Supongo que, como la mayoría de los operadores jurídicos, durante esta pandemia nos hemos levantado cada mañana releyendo el BOE para reorganizar nuestro conocimiento sobre la legalidad de la actividad humana en esta peculiar situación. Ciertamente los hechos han obligado a una premura normativa que nunca ha sido compatible con la construcción de una sólida arquitectura jurídica que sustente nuestra concepción legal de una forma bien estructurada, evitando las redundancias, contradicciones, vacíos, lagunas e indefiniciones, dado que si las mismas se producen los juristas nos quedamos sin brújula y la ciudadanía sin rumbo.

Centrándome exclusivamente en lo relativo a protección de datos personales, contenido en el artículo 27 del Real Decreto Ley 21/2020, debo mostrar cierta contrariedad por la redacción del mismo. Si el lector es profano en protección de datos el texto parece ofrecer la solemnidad necesaria para regular una materia tan delicada como la que nos ocupa, pero si conoce un poco las reglas de nuestro «deporte» su lectura le dejará la sensación de haber caído en la casilla de la calavera del juego de la oca: vuelva al punto de partida.

De una forma menos prosaica el texto expone cuatro ideas, extraídas en orden del propio artículo:

1. El tratamiento de la información de carácter personal que se realice como consecuencia del desarrollo y aplicación del presente real decreto-ley se hará conforme a la normativa de protección de datos. !Gran novedad! Este Real Decreto Ley no ha derogado un Reglamento Europeo, pero además dichos tratamientos se fundamentan en lo establecido en materia epidemiológica y sanitaria de la LGS: Es decir, está regulando la actividad de la hostelería, transporte, servicios docentes, sociales, culturales, recreativos, competitivos… y ¿los únicos competetentes para el tratamiento son los Servicios Públicos de Salud?

2.- El tratamiento viene determinado por la finalidad de seguimiento y vigilancia epidemiológica, es decir ¿las entidades que no sean la entidad sanitaria no pueden tratar los datos de sus empleados, trabajadores o subcontratados como ha indicado la AEPD en prevención de Riesgos?

3.- Respondiendo a las anteriores preguntas, parece que no hay más responsable que las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad. Estos datos no pueden ser tratados por las Entidades Locales, Diputaciones u otros entes públicos o privados, dado que si lo hiciesen no lo podrían hacerlo a título de Responsable del Tratamiento.

4.- Por último, se permite el intercambio de datos con otros países, por existir habilitación normativa, hecho que de existir no hace falta elevarlo o refrendarlo por una ley, dado que de esta forma no se sabe si la base jurídica se encuentra en este Real Decreto Ley o en la Normativa internacional.

En resumen, que nos vuelven a poner más difícil la comprensión metodológica de protección de datos ya que nadie que no sea la autoridad indicada en el punto 3 puede tratar los datos del COVID, con lo que la dinámica en la que las autoridades de control habían entrado de dejar tratar dichos datos con condiciones parece que se han desvanecido o mejor dicho, tal y como indicábamos al principio, nos queda vivir unos meses desaprensivos en los que los hechos y las interpretaciones autorizadas deberán poner en su sitio al derecho.