El 26 de abril de 2021, con deliberación n. 418, el Gobierno ha aprobado en vía preliminar la mesura extraordinaria que el Ministerio de la Salud quiere emanar con efecto desde el 3 de mayo de 2021 y al punto 14, letra e) ordena a los operadores de barberos, peluqueros, pedicuras, manicuras, cosméticos, masajes y servicios similares de regeneración o reacondicionamiento de llevar la documentación de los clientes con el fin de una posible investigación epidemiológica. Un gran número de operadores, que hasta ahora no han tenido que procesar ningún dato sobre sus clientes y no tienen suficiente experiencia para mantener registros similares o crear condiciones técnicas, impone, por tanto, una nueva obligación de tratar los datos personales.

La obligación de tratar datos personales sin una especifica y suficiente motivación.

En el especifico, se refiere a las finalidades del tratamiento, la portabilidad de lod datos, el periodo de sus conservaciones, la seguridad técnica y organizativa, las modalidades de adempimento del principio de transparencia y la obligación de proporcionar informaciones a los interesados, a esto está conexa la necesidad de determinar la manera de realización de eventuales inspecciones por parte de las autoridades de protección de salud publica en el marco de una investigación epidemiológica.

No esta claro si las registraciones tienen que ser conservadas en el ámbito de datos que generalmente permiten de identificar una persona natural (nombre, apellido, fecha de nacimiento, dirección de residencia o residencia permanente, o numero de teléfono) o de otra manera cómo, por ejemplo, si la prestación de la administración estatal utiliza un número de nacimiento en conformidad con la disposición sobre la ley de registración de la población y de los números de nacimiento. La definición de las palabras “para la exigencia de una eventual investigación epidemiológica” no es suficientemente específica, en cuando no motiva nada y también no habla de los parámetros de tratamiento solicitados.

Además, no es claro si los files tienen que incluir las informaciones clave sobre el resultado de las pruebas o otro certificado legalmente previsto del estado de salud actual del cliente en arribo, o si estas informaciones serian determinadas mediante inspección por parte de las autoridades sanitarias públicas. Es también importante responder a la pregunta si esto seria hecho durante las investigaciones epidemiológicas o también fuera de ellas.

Si una indicación sobre la salud tiene que ser conservada en los registros, se tiene que tener en cuenta, que, de acuerdo con el Reglamento General, esta es una categoría de datos especiales, cuya proyección pide una atención particular. [2] esto es particularmente vero cuando estos datos tendrían que ser tratados desde un gran numero de personas que ofrecen servicios a los propios clientes (interesados). Según el Reglamento General, el tratamiento en larga escalera de una categoría especial de datos está sujeto a una evaluación de impacto sobre la protección de datos personales con arreglo al artículo 35 del presente reglamento (según la metodología se evaluación de impacto de protección de datos para los proyectos de legislación). Todavía, la oficina no se si esta evaluación previa ha sido realizada desde el Ministerio de la Salud.

Por consecuencia, las obligaciones de asesoramiento del recurrente con arreglo al artículo 36 del Reglamento General no han sido implementado en el caso de proyectos de mesuras legislativas, que incluyen, por ejemplo, estatutos y eventuales mesuras adoptadas desde los órganos de la publica administración adoptados sobre la base de disposiciones de ley.

El remitente tiene siempre que evaluar el estado actual y los impactos de la solución prepuesta en relación a la protección de privacidad y de datos personales, cosa que en este caso, para las conciencias de la Oficina, no ha sido realizada. La evaluación de la adecuadas de la interferencia en los derechos es un requisito de una sentencia completamente actual del dossier del Tribunal Supremo Administrativo n. 8 Ao 1/2021-133 del 14 de abril de 2021.

Una definición muy breve de la condición de tenida de los registros de los clientes que han completado la acción solicitada con un proveedor de servicios sanitarios en estos establecimientos pide la provisión simultanea de una serie de detalles de manera que los proveedores de servicios saben como conformarse y respectar los propios clientes “protección de la privacidad y de los datos personales”. El Comité Europeo de Protección de Datos [3] ha siempre subrayado en su dictamen que cualquiera acción tomada desde los Estados miembros o desde las instituciones de la Unión europea que afecta el tratamiento de datos personales en la lucha contra el COVID-19 tiene que seguir los principios del Reglamento de Protección de Datos.

Ley n. 94/2021 Coll. Sobre las medidas de emergencia en caso de epidemia de COVID-19 artículo 2, letra c) autoriza el Ministerio de la Salud a emanar una medida de emergencia para limitar la actividad de peluquería, peluquería, pedicura, manicura o solárium, la prestación de servicios de cosmética, masaje, regeneración o reacondicionamiento, o el ejercicio de un oficio en el que se viole la integridad de la piel, o para establecer las condiciones de su funcionamiento o suministro. Sin embargo, no tiene derecho a imponer a los operadores la obligación de conservar los registros de los clientes y, por tanto, de procesar una gama no especificada de datos personales. Además, no contiene detalles sobre la elaboración de nuevos registros. [4]

Si una obligación tiene que ser impuesta desde un estatuto, este acto tiene que tener una conexión directa con el acto normativo originario bajo forma de ley y con los limites en esto incluidos. Si bien la tenida de actos accesorios no pueda ser esclusa en general sobre la base de un estatuto (emitido en intra legem), tienen que cumplir las condiciones definidas en la sentencia del Tribunal Supremo Administrativo dossier n. 8 Ao 1/2021-133 del 14 de abril de 2021 [apartado 119].

Además, la Oficina detecta referencias en la medida extraordinaria propuesta que, respeto a la sentencia mencionada, crean una situación diferente y aumentan el énfasis sobre los requisitos de la base jurídica. Mientras en el caso de pruebas de empleados por parte de empresarios, se trata de una relación existente en cual el empresario trata una serie de datos sobre los empleados para configuración predefinida, la medida propuesta es una calidad completamente nueva de la obligación legal, porque los datos personales de los clientes no han sido tratados sistemáticamente en esta medida, si el tratamiento de datos personales ha tenido lugar. Porque los datos personales no pueden ser tratados sin base jurídica, será necesario considerar si la obligación de identificar los clientes pueda derivar desde la ley.

La oficina piensa no admisible la obligación recientemente impuesta a los operadores de conservar los registros de los clientes para las exigencias de una eventual investigación epidemiológica sin determinar el fin específico y otros parámetros del tratamiento y cumplir todos los principios de protección de datos personales conformemente al Reglamento General de Protección de Datos.

Para lo que se refiere que la medida de emergencia prevista tiene que incluir una condición para la salida de personas en determinadas áreas internas o para la participación a manifestaciones de masa, con arreglo al punto 20, letra a) y c) bajo forma de presentación de un “certificado [del] Ministerio de la Salud de Republica Ceca sobre la vacunas contra el COVID-19” la Oficina hace referencia a su declaración sobre los dichos pasaportes vacunales del 9 de abril de 2021, debido a la imposibilidad con hechos jurídicos de cuales al punto 20 consecuencias legales. En consideración del fin de esta ventaja, son necesarios un argumento más detallado y una prueba de proporcionalidad.

Se puede también hacer referencia a la nota del Secretario General del Consejo de Europa en la cual se afirma que el uso de certificados de vacunas a fines médicos no es nuevo, ni tampoco la obligación de portar estos certificados en calles debido a la difusión de la pandemia. El mismo ocurre para los documentos que confirman que una persona ha sido inmunizada o que ha resultado negativa a una prueba de COVID-19. De otra parte, la posibilidad de utilizar certificados de vacunas y datos de inmunización para fines no médicos, como el acceso exclusivo de las personas a derechos, servicios y lugares públicos, subraya muchas cuestiones sobre los derechos humanos.

Por fin, es necesario evaluar si la medida de emergencia propuesta no sea en contraste con la sentencia del Tribunal Administrativo Supremos del 22 de abril de 2021, ref. 6 Ao 11/2021-48, en cuanto no diferencia a suficiencia entre prohibiciones y restricciones desde un lado y condiciones operativas desde el otro. Porque el gobierno no ha publicado una relación explicativa del proyecto de medida de urgencia, es necesario presentar recurso para la efectiva justificación de cada medida.

En esta fase, la mencionada disposición de la medida de emergencia puede ser adicionalmente evaluada.

III.

En relación a las previas medidas extraordinarias que ordenan la revisión de los empleados, la Oficina ha dejado su declaración, resp. Declaración prorrogada del 26 de marzo de 2021, en la cual se subraya la responsabilidad de los órganos competentes de la administración centra del estado (Ministerio de Salud), resp. las compañías de seguros de salud, para determinar, en relación con el tratamiento requerido de los datos personales, el alcance exacto de los datos personales requeridos, para determinar de manera diferente los parámetros de tratamiento de dichos datos (en particular, el período de conservación) en el contexto de la finalidad defendible de dicho tratamiento. Mediante la declaración presentada, la Oficina intenta evitar una situación similar y ayudar a las autoridades competentes a cumplir correctamente sus obligaciones legales en el ámbito de la protección de datos personales.

[1] Según el sitio web de la Oficina del Gobierno, esta medida extraordinaria era válida desde el 26 de abril de 2021

[2] Artículo 9, apartado 1 del Reglamento General establece que Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

[3] El Comité Europeo de Protección de Datos es un órgano europeo independiente que contribuye a la aplicación uniforme de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE. El Comité europeo de protección de datos estará compuesto por representantes de las autoridades nacionales de protección de datos y del Supervisor Europeo de Protección de Datos.

[4] En contraste con la imposición de la obligación de probar a los empleados y a otros trabajadores por la presencia de la enfermedad COVID-19, que lógicamente implica la necesidad de tratar los datos personales para este fin y en la medida necesaria.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI REPUBBLICA CECA