Empresa y protección de datos personales…en tiempos del COVID-19

por | Mar 8, 2022 | RGPD

A medida que el brote del COVID-19 continúa, desgraciadamente, propagándose (¡a pesar de que la vacuna ya está aquí!), las empresas están implementando un número creciente de medidas para prevenir que la pandemia se propague. Estas medidas, a veces, requieren que se recopile, analice y comparta información sobre individuos, para cumplir con las normas de Salud y Seguridad, pero plantea un desafío para la protección de datos de carácter personal: ¿Que tipos de datos personales se pueden recopilar y cómo? ¿Pueden ser compartidos con empresas del grupo y con entidades externas al grupo como proveedores de servidos y autoridades? ¿Las empresas pueden obligar al trabajador a decir si tiene COVID-19? ¿Las empresas pueden obligar al trabajador a acudir al servido de prevención o al médico? ¿Las empresas pueden revelar la identidad del trabajador infectado, si la conoce? ¿Qué se nos puede exigir a todos, trabajadores y empleadores? Estas preguntas surgen en la relación empleador-empleado, pero también surgen cuando se trata con otras partes interesadas que están en contacto con el lugar de trabajo: clientes, proveedores, colaboradores, etc.

En el Reglamento General de Protección de Datos de la Unión Europea (en adelante, RGPD), su artículo 9.1 establece, como base, la prohibición del tratamiento de datos sensibles, entre los que se encuentran los datos relativos a la salud. Posteriormente se aclaran algunas excepciones a dicha prohibición, en su artículo 9.2, donde cabe mencionar las siguientes: «[…] c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado; h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3; i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional […]».

Además, el propio RGPD aclara, en su artículo 9.3, que «dicho tratamiento debe ser realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión […]». Este aspecto se ha de complementar con lo que refleja el artículo 33.2.h de la Ley 33/2011 General de Salud Pública, que indica: «La autoridad sanitaria, de forma coordinada con la autoridad laboral, llevará a cabo las siguientes actuaciones además de las ya establecidas normativamente: […] h) Establecer mecanismos de coordinación en caso de pandemias u otras crisis sanitarias, en especial para el desarrollo de acciones preventivas y de vacunación».

Corresponde únicamente a la autoridad sanitaria determinar qué medidas se aplicarán en el ámbito laboral, y siempre por parte de un profesional sujeto a la obligación del secreto profesional. Si dicha autoridad indicara a una empresa en este escenario excepcional que nos encontramos, que recabe este tipo de datos de sus trabajadores o de las visitas que pudiera recibir, sí podríamos llegar a hablar de un tratamiento legítimo, lícito y justificable, aunque habría que revisar el escenario concreto y qué medidas ha tomado esa empresa para hacer un tratamiento conforme al reglamento.

El hecho de que el personal de la empresa recabe o trate datos relativos a la salud bajo las indicaciones de cualquier mando de la empresa supone una violación del mencionado artículo 9.1 del RGPD y vulneración del principio de proporcionalidad, que además podría dar lugar a filtraciones y/o brechas de seguridad graves debido a la falta de responsabilidad corporativa, al ser un caso de tratamiento de datos de riesgo sin las medidas de seguridad oportunas, ni la formación ni preparación correspondiente para el personal que la realiza.

Lo que sí pueden hacer las empresas por su cuenta, en caso de que los mandos decidan aplicar algún tipo de medida, es implementar protocolos de actuación preventiva donde no se recaben este tipo de datos, como por ejemplo, evitar la asistencia al trabajo en caso de tener determinados síntomas, lavarse las manos habitualmente y evitar el contacto personal, o aplicar el teletrabajo a todo el porcentaje posible de la plantilla si eso no merma el normal desempeño de sus funciones.

Los datos de salud están catalogados en el RGPD como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones siguientes: a) El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (= artículo 9.2.b); b) El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (= artículo 9.2.g); c) Cuando sea necesario para la realización de un diagnóstico médico (= artículo 9.2.h); y d) Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento (= artículo 9.2.c).

No olvidemos la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.

Eso sí, los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (= RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LO-PDGDD)), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.

En definitiva, las medidas que deben adoptar las empresas en materia de protección de datos de carácter personal en tiempos del COVID-19 deben adoptarse desde la «normalidad jurídica», respetando, en todo caso, los principios que enumera el artículo 5 del RGPD (= licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva); y tales medidas deben ser temporales, para finalidades determinadas y que impliquen el acceso limitado a los datos que sean imprescindibles.

 

Artículo publicado en la revista Balance del Colegio de Economistas de Alicante