Las nuevas herramientas tecnológicas pueden ser un recurso muy valioso para afrontar las distintas etapas de la crisis sanitaria, social y económica, que ha supuesto la pandemia del COVID-19, porque permiten recabar gran cantidad de información, la combinación y análisis rápido de datos y la toma de decisiones más fundamentadas. También facilitan la atención sanitaria y la comunicación entre las autoridades y los ciudadanos. A través de distintas aplicaciones o programas, se pueden valorar los síntomas de la enfermedad telemáticamente, enviar recomendaciones personalizadas de actuación, proporcionar códigos personales en función del estado de salud o geolocalizar movimientos de grupos o personas concretas. Además de estas finalidades, que se dirigen fundamentalmente al control de la epidemia, también se ha desarrollado tecnología para el análisis de datos en el ámbito de la investigación biomédica con el objetivo de encontrar tratamientos y vacunas.

La materia prima para que estas herramientas funcionen son datos relativos a la edad, sexo, salud, lugar de residencia, círculo de relaciones, hábitos, movimientos, etc, de los ciudadanos. Por eso, es ineludible considerar la afectación que el procesamiento de los datos puede suponer para el derecho a la autodeterminación informativa de las personas, ya que éste nos otorga un poder de control sobre los datos vinculados directa o indirectamente a nuestra identidad, lo que se traduce en la capacidad para decidir quién, para qué y hasta cuando se utilizan esos datos y, a la vez, en deberes para las personas o instituciones que los procesen. Las garantías están reforzadas cuando se procesan datos especialmente sensibles, como los relativos a la salud.

Este derecho está regulado en el Reglamento General de Protección de Datos, de 2018 (que emana de la Unión Europea) y en la Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales. Son dos normas de carácter generalista, que contemplan su aplicación en todos los ámbitos donde se procesen datos personales, y muy recientes, aprobadas en un contexto tecnológico actualizado.

El objeto de esta regulación es la información “personal”, que es la vinculada directa o indirectamente a un sujeto en particular, que es el titular del derecho sobre los datos que le conciernen. A veces esta condición es evidente, cuando conocemos, por ejemplo, el nombre y apellidos del individuo, o su DNI; otras veces no lo es tanto y puede resultar que lo que aparentemente es información anónima resulte ser vinculable a un sujeto: si se dispone de muchos datos sobre una persona, aunque aisladamente considerados no la identifiquen, esto sí podría ocurrir cuando se combinan y, en este caso, no se podría hablar de anonimato. Por eso, la “identificabilidad” es un concepto relativo que hay que valorar en cada caso particular y con criterios de razonabilidad. Por ejemplo, si se procesan datos de geolocalización a través del teléfono móvil, pero de manera agregada, sin combinar la información sobre la cantidad de terminales con números concretos, no se pone en peligro el derecho a controlar la información “personal”, porque no se puede saber de qué persona en concreto se trata. Sin embargo, esa información puede servir para estudiar la densidad de movimientos en determinados lugares y a ciertas horas y valorar si hay que tomar medidas para asegurar el distanciamiento, y dónde hacerlo. En cambio, si se trata de una aplicación en la que los ciudadanos, por ejemplo, se registran a través de su dirección de correo electrónico para que se puedan hacer evaluaciones sobre su salud y remitir recomendaciones, ya no es tan evidente que no puedan ser identificados.

Pues bien, cuando la identificación es posible, se exige una “base legitimadora” para el tratamiento de los datos y, además, se imponen una serie de requisitos y garantías que han de cumplirse sea aquélla cual sea. Esto es importante porque, aunque el control de una epidemia puede legitimar el procesamiento de datos, incluso sin necesidad de consentimiento de los sujetos (está contemplado también en la normativa sanitaria), no se podrá renunciar a la aplicación de los principios y garantías que configuran el derecho a la autodeterminación informativa: únicamente se podrá procesar la información imprescindible para tomar medidas contra la expansión, con criterios de eficacia y proporcionalidad, y durante el tiempo estrictamente necesario; se implantarán medidas de seguridad para evitar, por ejemplo, accesos por parte de terceros ajenos a la finalidad que justifica el procesamiento; se garantizará la información y la trasparencia; no se tomarán decisiones basadas únicamente en el tratamiento automatizado de la información; y se rendirá cuentas de los procesos que se han llevado a cabo.

Estos principios y garantías se deben observar en todos los contextos de tratamiento de datos personales (aunque con frecuencia no apreciemos su importancia), pero cuando son los gobiernos quienes recaban, almacenan y analizan la información, las consecuencias que el procesamiento de datos puede tener para los derechos de los ciudadanos adquieren una dimensión diferente, y la exigencia de trasparencia y de control, también.