarado por la pandemia de coronavirus COVID-19", El Derecho, 1 de abril de 2020: https://elderecho.com/algunas-consideraciones-la-suspension-plazos-sustantivos-administrativos-procesales-derivada-del-estado-alarma-declarado-la-pandemia-coronavirus-covid-19

23 https://www.aepd.es/es/documento/2020-0017.pdf

24 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

25 Ambas disponibles en https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_en

26 https://edps.europa.eu/sites/edp/files/publication/2020-04-06_eu_digital_solidarity_covid19_en.pdf

27 "El respeto de estas normas (sobre protección de datos) estará sujeto al control de una autoridad independiente".
28 https://www.aepd.es/es/documento/2020-0017.pdf

29 La mayoría están fácilmente localizables en https://www.aepd.es/es/areas-de-actuacion/proteccion-datos-y-coronavirus

30 La Agencia también advertía que había "podido constatar que algunas páginas web y apps no aportan la detallada información exigible para identificar a los responsables, ni incluyen las finalidades para las que podrían tratarse los datos": https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-de-la-aepd-en-relacion-con-webs-y-apps-que-ofrecen

31 https://www.aepd.es/sites/default/files/2020-05/analisis-tecnologias-COVID19.pdf

32 https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/asuntos-economicos/Paginas/2020/010420-datacovid.aspx

33 Sobre dicha Orden vid. MARTÍNEZ, Ricard, "Protección de datos y geolocalización en la Orden SND/297/2020", https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/

34 De él me he ocupado en "Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones", en Revista Derecho Digital e Innovación, Wolters Kluwer, nº 3.
35 Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, citada más atrás.
36 Aunque lo cierto es que no parece que lo más adecuado sea afirmar, como hace el citado punto cuarto, que "lo dispuesto en esta orden se entiende sin perjuicio de la aplicación del régimen previsto" en el RGPD y la LOPDGDD. Esta afirmación sólo puede ser interpretada en el sentido de que la aplicación de la orden se someterá totalmente y sin excepción alguna a la normativa sobre protección de datos. Quiero pensar que se trata tan sólo de una redacción propia de la urgencia en aprobar la orden.
37 https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf

38 https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Data%20Protection%20and%20Security.pdf

39 EU Digital Solidarity: a call for a pan-European approach against the pandemic, declaración del EDOS, Wojciech Wiewiórowski hecha pública el 6 de abril de 2020. Puede consultarse en https://edps.europa.eu/sites/edp/files/publication/2020-04-06_eu_digital_solidarity_covid19_en.pdf

40 "Privacidad y protección de datos en el rastreo de contactos para la lucha contra el COVID-19", Revista Derecho Digital e innovación, nº 5, abril-junio 2020.
41 https://www.google.com/covid19/exposurenotifications/

42 Con respecto a las protecciones en el ámbito de la privacidad que la solución de Google y Apple aporta, ALVAREZ CARO destaca las siguientes (https://blog.google/documents/73/Exposure_Notification_-_FAQ_v1.1.pdf):

"1) se trata de un sistema voluntario, opt-in, que requiere el consentimiento explícito del usuario, quien puede en todo momento desinstalar la aplicación o deshabilitar la funcionalidad en los ajustes;

2) el proceso para reconocer si dos móviles están físicamente próximos sucede a nivel de dispositivo. Es decir, el matching de los códigos de bluetooth que emiten los dispositivos se produce a nivel del propio dispositivo, reteniéndose esos códigos en el dispositivo durante 14 días;

3) los códigos que emiten y reciben los dispositivos móviles rotan cada 15 minutos aproximadamente;

4) Si un usuario es diagnosticado Covid-19 positivo, ni este resultado ni la identidad del infectado se comparte con Google o Apple ni con ningún otro usuario;

5) No se utiliza el dato de localización, sino que se basa únicamente en señales de bluetooth;

6 ) Google y Apple pueden deshabilitar el sistema para una región concreta cuando no sea necesario".
43 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos

44 https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID_19.pdf

45 "¿Quién puede controlar la temperatura de los trabajadores? Comenzando a pensar en el desescalado", en Foro de Labos, publicado el 21de abril de 2020, actualizado el 30 de abril. Disponible en https://forodelabos.blogspot.com/2020/04/quien-puede-controlar-la-temperatura-de.html

46 Alicia PIÑAR REAL, "La conciliación en tiempos de coronavirus: del Plan MECUIDA al futuro que nos aguarda (¿Hacia el derecho a la conciliación como nuevo derecho fundamental?)", en Hay Derecho-Expansión, junio de 2020. Disponible en https://hayderecho.expansion.com/2020/06/14/la-conciliacion-en-tiempos-de-coronavirus-del-plan-mecuida-al-futuro-que-nos-aguarda-hacia-el-derecho-a-la-conciliacion-como-nuevo-derecho-fundamental/

47 https://www.osi.es/es/cibercovid19

48 https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/4691-ccn-cert-bp-18-recomendaciones-de-seguridad-para-situaciones-de-teletrabajo-y-refuerzo-en-vigilancia-1/file.html

49 https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf

50 Video conferencing: 10 privacy tips for your business, https://www.ftc.gov/news-events/blogs/business-blog/2020/04/video-conferencing-10-privacy-tips-your-business

51 https://www.aepd.es/es/documento/2020-0036.pdf

52 https://www.aepd.es/es/documento/2019-0031.pdf. En el Informe, además de recordar que las técnicas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos, se señala para tratar categorías especiales de datos con estos fines, la normativa requiere que exista un "interés público esencial" recogido en una norma con rango de ley que no existe actualmente en el ordenamiento jurídico. Además la Agencia rechaza que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar tecnologías como el reconocimiento facial.
53 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

54 Curso de Derecho Administrativo, Vol. I (2017), Cizur Menor: Thomson Reuters-Civitas, 18ª edición.
55 EU Digital Solidarity: a call for a pan-European approach against the pandemic, citado más atrás.

ÍNDICE:

EL ESTADO DE DERECHO, A PRUEBA
Tomás Ramón Fernández

DERECHO DE LA SALUD PÚBLICA Y COVID-19
César Cierco Seira

I. INTRODUCCIÓN. DEBERES PENDIENTES Y NUEVAS LECCIONES PARA EL DERECHO DE LA SALUD PÚBLICA

II. LA MANIFESTACIÓN DE CARENCIAS MUY RELEVANTES QUE SE HAN AGUDIZADO. EN PARTICULAR, LAS MEDIDAS ABLATORIAS PERSONALES

A) Las autoridades sanitarias competentes para adoptar medidas ablatorias sobre las personas por razones de salud pública

B) La falta de desarrollo normativo de medidas esenciales en la lucha contra las epidemias

C) Las dudas en cuanto a la virtualidad y alcance de la garantía judicial prevista en el art. 8.6.2 de la LJCA

III. EL SALTO A LA LEY ORGÁNICA REGULADORA DEL ESTADO DE ALARMA Y EL PAPEL COMPLEMENTARIO DE LA LEGISLACIÓN DE SALUD PÚBLICA

IV. FINAL: LA IMPORTANCIA DE UNA REGULACIÓN LO MÁS ESTRUCTURADA Y COMPLETA POSIBLE DE LAS CRISIS O EMERGENCIAS DE SALUD PÚBLICA

V. BIBLIOGRAFÍA

LIBERTADES PÚBLICAS DURANTE EL ESTADO DE ALARMA POR LA COVID-19
Francisco Velasco Caballero

I. LIBERTADES PÚBLICAS EN LOS ESTADOS EXCEPCIONALES

II. RESTRICCIONES A LA LIBERTAD

A) Suspensión versus limitación de derechos fundamentales

B) Límites constitucionales frente a las limitaciones de las libertades públicas

1. Autorización legal

2. Proporcionalidad

3. El contenido esencial de las libertades públicas

4. Control jurisdiccional de las restricciones

III. LIBERTAD DE CIRCULACIÓN

IV. DERECHO DE REUNIÓN

V. LIBERTAD RELIGIOSA

TRANSPARENCIA Y PROTECCIÓN DE DATOS EN EL ESTADO DE ALARMA Y EN LA SOCIEDAD DIGITAL POST COVID-19
José Luis Piñar Mañas

I. ESTADO DE ALARMA, SOCIEDAD DIGITAL Y DERECHOS FUNDAMENTALES. LA TRASCENDENCIA DE LA TRANSPARENCIA Y LA PROTECCIÓN DE DATOS

II. TRANSPARENCIA Y ACCESO A LA INFORMACIÓN DURANTE EL ESTADO DE ALARMA

A) A vueltas con el derecho de acceso como derecho fundamental

B) El Portal de la Transparencia

C) La controvertida suspensión de plazos durante el estado de alarma

III. PRIVACIDAD DURANTE EL ESTADO DE ALARMA

A) El alcance de la posible limitación de la privacidad durante el estado de alarma. En particular el informe de la AEPD 0017/2020

B) Algunos retos para la protección de datos derivados de las medidas que han debido implantarse para luchar contra el coronavirus

1. Las aplicaciones de seguimiento y/o trazabilidad

2. La toma de temperatura

3. El teletrabajo y la protección de datos

4. Celebración on line de reuniones y protección de datos

5. La celebración de exámenes on line y el reconocimiento facial

6. Protección de datos, detección precoz de la enfermedad, control de las fuentes de infección y vigilancia epidemiológica tras el estado de alarma en el Real Decreto-ley21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente la crisis sanitaria ocasionada por el COVID-19

IV. TRANSPARENCIA Y PROTECCIÓN DE DATOS TRAS EL CORONAVIRUS. LA HORA DE LA SOCIEDAD DIGITAL Y EL PLENO RESTABLECIMIENTO DE LOS DERECHOS

COVID Y DERECHO PÚBLICO EN FRANCIA: UN "ESTADO DE URGENCIA SANITARIO" BAJO CONTROL JUDICIAL
Ana I. Santamaría Dacal

I. UNA SOLUCIÓN LEGISLATIVA DE EMERGENCIA: EL "ESTADO DE URGENCIA" SANITARIO

A) El recurso temporal a las facultades del Ministro de Sanidad

B) Un Decreto de confinamiento de cuestionada base legal

C) Una intervención parlamentaria "en caliente" para reforzar la base legal: el "estado de urgencia sanitario"

II. UNA ACTUACIÓN GUBERNAMENTAL BAJO CONTROL PARLAMENTARIO Y JUDICIAL

A) El control parlamentario

B) El control judicial

1. En primer lugar, la propia arquitectura de las medidas de lucha contra la Covid-19 ha sido objeto del control contencioso-administrativo

2. La protección de los grupos especialmente vulnerables de la población también ha sido objeto de control contencioso

III. CONCLUSIÓN

NOTAS SOBRE EL EJERCICIO DE LAS POTESTADES NORMATIVAS EN TIEMPOS DE PANDEMIA
Juan Alfonso Santamaría Pastor

I. UNA EXPERIENCIA INQUIETANTE

II. LOS DATOS

III. EL ORIGEN DE LAS NORMAS Y LOS PROBLEMAS DE COMPETENCIA

A) La ausencia del poder legislativo

B) La figura de las "autoridades competentes delegadas"

C) ¿Órdenes ministeriales?

D) El título habilitante de las autoridades competentes

IV. EL PROCEDIMIENTO

V. EL CONTENIDO

A) Los Reales Decretos ley y las Órdenes ministeriales

B) Los Reales Decretos de declaración del estado de alarma: la limitación de derechos fundamentales

C) ¿Sanciones?

D) El problema de las competencias autonómicas

VI. ENSEÑANZAS

DERECHO ADMINISTRATIVO SANCIONADOR, ESTADO DE ALARMA Y COVID-19
Joan Manuel Trayter Jiménez

I. PLANTEAMIENTO

II. CARACTERÍSTICAS GENERALES DE LA NORMATIVA SANCIONADORA DURANTE EL ESTADO DE ALARMA

III. PRINCIPIOS Y REGLAS DE LA POTESTAD SANCIONADORA DE LA ADMINISTRACIÓN

IV. LA DESOBEDIENCIA A LA AUTORIDAD. LA POSIBLE LEGISLACIÓN APLICABLE DURANTE EL COVID (LEY 4/2015, DE 30 DE MARZO, DE PROTECCIÓN DE LA SEGURIDAD CIUDADANA; LEY 17/2015, DE 9 DE JULIO, DEL SISTEMA NACIONAL DE PROTECCIÓN CIVIL; LEY 33/2011, DE 4 DE OCTUBRE, GENERAL DE SALUD PÚBLICA). LAS ORDENANZAS LOCALES

A) La ausencia de una legislación sancionadora específica durante el estado de alarma

B) La desobediencia a la autoridad: La Ley 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana

1. Planteamiento

2. Infracciones y sanciones previstas en la Ley de Seguridad Ciudadana aplicables al estado de alarma: La desobediencia o resistencia a la autoridad. Requisitos

3. El delito de desobediencia de la ciudadanía a la autoridad o sus agentes

C) El sistema sancionador de protección civil. Su no aplicación en la actual crisis del COVID-19

D) El sistema sancionador de la legislación sanitaria

E) La normativa local y el COVID-19: Las ordenanzas municipales

V. OTRAS CUESTIONES: LAS AUTORIDADES COMPETENTES, LOS ATESTADOS Y ALGUNAS REGLAS DE LOS PROCEDIMIENTOS ADMINISTRATIVOS

VI. BIBLIOGRAFÍA

COVID-19 Y CONTRATACIÓN PÚBLICA: TRAMITACIÓN DE EMERGENCIA EN PRÁCTICA Y OTRAS CUESTIONES
Julio V. González García

I. PLANTEAMIENTO

II. LA APLICACIÓN DE LA REGULACIÓN DE LA CONTRATACIÓN DE EMERGENCIA EN RELACIÓN CON LA ADQUISICIÓN DE BIENES Y SERVICIOS VINCULADOS A LA COVID19

III. EN CONCRETO, EL CAMBIO DE LAS REGLAS DE PAGO DE LA PRESTACIÓN

IV. LA SUSPENSIÓN DE LA EJECUCIÓN DE LOS CONTRATOS ANTERIORES A LA COVID19

V. LA AMPLIACIÓN DE LOS PLAZOS DE LOS CONTRATOS

VI. CONTRATOS PUENTE

LA JUSTICIA ADMINISTRATIVA DURANTE EL ESTADO DE ALARMA
Juan Ramón Fernández Torres

I. ¿DISPONE EL ORDENAMIENTO JURÍDICO ESPAÑOL Y, EN PARTICULAR LA LEY 29/1998, DE 13 DE JULIO, REGULADORA DE LA JURISDICCIÓN CONTENCIOSO-ADMINISTRATIVA, DE HERRAMIENTAS BASTANTES PARA AFRONTAR UNA PANDEMIA CON GARANTÍAS DE ÉXITO?

II. DECLARACIÓN DEL ESTADO DE ALARMA Y SUBSIGUIENTE SURGIMIENTO DE UN NUEVO MARCO JURÍDICO EN SUSTITUCIÓN DEL VIGENTE HASTA ENTONCES

A) Contexto y alcance del Real Decreto 463/2020, de 14.3

B) Fundamento, legitimidad y justificación de la declaración del estado de alarma

C) Naturaleza jurídica de la declaración del estado de alarma

D) Autoridades competentes

E) Límites de la declaración de estado de alarma

F) Suspensión de plazos procesales y administrativos

1. Introducción

2. Supuestos

a. La suspensión general de términos e interrupción de plazos procesales de todos los órdenes jurisdiccionales, e incluso del Tribunal Constitucional (D.A. 2ª)

b. La suspensión de plazos administrativos (D.A. 3ª)

c. La suspensión de plazos de prescripción y caducidad (D.A. 4ª)

G) Recurribilidad del Real Decreto 463/2020 y de sus medidas de aplicación

III. IMPUGNACIÓN DE ACTUACIONES VINCULADAS A LA DECLARACIÓN DEL ESTADO DE ALARMA

A) Tribunal Constitucional

B) Tribunales ordinarios. Una breve referencia a su actividad jurisdiccional

C) La Jurisdicción contencioso-administrativa. Una aproximación a su actividad durante los dos primeros meses

IV. EL LEVANTAMIENTO DE LA SUSPENSIÓN DE LOS PLAZOS ADMINISTRATIVOS Y PROCESALES

LOS DAÑOS POR LA COVID-19 (RESPONSABILIDAD PATRIMONIAL; ORDENACIÓN Y PRIVACIÓN DE DERECHOS)
David Blanquer Criado

I. LA ADMINISTRACIÓN NO ES LA ASEGURADORA UNIVERSAL DE TODAS LAS DESGRACIAS QUE NOS SUCEDAN A LAS PERSONAS

II. EL DESLINDE CONCEPTUAL Y FUNCIONAL DE LA RESPONSABILIDAD PATRIMONIAL CON OTRAS FIGURAS JURÍDICAS

A) La diversidad de daños sufridos a raíz de las medidas gubernamentales impuestas durante la vigencia del estado de alarma

B) Las requisas temporales de bienes necesarios durante la vigencia del estado de alarma (artículo 8.1 del RD 463/2020)

1. Introducción

2. El deslinde conceptual y funcional entre la requisa y la incautación de cosas muebles

3. Las privaciones temporales y las expropiaciones definitivas

4. La diferencia entre la privación forzosa y la responsabilidad patrimonial de la Administración

C) La intervención de empresas en el sector sanitario (artículo 13.b) del Real Decreto 463/2020)

D) La ordenación general de un derecho que no da lugar al pago de una indemnización o compensación económica. Algo sobre la suspensión temporal de actividades empresariales impuesta por el artículo 10 del RD 364/2020

1. Introducción

2. La privación singular, o susceptible de ser individualizada

3. La ordenación general

4. La libertad constitucional de empresa y la suspensión de actividad durante la vigencia del estado de alarma

5. Breve digresión sobre la propiedad y las crisis de sanidad animal: las indemnizaciones por sacrificio de animales en la normativa de epizootias

E) Algo sobre las ayudas y subvenciones públicas

1. El Estado social y la función solidaria de algunas ayudas y subvenciones

2. El silencio del Real Decreto 463/2020 sobre las ayudas a los empresarios que han sufrido la suspensión imperativa de sus actividades mercantiles

3. La diferencia entre los pagos a título de responsabilidad patrimonial, y las atribuciones patrimoniales solidarias realizadas a fondo perdido

III. UN CONTEXTO COMPLEJO Y LLENO DE INCERTIDUMBRES PARA LA RESPONSABILIDAD PATRIMONIAL

A) Introducción

B) Algo sobre el Estado de Derecho durante la vigencia del estado de alarma

1. ¿Pervive la garantía indemnizatoria durante la vigencia del estado de alarma?

2. Durante el estado de alarma se respira una atmósfera jurídica anormal. En tiempos difíciles no se hace buen Derecho

IV. LOS REQUISITOS LEGALMENTE EXIGIDOS PARA QUE PROCEDA DECLARAR LA RESPONSABILIDAD PATRIMONIAL DE LA ADMINISTRACIÓN

A) Introducción

B) La imputación del resultado lesivo y las causas de fuerza mayor

1. La imputación del resultado lesivo a una persona jurídica

2. El desplazamiento de la imputación de la responsabilidad por causa de fuerza mayor

3. Algo más sobre el carácter imprevisible del riesgo causado por las fuerzas de la naturaleza

4. Algo más sobre el carácter inevitable del resultado lesivo causado por las fuerzas de la naturaleza

5. La creación de riesgos como título de imputación; el incremento del riesgo generado por la pasividad o el mal funcionamiento de la Administración pública

6. La organización administrativa como título de imputación; algo sobre las Comunidades Autónomas

C) La relación de causalidad entre la actuación administrativa y el resultado lesivo

1. Teorías sobre la relación de causalidad

2. La concurrencia de causas y sus efectos

D) El concepto técnico-jurídico de lesión indemnizable

1. Introducción

2. La efectividad de la lesión

3. Lesión individualizada

4. Lesión susceptible de valoración económica

5. La antijuridicidad de la lesión

E) La antijuridicidad del resultado y el estado de los conocimientos de la ciencia médica frente a la enfermedad COVID-19