La pandemia del Covid-19 ha sacudido nuestra sociedad en muchos aspectos, obligándonos a replantearnos ideas, principios e incluso límites de derechos que creíamos inamovibles en pleno siglo XXI. Uno de los grandes caballos de batalla legales antes de la irrupción del famoso coronavirus ha sido la implementación y desarrollo del Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos. En adelante: RGPD) y su coordinación en nuestro país con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDP).

Conforme van evolucionando los contagios y las dramáticas estadísticas de personas fallecidas, los responsables de luchar contra esta pandemia se van planteando soluciones más drásticas para evitar que la batalla contra el virus termine devastando nuestra economía y en particular el interés por emular lo que se ha llevado a cabo en países como Singapur o, sobre todo, Corea del Sur, cuyo gobierno ha implementado una aplicación móvil para hacer un seguimiento de todas las personas infectadas y avisar a todos aquellos que -según su localización GPS- tuvieron contacto con esta persona durante los últimos días. Una solución que parece estar siendo muy efectiva que ha planteado serias dudas sobre su aplicabilidad en nuestro país, por considerar esa actuación contraria a la citada normativa.

Contra este criterio -garantista, si se quiere- han surgido autores con ideas más pragmáticas, anteponiendo el Derecho a la Vida y a la Salud sobre el Derecho a la Protección de Datos[1] (arts. 10; 15; 17 y 43 de la Constitución, en adelante “CE”), alegando no sólo lo prevenido en las siguientes disposiciones legales: Ley 14/1986, de 25 de abril, General de Sanidad; Ley 33/2011, de 4 de octubre, General de Salud Pública; Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública; Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica; Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil o en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales; sino al propio contenido del RGPD y de la LOPDP.

En apoyo de estas tesis están las publicaciones llevadas a cabo por la Agencia Estatal de Protección de Datos (AEPD)[2] y por la propia presidenta de la Autoridad Europea de Protección de Datos (EDPB), al señalar que: “Las reglas de protección de datos (como GDPR) no obstaculizan las medidas tomadas en la lucha contra la pandemia de coronavirus. Sin embargo, me gustaría subrayar que, incluso en estos momentos excepcionales, el controlador de datos debe garantizar la protección de los datos personales de los interesados. Por lo tanto, se deben tener en cuenta una serie de consideraciones para garantizar el procesamiento legal de los datos personales”[3]. En el comunicado emitido por dicho organismo se recuerda que tanto los empleadores como las autoridades competentes en materia de salud pública pueden procesar datos personales en el contexto de epidemias, sin la necesidad de obtener el consentimiento del interesado (art. 6 y 9 del RGPD).

En lo atinente al procesamiento de datos de comunicación electrónica (ubicación móvil) se aplican reglas adicionales, debiendo primar el tratamiento datos de ubicación de forma anónima (es decir, procesar los datos agregados de manera que no se puedan revertir a datos personales), salvo cuando sea imposible. En tal caso estarán igualmente facultados los Estados miembros en virtud del artículo 15 de la Directiva sobre privacidad electrónica

Los límites de estas medidas excepcionales están en los principios de necesariedad, proporcionalidad y que se trate de una decisión apropiada dentro de una sociedad democrática, con imposición a los Estados miembro que tomen esta vía a establecer un sistema de garantías con derecho de acceso a la Justicia para la valoración de la aplicación de la norma limitativa de derechos.

El RGPD entiende por datos de localización: cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público (artículo 4.2) y la jurisprudencia entiende que cualquier intromisión en las mismas puede contravenir el artículo 18.4 de nuestra CE si no respeta el derecho al honor, a la intimidad personal y familiar y a la propia imagen de la persona afectada[4]. Otros preceptos aplicables al caso son los artículos 5.1 a) [(los datos deberán ser) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)]; 6.1.d) (el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física); 9.2.c) (el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento); h) (el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3) e i) (el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional).

Por su parte, la LOPDP señala en su artículo 8 que: “Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley”.

El Derecho a la Protección de Datos se consagra como un Derecho Fundamental en nuestra Carta Magna (art. 18.4) y por ello no puede ser suspendido[5] ni aun en los estados de alarma, excepción o sitio[6], sino meramente limitado por causas excepcionales y sólo mientras las mismas continúen vigentes. Afirmación aplicable al actual Real Decreto 463/2020, de 14 de marzo, de declaración del estado de alarma y sus prórrogas posteriores.

El organismo encargado de la protección de dicho derecho fundamental es la AEPD[7], cuyo informe jurídico 17/2020 señala que: el propio RGPD “…ha pretendido dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable”, debiendo analizarse caso por caso las medidas adoptadas por el Gobierno y su ajuste al “Juicio de Proporcionalidad[8]”, exigiendo -además del deber de informar (arts. 13 y 14 RGPD)- la valoración de su idoneidad; necesidad y proporcionalidad para alcanzar el objetivo propuesto. En este sentido resulta de aplicación el artículo Primero.Dos de la LOEAES cuando señala que: “las medidas a adoptar en los estados de alarma, excepción y sitio, así como la duración de los mismos, serán en cualquier caso las estrictamente indispensables para asegurar el restablecimiento de la normalidad. Su aplicación se realizará de forma proporcionada a las circunstancias”.

La consideración previa al RGPD (1) señala que la protección de datos es un derecho fundamental incluso en la Carta de los Derechos Fundamentales de la Unión Europea y en el Tratado de Funcionamiento de la Unión Europea, si bien el mismo, mereciendo el máximo nivel de protección por parte de las autoridades comunitarias y las de los Estados miembro si bien, como todo derecho, no es absoluto, “sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad”, toda vez que “el tratamiento de datos personales debe estar concebido para servir a la humanidad”, según el considerando (4).

Es muy clarificar el considerando (46), cuando señala que: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

La limitación de un derecho fundamental -como este- al amparo del Real Decreto 463/2020, de 14 de marzo, y de sus prórrogas [amparándose en el artículo 116 de nuestra Carta Magna y en el artículo 11 la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio (LOEAES)][9]) no encuentra obstáculos en el RGPD, pues tal como señala en el considerando (41): “Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate”. En este caso, por evidentes motivos de urgencia y necesidad, la vía que viene siguiendo el Gobierno es la del Real Decreto-Ley, previsto en el artículo 86 de la CE. Dicho procedimiento sumario permite al Ejecutivo publicar una norma y su inmediata entrada en vigor, debiendo ratificarse (o derogarse) la misma por el Congreso de los Diputados en el plazo máximo de 30 días. Los requisitos para la validez de dicho procedimiento legislativo han sido reiteradamente señalados por el Tribunal Constitucional (TC)[10], recordando que los mismos, tal como señala el citado artículo 86 de la CE, en ningún caso pueda afectar al ordenamiento de las instituciones básicas de Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el Título I de la CE. No obstante lo anterior en este caso regirá lo acordado en el decreto de ampliación del estado de alarma -en caso de aprobarse por el Congreso de los Diputados- conforme al artículo Sexto de la LOEAES.

El precepto más cercano a lo indicado es el artículo 90 de la LOPDP, el cual hace referencia a la protección de datos en el ámbito estrictamente laboral[11], autorizando a los empleadores, en caso de ser necesario para el buen desarrollo de la actividad empresarial, a instalar sistemas de localización GPS en las herramientas de trabajo de sus empleados; siempre y cuando se les informe sobre su utilización y se les permita el disfrute de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

RECLAMACIÓN JUDICIAL

Las disposiciones del gobierno están sometidas al control judicial, tanto del TC[12] -en lo atinente a materia constitucional- como por la Jurisdicción Contencioso-Administrativa[13], también aquellas disposiciones dictadas al amparo del decreto de estado de alarma[14], por ello, las autoridades y los ciudadanos que consideren que con las medidas adoptadas por el Ejecutivo se conculcan sus derechos, en este caso fundamentales, pueden acudir ante la Justicia.

El artículo 79 del RGPD señala que “sin  perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales”, y que dichas acciones deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento.

Por su parte, el artículo 77.1 a) de la LOPDP previene que podrán ser sancionados administrativamente por la autoridad competente[15] quienes cometan infracciones[16] en el tratamiento de datos de los que sean responsables los “órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos” o la “Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local”, la resolución fijará además las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido. La autoridad de protección de datos podrá iniciar de oficio actuaciones disciplinarias al respecto.

Si el resultado así obtenido no es conforme con las pretensiones del reclamante, podrá acudirse a la vía judicial, por ser actos que ponen fin a la vía administrativa.

Ante el TC podrán formularse los recursos de inconstitucionalidad o de amparo y la cuestión de inconstitucionalidad, según quien ponga en cuestión la constitucionalidad de la norma y en qué momento. El primero de ello está previsto para llevar a cabo un control político (con carácter general), el segundo para las reclamaciones individuales o colectivas de ciudadanos y el tercero para ser planteado, en casos concretos, por jueces y tribunales. Tanto el recurso de inconstitucionalidad como la cuestión de inconstitucionalidad provocan un posicionamiento del TC sobre la norma en general o sobre determinados aspectos de la misma, con eficacia erga omnes, mientras que en el recurso de amparo se valora su aplicación en un caso concreto.

Recurso de Inconstitucionalidad

Conforme al artículo 162.1 a) de la CE, estarán legitimados para plantear un recurso de inconstitucionalidad “el presidente del Gobierno, el Defensor del Pueblo, 50 Diputados, 50 Senadores, los órganos colegiados ejecutivos de las Comunidades Autónomas y, en su caso, las Asambleas de las mismas”, precepto desarrollado en los artículos 31 a 34 de la Ley Orgánica 2/1979, de 3 de octubre, del Tribunal Constitucional (LOTC). La interposición de la demanda deberá llevarse a cabo en el plazo máximo de tres meses desde la publicación de la norma (nueve meses si recurren el presidente del Gobierno o los órganos colegiados ejecutivos de las Comunidades Autónomas) y no producirá per se la suspensión de la aplicación de la disposición legal.

Cuestión de inconstitucionalidad

Conforme al artículo 35.1 de la CE, un juez o tribunal -de oficio o a instancia de parte- podrá plantear al TC la inconstitucionalidad de una disposición normativa con rango de Ley que resulte de aplicación al caso sometido a su conocimiento, siempre que el fallo dependa de la validez o no de esa norma. Dicha cuestión suspenderá el procedimiento y sólo podrá elevarse una vez concluida la tramitación del proceso, estando el mismo visto para sentencia.

Recurso de Amparo

Está legitimada para interponer recurso de amparo ante el TC toda persona natural o jurídica que invoque un interés legítimo, así como el Defensor del Pueblo y el Ministerio Fiscal[17]. Conforme al artículo 41.1 de la LOTC, podrá ejercitarse ante el TC en amparo de los derechos y libertades reconocidos en los artículos 14 a 29 de la CE previo procedimiento judicial en la vía ordinaria[18] (en este caso ante la jurisdicción Contencioso-Administrativa). El plazo será de veinte días tras la notificación de la resolución recaída en el proceso judicial[19].

Jurisdicción ordinaria

Conforme al artículo 90.4 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial compete a los Juzgados Centrales de lo Contencioso-Administrativo conocer de los recursos que se planteen contra disposiciones y actos emanados de autoridades, organismos, órganos y entidades públicas con competencia en todo el territorio nacional, y el procedimiento deberá seguir los cauces del proceso previsto en los artículos 9.1 c); 25; 26; 114 a 121 y concordantes de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LRJCA).

El procedimiento previsto en el artículo 53.2 de la CE (de carácter preferente) se regirá por lo dispuesto en los artículos 114 y siguientes de la LRJCA y se llevará a cabo para restablecer o preservar los derechos o libertades por razón de los cuales el recurso hubiere sido formulado. El mismo deberá iniciarse en el plazo máximo de 10 días desde la notificación del acto administrativo o desde la publicación de la disposición impugnada[20] y la resolución que recaiga en el caso podrá ser impugnada a un solo efecto ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional[21]. A tal efecto es necesario hacer una precisión que se describe en la Sentencia del Tribunal Supremo 221/2017, de 31 de enero, en virtud de la cual no puede interponerse un recurso contencioso-administrativo contra una disposición legal[22], sino contra los actos emanados de la misma o, como en el caso, contra el desarrollo normativo de la Ley. La meritada resolución judicial concreta:

La consecuencia de todo esto es que cualquier interesado está legitimado para impugnar un acto o una disposición con base en la disconformidad a Derecho de la norma con rango legal en que aquéllos se fundan. Pero no hay en ello nada anormal o ilógico, ni se infringe por ello precepto alguno. Ocurre simplemente que, a diferencia de los casos en que el motivo consiste en la posible ilegalidad de una disposición de rango inferior a la ley (en que el órgano judicial puede por sí mismo decidir el fondo del asunto y actuar el derecho de la parte), en aquéllos otros en que está en juego la posible disconformidad a Derecho de una norma legal, el órgano judicial necesita el previo pronunciamiento del Tribunal Constitucional ( artículo 163 de la CE y 35 a 37 de la Ley Orgánica del Tribunal Constitucional 2/79, de 3 de octubre ) para despejar la suerte que le quepa al recurso contencioso-administrativo.

Al admitir este mecanismo de impugnación (que está previsto, sin excepción del caso, en el artículo 26.1 citado) ni se convierte a la norma con rango legal en objeto del proceso ni se está reconociendo a los particulares legitimación para impugnarla; lo que sí se le está reconociendo, pero no hay en ello quiebra alguna de principios procesales, es la posibilidad de poner al órgano judicial en disposición de ejercer su facultad de plantear una cuestión (que es previa a la decisión del fondo del pleito) ante el Tribunal Constitucional.

Y no sólo eso, sino que, a efectos de la necesaria depuración del ordenamiento jurídico y de la propia supremacía de la CE sobre toda clase de normas ( artículo 9.1 de la CE ), el intérprete de las disposiciones procesales debe manejarlas de forma que se favorezca, también por esta vía, el acceso al Tribunal Constitucional del control de la constitucionalidad de las leyes.

Por ello, la decisión de la Sala de instancia de inadmitir el recurso contencioso-administrativo por falta de jurisdicción de esta Contencioso-Administrativa para conocer de él, habría sido correcta si lo impugnado directamente hubiera sido el Real Decreto-Ley 8/2014, pero no es acertada cuando lo impugnado son unas resoluciones administrativas y la alegación de ser aquél contrario a la CE es sólo un motivo de impugnación que posibilitará, en su caso, el acceso al Tribunal Constitucional de los problemas que aquél Real Decreto-Ley plantea.

Cuestión de ilegalidad[23]

Cuando un Juez o Tribunal de lo Contencioso-administrativo hubiere dictado sentencia firme considerando ilegal el contenido de la disposición general aplicada, deberá plantear la cuestión de ilegalidad ante el Tribunal competente[24] para conocer del recurso directo contra la disposición, de tal forma que el órgano judicial competente pueda acordar la ilegalidad del precepto -en el presente asunto se trata de la ilegalidad, no de la inconstitucionalidad, a cuyo efecto habría que seguir el cauce de la cuestión de inconstitucionalidad-[25].

Medidas cautelares

Conforme al artículo 129 de la LRJCA puede solicitarse la inaplicación cautelar (mientras se sustancia el proceso) de la disposición general recurrida, pero para eso habrán de concurrir los elementos del periculum in mora, el fumus boni iuris y la prestación de una caución. La solicitud deberá efectuarse en el escrito de interposición o en el de demanda, por tratarse de una disposición de carácter general.

CONCLUSIONES

Existen dudas legales importantes sobre la licitud y, sobre todo, sobre la adecuada utilización de la información de carácter personal sobre las personas infectadas por el COVID-19, un tratamiento de datos que puede resultar muy beneficioso para la Sociedad (a nivel sanitario, económico y personal). El debate sobre sus límites temporales y de datos afectados; la autoridad encargada de su tratamiento, protección y posterior utilización (o destrucción) o los atentados contra el derecho al honor y a la propia imagen de las personas “señaladas” debe ser sosegado y tratado con profundidad técnica, dos exigencias imposibles en la actualidad y, además, se crearía un peligroso precedente para el tratamiento de otras enfermedades infecciosas, facultando al Ejecutivo en cuestión para recabar datos personales delicados que, mal utilizados, pueden provocar perjuicios irreparables para muchos ciudadanos.

Corresponderá al Ejecutivo y posteriormente al Legislador decidir si se apuesta o no por tomar estas nuevas medidas restrictivas de derechos fundamentales y, en caso de hacerlo, a las personas físicas y jurídicas facultadas impugnar administrativa y/o judicialmente las mismas.