TEMA 8. PROTECCIÓN DATOS DE SALUD EN ÉPOCA DE COVID19

La pandemia por la covid19 ha puesto en relieve que el derecho a la protección de datos personales no es un derecho absoluto, al tener implicaciones en la salud pública.

El tener síntomas de la COVID19, estar en aislamiento o diagnosticado por prueba PCR es un dato de salud, y está dentro de las llamadas categorías especiales de datos incluidas en el artículo 9.1 del RGPD.

La normativa en relación con el tratamiento de los datos personales aplicable en el ámbito de la salud pública ya tiene una regulación que garantiza los intereses y el bien común, siendo la finalidad del tratamiento de estos datos personales, la vigilancia de la salud pública.

Como trabajador por cuenta ajena, la información sobre síntomas de la COVID19 o situación de cuarentena debe comunicarse a la empresa para que adopte medidas de prevención y protección de la salud del resto de los empleados.

La normativa de prevención de riesgos laborales indica que las empresas tratarán los datos personales de sus empleados que sean necesarios para preservar su salud y debe proteger asimismo la salud del resto de sus trabajadores. Esta información se puede transmitir al resto de los empleados, si los hubiera, siempre que no se identifique directamente a la persona afectada y debe proporcionar también la información que le sea requerida por las autoridades sanitarias. La identidad se deberá respetar excepto si esta información es necesaria para saber los contactos que tuvo con otras personas.

En todos los casos, la información que se proporcione debe respetar los principios de finalidad y proporcionalidad y el tratamiento de los datos personales deberá observar los principios que establece el RGDP, en particular los de minimización, limitación de la finalidad y conservación mínima de los datos. 

1. PROTECCIÓN DE DATOS EN LA PANDEMIA COVID19

El diagnóstico de la COVID19 está incluido dentro de las enfermedades de declaración obligatoria a las autoridades sanitarias, conforme al Anexo II del Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.

Que la infección por la COVID19 sea considerada enfermedad de declaración obligatoria urgente, viene dado por el artículo 22 del Real Decreto Ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria derivada.

El Real Decreto-ley 21/2020 prevé que los “establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada” deben proporcionar “la información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas.” Esto implica que los datos mínimos necesarios deben ser comunicados a las autoridades sanitarias.

Tras la publicación del Real Decreto-ley 21/2020, por lo que se refiere a la recogida de datos personales de los clientes que vayan a los establecimientos, con finalidad de poder notificar a los contactos de positivos de covid19, la AEPD emitió un comunicado tras varios informes, preguntas frecuentes y otros comunicados.

La AEPD, en este documento en relación al tratamiento de los datos de salud durante la pandemia de covid19, indica que “las consideraciones relacionadas con la protección de datos no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común.”

Esta pandemia ha supuesto grandes desafíos en muchos ámbitos, incluido el de la protección de datos personales en equilibrio con la comunicación de datos por razones de salud pública y también por motivos informativos en aras de la libertad de prensa.

1.1. Ley de protección de datos y epidemias

La ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes para la protección de la salud pública; o la Ley 33/2011, de 4 de octubre, General de Salud Pública, en sus artículos 5 y 84. El artículo 3 de la primera señala “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.”

En materia de riesgo de transmisión de enfermedades, epidemias o crisis sanitarias, la normativa que se aplica otorga a las autoridades sanitarias de las Administraciones públicas (art. 1 Ley Orgánica 3/1986, de 14 de abril) las competencias para adoptar las medidas necesarias previstas en dichas leyes.

También tendrán las competencias para la decisión sobre el tratamiento de los datos personales, cuando sea necesario comunicar con otras personas el contacto físico con un afectado, para evitar que las personas que hayan estado en contacto con un afectado, por desconocimiento de su contacto, pudieran contagiar a otras personas (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).

La normativa (46 RGPD) permite el tratamiento de los datos personales con el fin de evitar propagación de epidemias y su control, concretamente (52 RGPD) la autorización para el tratamiento de las categorías especiales en el ámbito de la legislación laboral, “con fines de supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud, para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria.”

Se prevé la excepción de consentimiento para tratar datos de categorías especiales cuando sea necesario “por razones de interés público en el ámbito de la salud pública, tomando las medidas adecuadas y específicas para proteger los derechos y las libertades de los interesados.”Esta excepción durante la pandemia ha venido dada por la razón de protección de salud públicas y bien común. 

2. PROTECCIÓN DE LA SALUD DE LOS TRABAJADORES

Las empresas y los trabajadores han tenido que adaptarse y cambiar su manera de trabajar a raíz de la pandemia. Estas excepciones se basan en la necesidad del tratamiento de los datos personales para un fin concreto. En el ámbito laboral, el empresario está legalmente obligado a garantizar la protección de los trabajadores frente a los riesgos laborales (art 14.1 Ley PRL) debiendo garantizar su seguridad y salud en todos los aspectos relacionados con el trabajo.

De la misma manera, corresponde a cada trabajador (art 29.1 Ley PRL) “velar por su propia seguridad y salud en el trabajo y por todas aquellas personas a las que pueda afectar su actividad profesional”.

Estas obligaciones marcadas por la ley legitiman al empresario al tratamiento de los datos de los trabajadores en el cumplimiento de su deber de garantizar la seguridad y la salud de los trabajadores, y a la vez, el trabajador debe comunicar al empresario el hecho de estar contagiado de la COVID-19 o ser contacto estrecho de un positivo y, en ambos casos, deba permanecer aislado.

Existen otras medidas que han impuesto en algunas empresas que afectan a la Ley RGPD, como la medición de la temperatura o sistemas de reconocimiento facial con medición de temperatura, así como la creación de bases de datos que han permitido llevar un control de los trabajadores afectados por la covid19, este tratamiento de datos especiales se debe ajustar a la ley RGPD. Se debe evaluar cada medida que se establezca, si es necesaria o si no existe otra medida menos invasiva y que también sea proporcional al fin que se propone.

Las empresas deben adoptar medidas de precaución para proteger los intereses y derechos fundamentales de los trabajadores, teniendo claro que se trata de una medida excepcional y temporal, debida a la pandemia.

El RGPD indica que “el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Este tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.” 

2.1. Control de acceso por toma de temperatura/reconocimiento biométrico termográfico

El tratamiento de los datos obtenidos a partir de las tomas de temperatura deberá respetar la normativa de protección de datos y limitarse a lo necesario para la adopción de las medidas pertinentes para la contención de la propagación de la pandemia, asimismo se deberán conservar solo el tiempo necesario para esta finalidad de emergencia sanitaria.

Según el RGDP para el tratamiento de datos biométricos (datos personales de categoría especial) en un control de acceso, debería existir un consentimiento explícito y ha de cumplir las obligaciones y derechos específicos en el ámbito del derecho laboral (en el caso de un acceso al lugar de trabajo) y de protección social (en el caso de acceso a un lugar público).

Estos criterios legitiman la conservación de estos datos por un tiempo limitado (pudiera ser mientras dure este episodio de crisis sanitaria).

El tratamiento de estos datos biométricos es necesario por razones de salud pública.

Si se implanta un control de temperatura en los accesos de lugares públicos y/o privados, el tratamiento de estos datos debe tener la finalidad de asegurar el derecho a la protección de la salud y a evitar contagios y está legitimado en base al cumplimiento de la obligación por ley en la prevención de riesgos laborales y en el respeto a la normativa de la protección de datos, a los principios de licitud, transparencia, lealtad y limitación de la finalidad, exactitud, minimización de casos y conservación de los datos no más tiempo necesario para tal finalidad.

En este caso, la AEPD es clara: “Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores.”(…) “el tratamiento de los datos obtenidos a partir de las tomas de temperatura deben respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.” 

3. APLICACIONES DE RASTREO

Muchos gobiernos han puesto en marcha aplicaciones de rastreo de contactos como una de las estrategias en la lucha contra la pandemia. Estas aplicaciones utilizan la tecnología Bluetooth, enviando datos a otros móviles con los que ha compartido espacio. Si se comunica un positivo, el terminal enviaría un mensaje a todos aquellos terminales que hayan estado cerca de él. Este tipo de aplicaciones no registra nombres ni otros datos de contacto, usa apodos o cifras que no permiten la identificación de la persona, por lo que el anonimato se garantiza.

La aplicación de rastreo de contactos cumple los tres criterios fijados por el Comité Europeo de Protección de Datos para poder usarse de manera segura:

• Descarga voluntaria de la aplicación.
• Uso de un sistema descentralizado.
• Basada en criterios de proximidad y no de geolocalización.

Según la AEPD, este sistema puede considerarse “frágil” ya que “existe una posibilidad de que, aplicando suficiente tiempo y capacidad de cómputo, puedan romperse y asociar los apodos anónimos con números de teléfono y personas”, según indica la AEPD.

La AEPD hizo público su descontento al no haber participado desde el inicio del desarrollo de la aplicación de contactos que se realizó desde la Secretaría de Estado de Digitalización e Inteligencia Artificial, emitiendo un comunicado en el que entre otras cosas decía: «El desconocimiento de los detalles de la articulación práctica de la aplicación y de la experiencia piloto, esenciales para analizar su incidencia sobre la privacidad de los ciudadanos, ha dado lugar al requerimiento de solicitudes formales de información a la Sedia».

Por lo que ha existido desde el principio una inquietud por este tipo de aplicaciones en consideración con la privacidad de los datos. 

Las aplicaciones de rastreo de Apple y Google que aparecieron en nuestros terminales de manera automática garantizaban nuestra privacidad y la seguridad de nuestros datos, aunque en España se trató no realizar su aplicación de rastreo mediante otra tecnología. Al final realizó la aplicación de rastreo Radar Covid utilizando a Apple y Google para su distribución.

El hecho de que empresas privadas sean las que hayan realizado estas aplicaciones es causante, entre otras causas, de generar la incertidumbre ante la seguridad de los datos y la privacidad de la información.

La AEPD sigue de cerca la aplicación Radar Covid y tiene algunos procedimientos abiertos en relación con alguna brecha de seguridad detectada. Pese a todo lo comentado, dicha aplicación no ha demostrado que vulnere ningún derecho fundamental y se considera segura incluso por los hackers informáticos. 

4. INFORME DE LA AEPD SOBRE LA COVID19

La AEPD ha emitido un informe titulado “FAQS sobre el COVID19” en la que indica: “la normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito del afectado.”

También indica que “la empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.”

Especialmente, “la normativa de protección de datos permite adoptar las medidas necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito del afectado.”

“En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación.”

La pandemia no puede ser la excusa para restringir derechos fundamentales, medidas que, justificadas por razones de interés colectivo, acaban anulando estos derechos.

La salud o la seguridad no debieran acabar con la protección de datos.

BIBLIOGRAFÍA

• García Ortega Cesáreo, Cózar Murillo Victoria, Almenara Barrios José. La autonomía del paciente y los derechos en materia de información y documentación clínica en el contexto de la Ley 41/2002. Rev. Esp. Salud Publica (Internet). 2004 Ago (citado 2020 Dic 31); 78(4): 469-479. Disponible en: http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1135-57272004000400005&lng=es.
• Código ético de la enfermería europea. Federación Europea de Órganos Reguladores de Enfermería.  (Internet). 2007 (citado 2020 Dic 31). Disponible en: https://www.revistaseden.org/boletin/files/1367_19_Codigo%C3%89ticoEuropero.PDF
• Código ético de los enfermeros y enfermeras de Cataluña. Consell de Col.legis d’infermeres i infermers de Catalunya. (Internet) 2013 (citado 2020 Dic 31).  Disponible en: https://pbcoib.blob.core.windows.net/coib-publish/invar/6cc2605f-7469-4d4b-bae6-f76eb726b1e9
• Chan, M. Alocución de la directora general de la Organización Mundial de la Salud (OMS), ante la Conferencia del Consejo Internacional de enfermeras. Seúl, República de Corea. (Internet) 2015 (citado 2020 Dic 31).  Disponible en: https://www.who.int/dg/ speeches/2015/international- conference-nurses/es/
• Código Deontológico del CIE para la profesión de enfermería. Consejo Internacional de enfermeras. (Internet) 2012 (citado 2020 Dic 31). Disponible en: https://www.icn.ch/sites/default/files/inline-files/2012_ICN_Codeofethicsfornurses_%20sp.pdf
• Código Deontológico de la enfermería española. Consejo General de Enfermería de España. 1998 (citado 2020 Dic 31). Disponible en: http://www.ee.lafe.san.gva.es/pdfs/codigodeontologicoesp.pdf
• El deber de informar y otras medidas de responsabilidad proactiva en aplicaciones para dispositivos móviles. Agencia Española de Protección de Datos. 2019 (citado 2020 Dic 31). Disponible en: https://www.aepd.es/sites/default/files/2019-11/nota-tecnica-apps-moviles.pdf
• Ley Orgánica 1/1982 de 5 de mayo de derecho al honor y a la propia imagen. (consultada 2020 Dic 31). Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196
• Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (consultado 2020 Dic 31). Disponible en:https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679R(02)&from=ES
• Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (LOPDGDD) (consultado 2020 Dic 31). Disponible en:  https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
• Resolución de 25 de junio de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de convalidación del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el covid19. (consultada 2020 Dic 31).Disponible en:  https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-6901
• Informe del Gabinete Jurídico. Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31).Disponible en: https://docs.google.com/viewer?url=https%3A%2F%2Fwww.aepd.es%2Fes%2Fdocumento%2F2020-0017.pdf
• Informe del Gabinete Jurídico. Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31). Disponible en:  https://docs.google.com/viewer?url=https%3A%2F%2Fwww.aepd.es%2Fsites%2Fdefault%2Ffiles%2F2020-03%2FFAQ-COVID_19.pdf
• Guía para pacientes usuarios de sanidad. Agencia Española de Portección de Datos. (consultada 2020 Dic 31). Disponible en: https://www.aepd.es/sites/default/files/2019-12/guia-pacientes-usuarios-sanidad.pdf
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). (consultado 2020 Dic 31). Disponible en:  https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807 

• Carta de los Derechos Fundamentales de la Unión Europea. (consultado 2020 Dic 31). Disponible en:https://ec.europa.eu/info/aid-development-cooperation-fundamental-rights/your-rights-eu/know-your-rights/freedoms/protection-personal-data_es
• Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. (consultado 2020 Dic 31). Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188
• Informe 339/2015 de la Agencia Española de Protección de Datos. (consultado 2020 Dic 31). Disponible en:  https://www.aepd.es/es/informes-y-resoluciones/informes-juridicos
• La Ley Orgánica 2/2010, de 3 de marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo. (consultado 2020 Dic 31). Disponible en:  https://www.boe.es/buscar/act.php?id=BOE-A-2010-3514
• Valoración de SESPAS de la nueva Ley Orgánica de Protección de Datos Personales en lo relativo al tratamiento de datos de salud. SESPAS. 2019. (consultado 2020 Dic 31). Disponible en:https://sespas.es/2019/02/13/valoracion-de-sespas-de-la-nueva-lopd-en-lo-relativo-al-tratamiento-de-datos-de-salud/
• Guía uso de las redes sociales. National Council of State Boards of Nursing (NCSBN) 2011 (consultado 2020 Dic 31). Disponible en: https://www.ncsbn.org/Social_Media.pdf
• Guía práctica para el uso de redes sociales en organizaciones sanitarias. TicBiomed. SocialMediaPharma. 2013 (consultado 2020 Dic 31). Disponible en:http://enfermeriacomunitaria.org/web/attachments/article/894/Gui%CC%81a%20Pra%CC%81ctica%20para%20el%20uso%20de%20Redes%20Sociales%20en%20Organizaciones%20Sanitarias.pdf
• Guía de usos y estilos en las redes sociales del Sistema Sanitario Público de Andalucia. Consejería de Salud y Bienestar Social. Junta de Andalucía. 2013 (consultado 2020 Dic 31). Disponible en: https://fundadeps.org/recursos/Guia-de-usos-y-estilos-en-las-redes-sociales-del-Sistema-Sanitario-Publico-de-Andalucia/
• Mayer MA, Leis A, Mayer A, Rodriguez-Gonzalez A. How medical doctors and students should use Social Media: a review of the main guidelines for proposing practical recommendations. Stud Health Technol Inform. 2012; 180:853-7. PMID: 22874313. (Internet) 2012 (consultado 2020 Dic 31). Disponible en https://pubmed.ncbi.nlm.nih.gov/22874313/
• Navarret, Rosario. Decálogo para uso de redes como herramienta de cuidados. Revista de enfermeria (Barcelona). 42. 42. (Internet) 2019 (consultado 2020 Dic 31). Disponible en https://www.researchgate.net/publication/330987632_Decalogo_para_uso_de_redes_como_herramienta_de_cuidados
• Directrices para la regulación de las aplicaciones médicas de la FDA. Policy for Device Software Functions and Mobile Medical Applications. Food and Drug Administration. 2019 (consultado 2020 Dic 31).  Disponible en: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/policy-device-software-functions-and-mobile-medical-applications
• Reglamento sobre productos sanitarios de la Comisión Europea. 2017 (consultado 2020 Dic 31).  Disponible en: https://ec.europa.eu/health/md_sector/overview_en
• Directrices de la AEPD acerca de las aplicaciones. Agencia Española de Protección de Datos. 2019 (consultado 2020 Dic 31).  Disponible en:  https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-unas-directrices-orientadas-aplicaciones
• Rosales González. C. La protección de datos en el entorno de Big Data. (Trabajo de finde máster) Universidad de Santander; (Internet). 2019 (consultado 2020 Dic 31).  Disponible en:   https://reunir.unir.net/bitstream/handle/123456789/8204/Fe%20de%20erratas_ROSALES%20GONZ%C3%81LEZ%2C%20CARLOS.pdf?sequence=4&isAllowed=y
• Guía de buenas prácticas en proyectos de Big Data.  Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31).  Disponible en:    https://www.aepd.es/sites/default/files/2019-09/guia-codigo-de-buenas-practicas-proyectos-de-big-data.pdf
• Big Data en el ámbito sanitario. Informe preliminar del comité internacional de bioética de la UNESCO. 2017 (consultado 2020 Dic 31).  Disponible en:      https://www.uria.com/es/publicaciones/5302-big-data-en-el-ambito-sanitario-el-informe-preliminar-del-comite-internacional
• DeBronkart, Dave. How the e-patient community helped save my life: An essay by Dave deBronkart. BMJ (Clinical research ed.). 346. f1990. 10.1136/bmj. f 1990. (Internet). 2013 (consultado 2020 Dic 31).  Disponible en:       https://www.researchgate.net/publication/236101060_How_the_e-patient_community_helped_save_my_life_An_essay_by_Dave_deBronkart
• Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. (consultado 2020 Dic 31).  Disponible en:       https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196
• Drones y protección de datos. Agencia Española de Protección de Datos. 2019 (consultado 2020 Dic 31).  Disponible en:     https://www.aepd.es/sites/default/files/2019-09/guia-drones.pdf
• Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica. (consultado 2020 Dic 31).  Disponible en:      https://www.boe.es/buscar/pdf/1996/BOE-A-1996-1502-consolidado.pdf
• Real Decreto Ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria derivada de la covid19. (consultado 2020 Dic 31).  Disponible en:       https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-5895
• Comunicado de prensa sobre la participación de la AEPD en la app de notificación de contactos de riesgo por COVID19. Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31).  Disponible en:       https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-sobre-la-participacion-de-la-aepd-en-la-app-de
• Llanes-Fernández de la Cueva Gloria, Bejarano-Álvarez David, Márquez-Rodríguez Lourdes María. Decálogo de buenas prácticas para la protección de datos en Medicina del Trabajo y vigilancia de la salud. Rev Asoc Esp Espec Med Trab (Internet). 2016 Mar (citado 2020 Dic 31); 25(1): 34-42. Disponible en: http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1132-62552016000100006&lng=es