Modificas n. 309 al Reglamento del Consejo de los Ministros n. 360 del 9 de junio 2020 adoptado desde el Consejo de los Ministros el 18 de mayo de 2021 “Medidas de seguridad epidemiológica para limitar la difusión de la infección de COVID-19” (lo siguiente Reglamento) establece que los lugares de trabajo, grupos artísticos y deportivos aficionados hasta 20 personas, así como las personas que participan a una transmisión, se han sido vacunadas o han contraído el COVID-19, pueden también no utilizar máscaras y observar una distancia de dos metros cuando están en la misma habitación.

Para lo que se refiere al tratamiento de datos sanitarios, explicamos que:

Las informaciones sobre el estado de salud de una persona, como por ejemplo si un empleado ha sido infectado desde el COVID-19 o se ha sido vacunado o no contra el COVID-19, son categorías especiales de datos personales con arreglo al Reglamento General de Protección de Datos (lo siguiente – Reglamento), mientras la adquisición de las informaciones, su inserción en documentos y sucesivamente en un sistema de archivación (file) o la conservación de estas informaciones en un sistema electrónico es un tratamiento de datos personales. El tratamiento de las informaciones sanitarias personales puede ser efectuado solo si existen razones en los artículos 6 y 9 del Reglamento.

La base jurídica para obtener informaciones sobre la situación vacunal o informaciones sobre el COVID-19 en un caso particular es el artículo 6, apartado 1, letra e) del Reglamento – el tratamiento es necesario para la ejecución de un papel de interés público, el fin del tratamiento es determinado desde la ley, y el artículo 9, apartado 2, letra i) – el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad [1].

Las disposiciones prevén un cierto grupo de personas (empresarios por sus empleados, grupos artísticos aficionados por su miembros y grupos deportivos aficionados por sus miembros, emitentes por participantes a una transmisión) y ciertas circunstancias (lugares de trabajo, participación a eventos colectivos (formación, pruebas), transmisión) cuando puede ser solicitadas informaciones sobre los datos sanitarios arriba mencionados. Solo bajo esta especifica personas en estas circunstancias puede ser solicitado de producir la prueba de la vacuna o de la exposición al COVID-19. De otras maneras, comerciales, instituciones o proveedores de servicios no pueden actualmente pedir informaciones porque la legislación no prevé este derecho.

Dado que los Reglamentos no proporcionan un procedimiento claro para garantizar que los individuos se cumplen con los criterios establecidos en los reglamentos, la Inspección hace las siguientes recomendaciones para lo que se refiere al respeto de los principios del tratamiento de datos personales.

No obstante, el hecho que las leyes y los reglamentos emitidos después de la situación epidemiológica del país dejan a ciertos responsables del tratamiento (empresario, entrenador de un equipo o líder de equipos aficionados) una clara base jurídica por el tratamiento de datos, ellos tienen también que respectar otras disposiciones del Reglamento. En este caso, la Autoridad llama la atención sobre los principios de tratamiento establecidos desde el artículo 5 del Reglamento, que subraya en particular que los datos tienen que ser tratados de manera lícita, leal y transparente en relación con el interesado.

Dada la información publicada sobre el sitio del Ministerios de la Salud que una persona será capaz de probar el hecho de las vacunas y de la exposición al COVID-19 presentado una carta de vacunas, una prensa e-health o un certificado médico genérico o de una autoridad de vacunas, esto significa que el responsable del tratamiento (empresario, entrenador de un equipo o líder de equipos aficionados) [2] puede tratar solo la cantidad de datos personales necesarios para lograr el fin, es decir para establecer el hecho que la persona cumpla los requisitos del Reglamento. Para establecer que una persona ha sido vacunada o ha contraído el COVID-19, no es necesario copiar unos documentos justificativos, es suficiente hacer nota en el sistema (o en el registro) indicando el nombre de la persona y que cumpla los casos de los artículos 6, 32 y 18 del Reglamento, tratado así los datos personales en la medida mínima y al mismo tiempo logrando el fin.

Además, tenemos que recordar que, no obstante, la existencia de un marco legislativo claro por el tratamiento de datos personales por una finalidad específica tiene que ser posible garantizar la destrucción tempestiva y correcta de los datos a la expiración de su periodo de cancelación, que pide una evaluación de manera mejor para garantizar los controles para asegurar que los datos no sean conservados más de lo necesario.

A fin de garantizar que el tratamiento de datos personales sea conforme al Reglamento Europeo m. 2016/679:

No se tiene que:

1. Copiar la prueba de la vacunación o de la exposición al COVID-19
2. Sobrescribir todo el contenido de las informaciones incluidas en los documentos de vacunación contra el COVID-19. Por ejemplo, la organización no tiene necesidad de registrar la fecha de la vacunación, la vacuna específica, o si la persona ha tenido la vacuna o la enfermedad;
3. Conservar las informaciones sobre una persona lo más de necesario para lograr el fin. Por ejemplo, dado que las informaciones cambian, una organización puede actualizar las informaciones mensualmente, cancelando la lista previa y cancelando la última lista cuando estas disposiciones no existen más;
4. Obtener y transferir informaciones a terceros. Por ejemplo, no hay ninguna razón legitima para la cual el empresario pida a un centro de vacunas informaciones sobre los empleados vacunados, ni hay ninguna razón para pasar estas informaciones a sus partners comerciales o otros club aficionados o deportivos.

Puede:

1. Tener un registro de las personas que han sido vacunadas o que han contraído el COVID-19, con el nombre y una nota que la persona cumple los criterios establecidos en los reglamentos;
2. Instruir el personal que trabaja en el puesto a informar las personas responsables si el estatus de un miembro del personal (miembro del club) cambia y no cumple los criterios del Reglamento;
3. Tener un registro de los empleados que trabajan a tiempo pleno. Si un empleado trabaja a distancia, no hay razón de exigir que cumpla los criterios de las reglas.

La inspección nota que los reglamentos no piden una registración inscrita de la admisibilidad (en un registro o en un sistema informativo). Es posible efectuar un control en loco del respeto de los criterios de admisibilidad, cada vez que, sobre la base de un certificado, sin algún tratamiento escrito de datos personales.

En estos casos, este tratamiento de datos personales no será objeto de los requisitos del Reglamento, en cuanto no será conservada alguna registración bajo file o electrónicamente.

Si el empresario, el entrenador del equipo o el responsable de un equipo aficionado no registra informaciones sobre una persona especifica por un determinado periodo de tiempo, pero cada vez que organiza un evento, un encuentro, una prueba, un entrenamiento dentro de un marco especifico de máximo de 20 personas, contrala un documento que certifica que la persona ha sido vacunada o ha contraído el COVID-19, este tratamiento de datos personales no es parte del ámbito del Reglamento General de Protección de Datos y de las Disposiciones aplicables.

En los casos en los cuales los colectivos no han sido grandes y es posible identificar 20 individuos específicos, la Inspección no ve la necesidad de una especifica registración escrita, porque la verificación de los criterios del Reglamento puede ser asegurada también mediante la verificación en loco de los certificados, reduciendo al mínimo al tratamiento de datos personales, sin deber aplicar los requisitos del reglamento de la actividad especifica. Por ejemplo, si un equipo deportivo tiene 20 miembros (un equipo) que se entrenan cada semana, un entrenador que conoce todos los miembros del equipo y ha controlado una vez que todos los miembros del equipo han sido vacunados no tendrían necesidad de pedir la prueba de cada sesión de entrenamiento, porque en este caso el respeto del criterio no puede cambiar. Esto se aplicaría también en el caso de una persona que participa a una transmisión.

[1] el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA LETTONIA