Protección de Datos alerta sobre los registros de clientes que se hacen en los negocios para evitar contagios

El rápido y constante aumento del número de infectados por coronavirus en las últimas semanas está provocando que las instituciones públicas se vuelque en establecer una serie de mecanismos para crear una reacción rápida ante posibles nuevos brotes de covid–19. Una de las técnicas que se están empleando, y que afecta especialmente a los autónomos, es la obligación en algunas zonas de llevar un registro obligatorio de determinados datos de los clientes que acuden a su local. No obstante, desde la Agencia Española de Protección de Datos (AEPD) advierten que no todo vale. 

El registro de los datos personales que entra a un establecimiento es una forma de prevenir los contagios que va en aumento. De hecho, la Comunidad de Madrid aprobó el pasado 29 de julio la Orden 920/2020, de 28 de julio, a través de la cual obligaba a los establecimientos de ocio de la Comunidad (cafés-espectáculo, salas de fiesta, restaurante-espectáculo y bares especiales) a "llevar un registro de las personas que accedan a los mismos en el que se recoja la fecha, hora, nombre y apellidos, y un número de teléfono de cada persona que accede al local para facilitar su localización por las autoridades sanitarias en el caso de que sea necesario".

Una obligación sobre la que la AEPD no está del todo acuerdo. En un comunicado explican que, ante "la proliferación de diversas iniciativas públicas" que obligan a registrar los datos de determinados clientes que acuden a locales de ocio, "es necesario puntualizar que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como 'categorías especiales'". 

Para la AEPD basta con un número

En concreto, la Agencia considera que la cantidad de datos personales que se le obliga al dueño de un local a recoger son excesivos y cree que en su lugar debería "cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar" señalan. 

Para el organismo, "no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada". También recuerdan que los datos solo deben usarse con el objetivo de luchar contra el virus.

"De acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria" apuntan.

¿Cuando y cómo hay que realizar un registro de clientes?

Asimismo, la AEPD explica cómo debería habilitarse correctamente la creación de un registro de clientes que acuden a locales de ocio. En el primer punto en el que inciden, es que éste solo debe habilitarse cuando las autoridades sanitarias lo consideren necesario "y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad".

Por eso, "la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley".  Asimismo, los ciudadanos deben estar al corriente de este procedimiento y debe asegurarse la protección de su información. 

Por último, la Agencia lamenta que "no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por ello deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas (no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos). A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse".