COVID-19, pruebas diagnósticas y protección de datos personales

Juan José Bestard
Juan José Bestard
Presidente de la sección de Derecho Sanitario y Farmacéutico

Justificación de este artículo

Una pandemia es una situación sanitaria de especial gravedad, posiblemente puede llegar a ser una de las situaciones más graves en las que se puede encontrar la humanidad. Aunque en el siglo XX fallecieron más personas por esta causa que por las guerras, la mayoría de los países, según lo visto, no han dedicado suficiente atención ni a su prevención ni a protocolos de actuación. Las enfermedades causantes de pandemias son casi siempre de carácter infeccioso, lo que complica su limitación y dificulta el tratamiento clínico de los afectados, dado que los focos de contagio se multiplican exponencialmente, cada afectado es a su vez un foco de propagación.

La gestión de una pandemia es una situación singular y muy compleja, pues a la emergencia sanitaria se suman las consecuencias de las decisiones que se van tomando. El análisis de las cifras diarias de la pandemia durante los primeros 20 días de confinamiento en España en la fase explosiva de la pandemia ([1] ), el 31/03/2020 la curva de afectados empieza a decrecer, revela una media diaria de 4.500 afectados nuevos. Por otra parte, cada día se acumulaba una media de 474 muertes nuevas. En estas fases de la pandemia, un retraso de un día ocasiona consecuencias gravísimas.

Sin duda en las pandemias los procesos diagnósticos son tan importantes como los sistemas de contención y de ruptura de la cadena epidemiológica. Sin embargo, aunque la normativa debe ponerse al servicio de la emergencia, en ningún caso de deben sobrepasar los límites de lo humanamente admisible.

Este artículo hace un breve recorrido sobre el contexto especial de la alarma sanitaria de 2020 en relación a la protección de los datos personales y de la salud de las personas y las excepciones que el Reglamento (UE) 2016/679 ([2] ) estipula en el control de su tratamiento, trayendo como ejemplo de ello dos situaciones, por una parte, el supuesto de la realización de test del COVID-19 como detector de infectados para acceder al puesto de trabajo y, por otra parte, el llamado pasaporte o carnet de inmunidad del COVID-19.

La pandemia ha puesto a prueba al Reglamento (UE) 2016/679 y en especial su aplicación en los Estados Miembros de la Unión Europea, así como también la capacidad de la Administración Pública de aplicar las “cláusulas comodín” con el rigor y las cautelas exigidas.

El estado de alarma de 2020 y su contexto

La Ley Orgánica 4/1981, de 1 de junio de Estados de Alarma, Excepción y Sitio, en su artículo 6.1 establece que el Estado de Alarma se declara por el Consejo de Ministros mediante Real Decreto. De esta forma el Gobierno de España declara el Estado de Alarma a través del Real Decreto 463/2020 con motivo de que la Organización Mundial de la Salud (en adelante, también, OMS) en día 11 de marzo declara la existencia de una pandemia y dado que España en aquel momento ya tenía una cantidad importante de afectados y de muertes, concretamente, 6.023 afectados y 191 muertes, a fecha de 25/06/2020 tiene 247.086 afectados detectados y 28.327 muertes oficiales (Ministerio de Sanidad a 25/06/2020).

Grecia aplicó las primeras restricciones el 11 de marzo cuando el país tenía 111 afectados y ninguna muerte, a fecha de 25/06/2020 tiene 3.310 afectados y 190 muertes con una población de 10.724.599 habitantes. Portugal con 78 afectados y sin ningún muerto ya había declarado el Estado de Alarma el día 12 de marzo, a fecha de 25/06/2020, tienen 40.104 afectados y 1.543 muertes con una población de 10.562.000 habitantes. Bulgaria, país miembro de la UE declaró el Estado de Excepción el día 12 de marzo de 2020 cuando tenía 23 casos confirmados y 1 muerte, a fecha de 25/06/2020 tiene 4.2422 afectados y 209 muertes, con una población de 7.000.039 habitantes. Por otra parte, Japón tuvo su primer caso el 23 de enero de 2020, sin utilizar Estado de Alarma, el día 25/06/2020 tiene 18.013 afectados y 967 muertes, con una población de 126.045.000 habitantes. ([3] )

Lay Orgánica 4/1981 dispone que el Estado de Alarma no podrá exceder de los 15 días, y que es prorrogable solo con autorización del Congreso de los Diputados. A su vez, determina que el Gobierno deberá presentar dicho Decreto a la Cámara Baja ([4] ).

El estado de alarma del 2020 y la protección de datos personales con carácter general

La alarma sanitaria se constituye como un escenario singular en el cual los datos están protegidos de forma especial tanto por su naturaleza como por el marco en donde son tratados y en el que, al mismo tiempo, la situación de emergencias en salud pública activa las excepciones de licitud que aparecen tanto en el artículo 6 como en el artículo 9 del Reglamento (UE) 2016/679.

Una epidemia, en este caso, una pandemia, es la agrupación de casos ocasionados por el mismo patógeno en un determinado escenario temporal y en un mismo lugar o ubicación. En nuestro caso, este patógeno es un elemento infectocontagioso que se “propaga principalmente de persona a persona a través de las gotículas que salen despedidas de la nariz o la boca de una persona infectada al toser, estornudar o hablar. Estas gotículas son relativamente pesadas, no llegan muy lejos y caen rápidamente al suelo” ([5] ).

Desde un punto de vista sanitario habrá personas afectadas que sea detectadas por el sistema sanitario y otras que no, comportándose como afectados asintomáticos.  Entre las personas afectadas, habrá personas cuya manifestación de la infección sea leve o moderada y que no requieran atención sanitaria continuada, pudiéndose seguir ambulatoriamente, y personas cuya enfermedad deba ser atendida mediante ingreso hospitalario. En cualquier caso, los afectados detectados deberán seguir unos procesos de aislamiento rigurosos, hasta recibir el alta médica.

De tal forma, desde el punto de vista clínico el tratamiento de los datos de los pacientes seguirá siendo el mismo que antes o después de la pandemia, es decir, el que regula el artículo 9 del Reglamento (UE) 2016/679.

Sin embargo, durante una pandemia los datos de los pacientes sufrirán un tipo de tratamiento, los estudios epidemiológicos, para lo cual se suelen utilizar datos anonimizados o seudonimizados. Si bien son datos relacionados con la salud no son datos identificadores. Al tratarse de estudios poblacionales, no requieran en un principio la identificación del dato nominal de la persona, aunque esto no significa que no pueda hacer falta recurrir a la identificación de casos individualizados para proceder a su aislamiento y/o tratamiento, en cuyo caso, estos datos estarán sometidos al artículo 9 del Reglamento (UE) 2016/679 y a la disposición adicional decimoséptima de la Ley Orgánica 3/2018.

En el supuesto de que el tratamiento de datos fuera solo de datos de carácter personal y no de salud, en una situación de alarma de salud pública, podría aplicarse el artículo 6.1 en sus apartados d), e) o e). Así el apartado c) menciona el hecho de que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; el apartado d) hace referencia a que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física; o bien el apartado e) cuando menciona que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. En el caso de que tenga que hacerse uso de datos personales relativos a la salud se debería acudir al artículo 9.

En base al Real Decreto 463/2020, el Ministerio de Sanidad emitió la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Esta Orden Ministerial en su punto Segundo sobre Data COVID-19: estudio de la movilidad aplicada a la crisis sanitaria; determina que:

“Encomendar a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento.

En la ejecución de este estudio, se velará por el cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos.”

Aunque esta Orden SND/297/2020 no lo menciona, el artículo 6 del Reglamento (UE) 2016/679 y el artículo 8 de la Ley Orgánica 3/2018, son los que contienen las bases para la legitimación de la excepción a estas normas. Sin embargo, es muy difícil de defender que el rango de esta norma sea suficiente para los fines a los cuales está destinada, es decir, regular derechos fundamentales, como es la protección de datos de carácter personal, sobre el que la Constitución Española (art. 53 CE) establece una reserva de ley.

En los casos de materias reservadas a la Ley, como es este caso, cabe la colaboración reglamentaria, pero siempre que la ley haya establecido previamente los aspectos nucleares o esenciales de la regulación y siempre que esa regulación reglamentaria sea “claramente dependiente y subordinada a la ley” tal y como viene reiterando de forma asentada y univoca desde la aprobación de la Constitución Española por el Tribunal Constitucional (vid.  STC 83/1984, y reiterada en otras recientes, así STC 111/2014 y STC 139/2016).

La gestión de la alarma sanitaria y el tratamiento de datos personales relativos a la salud

Una vez que todos, y más si cabe la Administración Pública, deben estar a lo dispuesto en el RGPD y Ley Orgánica 3/2018, es recomendable analizar la situación que genera la gestión de una crisis sanitaria como un epidemia o pandemia sobre el tratamiento de los datos personales relativos a la salud.

Es sobradamente conocido por todos que el RGPD distingue entre los datos personales con carácter general y los datos personales de categorías especiales. Como datos personales, artículo 4.1) del Reglamento (UE) 2016/679, incluye

“toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”

Como datos relativos a la salud, artículo 4.15) del Reglamento (UE) 2016/679, dice

“datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”

Sin embargo, a este artículo 4.15 hay que sumar el Considerando (35) del Reglamento (UE) 2016/679, el cual extiende la categoría de dato relativo a la salud a todos los datos de la persona que rodean a la asistencia sanitaria o a algún acto relacionado con el estado fisiológico o biomédico de la persona, sana o enferma, y de esta forma dice:

“Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (1); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.”

La Agencia Española de Protección de Datos (en adelante AEPD) publicó en abril de 2020 un documento sobre el tratamiento de datos personales en relación con el COVID-19. Este informe entiende que el RPPD contiene reglas necesarias para permitir legítimamente tratamiento de datos personales en situaciones de emergencia sanitaria.

El artículo 9 del Reglamento (UE) 2016/679 y en artículo 9 de la Ley Orgánica 3/2018 prohíben cualquier tratamiento de las categorías especiales de datos. El artículo 9 del Reglamento (UE) 2016/679 en su punto 2 y también en su punto 3, establece una serie de situaciones en las cuales se podrá tratar los datos de salud de las personas sin que estas hayan concedido su consentimiento. Si bien es cierto, en el apartado a) de dicho punto se determina que el consentimiento no debe entenderse como una habilitación absoluta, dado que dependerá que la legislación del país imposibilite tal consentimiento.

También se estará a lo que disponga la Disposición Transitoria 17ª en su punto 2 letra f) de la Ley Orgánica 3/2018, en cuanto a la reidentificación de datos seudonimizados o anonimizados.

A su vez, tanto el RGPD como la Ley Orgánica 3/2018, en sus artículos 9, a la hora de excepcionar la prohibición, determinan que las excepciones deberán estar amparadas por las leyes de los países miembros o con el Derecho de la Unión Europea. En este orden de cosas, el artículo 9.2 de la Ley Orgánica 3/2018, dice al respeto: “Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad”. Así pues, no encontramos frente a otra reserva de ley en relación a las excepciones y su legitimación.

 

Las excepciones al RGPD activadas a raíz de la alarma sanitaria, las “cláusulas comodín”

 

El artículo 9 del RGPD es el que limita y, a su vez, libera el tratamiento de los datos personales relativos a la salud, es decir, al igual que hace el artículo 6, establece prohibiciones con carácter general para luego introducir puntos o cláusulas que excluyen de dichas prohibiciones a determinadas situaciones o supuestos, desde un punto de vista funcional cabe entender que estas excepciones actúan como cláusulas comodín.

La prohibición del artículo 9 es clara y también que esta no se aplica cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud (Artículo 9.2.i) del Reglamento (UE) 2016/679). Así, también es el caso de la gestión de una crisis pandémica, como la del COVID-19, entrando en juego el artículo 9.2.b), por los riesgos laborales (Artículo 14 y concordantes de la Ley 31/1995); el artículo 9.2. g), por interés público esencial; artículo 9.2.i), por interés público en el ámbito de la salud pública; artículo 9.2. h), por asistencia sanitario y social; y el artículo 9.2.c), por interés vital del interesado o de otra persona, por tanto, por interés vital.

Las situaciones de excepción que aparecen en el artículo 9 del Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018 contemplan como supuestos de activación, las crisis en salud pública, en consecuencia, se deben incluir las alertas sanitarias producidas por una epidemia o pandemia.

En este sentido el Considerando (46) del Reglamento (UE) 2016/679 se refiere de forma explícita a las epidemias:

“El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.”

El Considerando (45) del Reglamento (UE) 2016/679 entiende que cuando exista una obligación legal relativa al responsable del tratamiento o cuando exista una actuación en interés público o cuando la acción este ejercida por la autoridad pública, el tratamiento de los datos personales de categorías especiales debe tener una base en el Derecho de la Unión o de los Estados miembros.

Sin embargo, a pesar de estos Considerandos, del RGPD, la Agencia Española de Protección de Datos, en su informe de abril de 2020, entiende que la base jurídica del tratamiento de datos personales durante la gestión de la pandemia por CIVD-19 se establece a través de artículo 6.1e) y artículo 6.1.d) del Reglamento (UE) 2016/679 Reglamento (UE) 2016/679, sin especificar las normas del ordenamiento jurídico español que serían de aplicación o bien la necesidad de legitimar mediante leyes estás excepciones. El primero de ellos hace referencia a “la misión realizada en interés público” y el segundo “a los intereses vitales del interesado u otras personas físicas”.

Por otra parte, el Considerando (52) del Reglamento (UE) 2016/679 entiende que el consentimiento del interesado podría no ser exigible para el tratamiento de categorías especiales de datos personales en casos del ámbito de la salud pública, siempre y cuando por salud pública se entienda lo definido por el Reglamento (CE) 1338/2008 del Parlamento Europeo y del Consejo, tal como dice

“todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad.”

El mismo Considerando (52) es el que acota la excepción sobre las prohibiciones del artículo 9 del Reglamento (UE) 2016/679 por razones de interés público exclusivamente a los fines de control de la situación de alarma, pero a su vez advierte que “no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.

El Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, no menciona ninguna excepción al tratamiento de los datos personales relativos a la salud, por lo que los centros sanitarios, públicos y privados, han tenido que aplicar el artículo 9 en toda su extensión y solo habrán podido incluir excepciones concretas a personas concretas cuando se ha tenido que actuar en base al punto 2.i) del propio artículo 9.

El supuesto de la realización de test del COVID-19 como detector de infectados para acceder al puesto de trabajo

El diagnóstico de la infección del virus SARS-CoV-2, conocido como COVID-19, se lleva a cabo mediante la valoración de un conjunto de síntomas, signos y circunstancias, no tan solo mediante una sola prueba de laboratorio, tal como afirma el Hospital Clínic de Barcelona en su web ([6] )

“El diagnóstico de cualquier enfermedad depende de la historia y del conjunto de síntomas y signos que presente el paciente, valorando la situación epidemiológica y otros muchos datos interpretados por el profesional. No hay una sola prueba diagnóstica, sino que incluye varias posibilidades. A partir de aquí, se considera y valora la práctica de determinadas exploraciones complementarias y pruebas de laboratorio.”

En el diagnóstico de la enfermedad del SARS-CoV-2 las pruebas diagnósticas de laboratorio más conocidas para la detección de la infección del virus ([7] ), a fecha actual, son tres:

  • Pruebas de detección de ácidos nucleicos (reacción en cadena de la polimerasa o PCR)
  • Pruebas de detección de antígeno
  • Pruebas de detección de anticuerpos (IgG, IgM)

La prueba de detección de ácidos nucleicos también conocidas por PCR, es una técnica de biología molecular de detección de material genético, ARN, del SARS-CoV-2 en muestras biológicas clínicas. Según todos los expertos es la principal prueba de laboratorio para el diagnóstico de COVID-19 ([8] ). Las muestras suelen ser de mucosa nasofaringe, aunque también podría utilizarse orina, heces e incluso sangre.

(Nota: La sensibilidad de la prueba diagnóstica se define como la probabilidad de que el resultado de la prueba sea positivo (h+) en una persona afectada por la enfermedad (e+). La especificidad de la prueba diagnóstica se define como la probabilidad de que el resultado de la prueba sea negativo (h-) en una persona sana, que no padece la enfermedad (e-). Por tanto, representa la fracción de verdaderos negativos ([9] ).)

El tiempo aproximado de la prueba es de unas 4 horas y la sensibilidad es entorno al 95% con una especificidad del 100%  ([10] ). Se están estudiando variantes para la PCR-rápida, de 45 minutos.

La prueba de detección de antígenos, se basan en la detección de proteínas virales específicas de SARS-CoV-2 en la muestra biológica tomada del paciente, tales como la proteína N y las subunidades S1 o S2 de la proteína espiga. Estas proteínas forman parte de una especie de cápsula que envuelve al ARN viral o genoma viral ([11] ). Se utiliza la misma muestra que en el caso de los PCR. Este tipo de pruebas a día hoy aun presentan incógnitas tales como su baja sensibilidad ([12] ) y, hasta la fecha, son poco aconsejables ([13] ).

La prueba de detección de anticuerpos utiliza una muestra biológica de sangre de origen capilar, suero o plasma utilizando una técnica que busca la presencia de anticuerpos IgM e IgG frente SARS-CoV-2. Tras la infección del virus el cuerpo humano genera IgM, lo cual ocurre entre los 5-7 días tras la infección. Los test los detectan estos IgM entre los 8-14 días después de que el sistema inmunológico haya detectado la presencia del virus.

Los anticuerpos IgG aparecen en el cuerpo del infectado trascurridos entre 15-21 días de la detección del virus, una vez que el sistema inmunológico ha detectado la presencia del virus ([14] ). Los resultados de esta prueba inmunológica se obtienen en 15 minutos.

Concluyendo, un resultado positivo en el test indicaría infección por SARS-CoV-2, si bien es cierto que se pueden dar falsos positivos, es decir test positivo en personas que no han tenido contacto. El motivo de estos falsos positivos se puede deber a una reacción cruzada con otros coronavirus humanos y otros virus, también se han encontrado falsos negativos ([15] ), es decir, test negativos en personas infectadas. Lo cual obliga a tomar medidas confirmatorias cuando hay cualquier tipo de sospecha o duda.

La medida de utilizar los test de diagnóstico para detectar infectados antes de que regresen sus puestos de trabajo y, en consecuencia, permitir su incorporación a las dependencias comunes de su empresa, ha sido ampliamente comentada por la prensa. La empresa SEAT justificaba el día 22 de abril de 2020 con un comunicado, la adopción de la medida diciendo.

La base legal de esta acción habrá que buscarla en el artículo 9 del Reglamento (UE) 2016/679, concretamente en su apartado 2 letra b) que dice:

“b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;”

A todo lo cual hay que añadir que el artículo 22 (Vigilancia de la Salud) de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, menciona en punto 1 “El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo”.

En cuanto a la confidencialidad exigida por el RGPD, también es exigida por la Ley 31/1995, en su artículo 22.2 que exige que toda esta medida se lleve a cabo “respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.”

El principio y exigencia del consentimiento por parte de la persona afectada presente en el RGPD, es decir, la obligación del consentimiento del sujeto interesado, esta eximida por el artículo 9.2.b) del Reglamento (UE) 2016/679, aunque estamos frente a una doble exoneración dado que ya viene exonerado en el artículo 22.1 de la Ley 31/1995, pues:

“1. … este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.”

En cuanto a la posición de los representantes de los trabajadores en esta materia es merecido apuntar que las dos centrales sindicales mayoritarias en España, UGT y CCOO, manifestaron en su momento que no tan solo no se oponen a la realización del test antes de incorporarse al puesto de trabajo, sino que incluso, lo exigen  ([16] ), ([17] ).

En este orden de cosas, parece que la obligatoriedad de la realización de la prueba del COVID-19 para conocer si la persona padece la enfermedad y en consecuencia no permitir que se incorpore al centro de trabajo hasta dar por curada dicha enfermedad, está fundamentada en derecho y respeta el principio de legalidad, ahora bien, no es excusa para no hacer notar que, aun así, puede afectar gravemente a los derechos de las personas y se deben de respetar todos los principios y derechos del RGPD no excepcionados.

El Supuesto del “pasaporte o carnet de inmunidad” del COVID-19 dentro del RGPD

Este punto se elabora en base al desarrollo de la inmunología a fecha de junio de año 2020. Cabe la posibilidad de que la tecnología avance y que lo descrito en este apartado debe ser revisado.

El carnet de inmunidad del COVID-19 es un documento que constata que alguien ha pasado el SARS-Cov-2 y es inmune al virus, es decir, un carnet o pasaporte que lo certifica ([18] ). Esta iniciativa goza de muy poco predicamento científico ([19] ), ([20] ). Lo cierto es que la OMS no la ha apoyado, incluso rechaza su validez por falta de evidencia sobre el riesgo de segundas infecciones, pudiendo aumentar los riesgos de transmisión ([21] ).

El único método predictor de esta inmunidad, a día de hoy, es el estudio inmunológico de la persona a estudiar, a través de la detección de IgM e IgG en su sangre.

Distintos expertos han criticado la utilización de esta técnica. Así lo han manifestado tanto el Dr. Ildefonso Hernández, exdirector general de Salud Pública de España (2008-2011) y actual portavoz de la Sociedad Española de Salud Pública (SESPAS)  ([22] ), como el Dr. Fernando Fariñas ([23] ). Además, este último entiende que en la defensa frente a todos los coronavirus se ha demostrado que no solo es importante la producción de anticuerpos neutralizantes, sino también de inmunidad celular de tipo Th1 con activación de células CD8+ citotóxicas y NK ([24] ).

En consecuencia, cabe entender que esta acción, emitir carnet de inmunidad frente al COVID-19, no encuentra base legal para que se puede llevar a cabo, en base al conocimiento que tiene la ciencia de la inmunidad de las personas y en base a los principios que exige el RGPD ¿Cuáles son los fundamentos de esta afirmación?

En primer lugar, el principio de limitación de la finalidad, artículo 5.1.b) del Reglamento (UE) 2016/679 y lo expuesto en el Considerando (39), expresan que todo tratamiento de datos personales debe ser lícito y leal, en el sentido de que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. En este orden de cosas, la duda sobre la utilidad de la detección de anticuerpos, a día de hoy, manifiesta que el carnet de inmunidad frente al COVID-19 no tiene en cuenta el principio de limitación de la finalidad del RGPD.

En segundo lugar, es evidente que la detección de unos anticuerpos y la expresión de este dato en un carnet que califique al que lo posea y la posibilidad de que este carnet sea visto por terceras personas, sin garantías posibles y razonables de limitar dicho acceso, ponen en peligro el principio de confidencialidad del artículo 5.1.f) del Reglamento (UE) 2016/679. Es el Considerando (39) el que recuerda que la confidencialidad también implica impedir el acceso o uso no autorizado a los datos protegidos.

En tercer lugar, en cuanto al soporte de su legitimación, dado que el RGPD exige que el consentimiento debe ser absolutamente libre, cabe preguntarse si este requisito se cumple en este supuesto. Un ciudadano compelido a un carnet de inmunidad para poder ejercer el derecho de libre circulación y movilidad no se podría considerar que gozara de plena libertad y autonomía en su consentimiento.

En conclusión, el informe 0017/2020 de la AEPD manifiesta que “las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia”, pero no está de más recordar a AEPD que no es menos cierto que el RGPD es muy claro y que es solo este el que determina los tipos de exclusiones posibles y, sobre todo, en las condiciones en las que se puede dar, lo cual obliga a los Estados Miembros a no relajar la protección de los derechos fundamentales y cumplir con las reservas de ley exigidas. En el caso de España, además se deben tener presentes tanto las reservas de Ley indicadas por la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales, como la reserva de Ley orgánica del artículo 81 de la Constitución Española, al regular cuestiones relativas a los derechos fundamentales.


 ([1] ) Johns Hopkins University “COVID-19 Dashboard by the Center for Systems Science and Engineering (CSSE)” at Johns Hopkins University. https://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

 ([2] ) Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), también denominado RGPD

 ([3] ) Johns Hopkins University “COVID-19 Dashboard by the Center for Systems Science and Engineering (CSSE)” at Johns Hopkins University. 24 abril 2020. https://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

 ([4] ) Artículo 8 de La Ley Orgánica. 4/1981, de 1 de junio de Estados de Alarma, Excepción y Sitio

 ([5] ) OMS. “¿Cómo se propaga la COVID‑19?” https://www.who.int/es/emergencies/diseases/novel-coronavirus-2019/advice-for-public/q-a-coronaviruses (25/06/2020)

 ([6] ) Portal Clinic. Hospital Clinic de Barcelona. “Diagnóstico del Coronavirus SARS-CoV-2”.  12 marzo 2020. https://www.clinicbarcelona.org/asistencia/enfermedades/covid-19/diagnostico (25/06/2020)

 ([7] ) AEPap. Asociación Española de Pediatría de Atención Primaria “Pruebas diagnósticas de laboratorios de COIVD-19”. 12 abril 2020.  https://www.aepap.org/sites/default/files/documento/archivos-adjuntos/pruebas_diagnosticas_de_laboratorio_de_covid_vfinal.pdf  (25/06/2020)

 ([8] ) Consejería de Sanidad. Madrid. Dirección General de Salud Pública. Procedimiento de detección del nuevo coronavirus SARS-CoV-2 en la Comunidad de Madrid. Red de Vigilancia Epidemiológica. Febrero de 2020. https://www.comunidad.madrid/sites/default/files/doc/sanidad/epid/procedimiento_de_deteccion_del_nuevo_coronavirus_sars-cov-2_en_cm.pdf (25/06/2020)

 ([9] ) Segura Egea JJ. “Sensibilidad y especificidad de los métodos diagnósticos convencionales de la caries oclusal según la evidencia científica disponible”. RCOE [online]. 2002, vol.7, n.5, pp.491-501. ISSN 1138-123X. http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1138-123X2002000600004 (25/06/2020)

 ([10] ) Corman V. M. et al. “Detection of 2019 novel coronavirus (2019-nCoV) by real-time RT-PCR”. Eurosurveillance: Revista europea sobre vigilancia de enfermedades infecciosas, epidemiología, prevención y control- Volumen 25, número 3, 23 de enero de 2020. https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6988269/ (25/06/2020)

 ([11] ) AEPap. Asociación Española de Pediatría de Atención Primaria “Pruebas diagnósticas de laboratorios de COIVD-19”. 12 abril 2020.  https://www.aepap.org/sites/default/files/documento/archivos-adjuntos/pruebas_diagnosticas_de_laboratorio_de_covid_vfinal.pdf  (25/06/2020)

 ([12] ) OMS. World Health Organization. Advice on the use of point-of-care immunodiagnostic tests for COVID-19. Scientific brief. 8 April 2020. https://www.who.int/docs/default-source/coronaviruse/sb-2020-1-poc-immunodiagnostics-2020-04-08-e.pdf?sfvrsn=4c26ac39_2 (25/06/2020)

 ([13] ) BBC News “Tests de coronavirus: cómo son las pruebas serológicas y moleculares para detectar el covid-19 y qué ventajas e inconvenientes”. 25 abril 2020. https://www.bbc.com/mundo/noticias-52361548 (25/06/2020)

 ([14] ) SEI. Utilidad de la determinación de anticuerpos anti SARS-CoV-2. Propuesta de implementación como prueba diagnóstica, pronóstica y de desarrollo de inmunidad protectora. Sociedad Española de Inmunología. Versión 01. 2 de abril de 2020. (25/06/2020)

 ([15] ) Loeffelholz MJ. Tang, Yi-Wei “Laboratory diagnosis of emerging human coronavirus infections – the state of the art”. Emerging Microbes & Infections. Volume 9, 2020. 30 mar 2010

 ([16] ) Europa Express “UGT exige test de detección de Covid-19 para el personal de supermercados”. 16 abril 2020. https://www.europapress.es/cantabria/noticia-ugt-exige-test-deteccion-covid-19-personal-supermercados-20200416135425.html (25/06/2020)

 ([17] ) CCOO. Comisiones Obreras de Andalucía “CCOO exige la realización del test de Covid 19 de máxima fiabilidad al personal que trabaja en el sector de la dependencia”. 8 mayo 2020. https://andalucia.ccoo.es/noticia:493424–CCOO_exige_la_realizacion_del_test_de_Covid_19_de_maxima_fiabilidad_al_personal_que_trabaja_en_el_sector_de_la_dependencia&opc_id=434bdbdecfdacb8f5f4e92b187bd73a0 (25/06/2020)

 ([18] ) BBC News “Medidas contra el coronavirus: qué es el «pasaporte o carné de inmunidad» a la covid-19 y por qué genera polémica”. 22 abril 2020. https://www.bbc.com/mundo/noticias-52377212 (25/06/2020)

 ([19] ) Infosalus “Illa descarta que se vaya a crear un carnet de inmunidad del Covid-19 como ha hecho Castilla y León”. 8 abril 2020. https://www.infosalus.com/salud-investigacion/noticia-illa-descarta-vaya-crear-carnet-inmunidad-covid-19-hecho-castilla-leon-20200408203016.html (25/06/2020)

 ([20] ) El País ““Un carné de inmunidad es una estupidez enorme”. 14 abril 2020. https://elpais.com/sociedad/2020-04-14/un-carne-de-inmunidad-es-una-estupidez-enorme.html (25/06/2020)

 ([21] ) El País “La OMS rechaza el pasaporte inmunitario por falta de evidencia sobre el riesgo de segundas infecciones”. 25 abril 2020. https://elpais.com/sociedad/2020-04-25/la-oms-rechaza-el-pasaporte-inmunitario-por-falta-de-evidencia-sobre-el-riesgo-de-segundas-infecciones.html (25/06/2020)

 ([22] ) BBC News “Medidas contra el coronavirus: qué es el «pasaporte o carné de inmunidad» a la covid-19 y por qué genera polémica”. 22 abril 2020. https://www.bbc.com/mundo/noticias-52377212 (25/06/2020)

 ([23] ) Fundación IO: “Inmunología Clínica del COVID-19 Qué sabemos hasta ahora?”. 21 marzo 2020. https://fundacionio.com/2020/03/21/inmunologia-clinica-del-covid19-que-sabemos-hasta-ahora-por-el-dr-fernando-farinas/ (25/06/2020)

 ([24] ) Wissinger, E.“CÉLULAS T CD8+”. British Society for Immunology. Imperial College London, United Kingdom.  http://inmunologia.eu/celulas-inmunologia-en-un-mordisco/celulas-t-cd8 (25/06/2020)

Juan José Bestard
Juan José Bestard
Presidente de la sección de Derecho Sanitario y Farmacéutico

Contenidos destacados

- Publicidad -spot_img
- Publicidad -spot_img
- Publicidad -spot_img

CONTENIDOS RELACIONADOS

El Supremo fija doctrina sobre el derecho de los cónyuges divorciados...

Sentencia de la Sección Segunda de la Sala Tercera del Tribunal Supremo, de 5 de mayo de 2023

Orden DSA/999/2022, de 19 de octubre, por la que se modifica...

MINISTERIO DE DERECHOS SOCIALES Y AGENDA Orden DSA/999/2022, de 19 de...

Estado de alarma y derechos fundamentales

Pocos meses después del intento de golpe de estado de 23...

El REMC en las licitaciones de concesiones de servicios de transporte...

El proyecto de Ley de Movilidad Sostenible contiene una modificación muy controvertida del histórico sistema concesional existente en España