Tratamiento de datos personales en relación al COVID-19. Preguntas y respuestas en relación a la privacidad

La Agencia Española de Protección de Datos, en el contexto de la emergencia de salud pública derivada de la extensión del coronavirus, ha publicado diversos documentos sobre el tratamiento de datos que se deriva de la urgencia del tratamiento de salud de los trabajadores. A tal efecto y sobre la documentación oficial de la AEPD, recopilamos aquí una serie de preguntas y respuestas

¿Es legítimo el tratamiento de datos del coronavirus sin el consentimiento del trabajador?

El RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa:

  • El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe 2020-0017 de la AEPD recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
  • El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
  • Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
  • Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

¿Por lo tanto se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus? 

Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia. 

La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado. 

En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de de minimización, limitación de la finalidad y minimización de la conservación. 

¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?

En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.
La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.
Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

¿Pueden transmitir esa información al personal de la empresa? 

Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias. 

La información debe proporcionarse respetando los principios de finalidad y proporcionalidad y siempre dentro de lo establecido en las recomendaciones o instrucciones emitidas por las autoridades competentes, en particular las sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa. 

¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus? 

Con independencia de que las autoridades competentes, en particular las sanitarias, establezcan estas medidas por una cuestión de Salud Pública y que así lo comuniquen a los centros de trabajo, los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales). 

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad. 

En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia? 

Los trabajadores que, tras haber tenido contacto con un caso de coronavirus, pudieran estar afectados por dicha enfermedad y que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se ven sometidos al correspondiente aislamiento preventivo para evitar los riesgos de contagio derivados de dicha situación hasta tanto se disponga del correspondiente diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención (Ley de Prevención de Riesgos Laborales) 

La persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, este derecho individual puede ceder frente a la defensa de otros derechos como el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población. 

¿Qué personas estarían habilitadas para tomar la temperatura ?

SEGÚN EL RGPD – Tratamiento de datos

El artículo 9.3 del RGPD establece que los datos de salud podrán tratarse para fines de medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con las normas establecidas por los organismos nacionales competentes.

Por lo tanto, tendríamos tres niveles:

  • Profesional sujeto a la obligación de secreto profesional. (Médicos del trabajo, servicio médico, DUE, etc.)
  • Cualquier persona que actúe bajo la responsabilidad de un profesional sujeto a secreto profesional
  • Cualquier otra persona sujeta a la obligación de secreto.

SEGÚN LA LPRL – Medición de la temperatura

El artículo 22.6 de la Ley de Prevención de Riesgos Laborales (LPRL) establece que las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada.

¿El personal de seguridad y salud (PRL) puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus? 

Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario. 

En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban. 

Entonces, si tomamos la temperatura a nuestros trabajadores, ¿qué debemos hacer para cumplir la normativa de Protección de datos?

  1. Primero tener claro que la finalidad sea esta y no otra, utilizando los datos con este motivo y no para otro. 
  2.  Definir y ejecutar un tiempo de conservación.
  3.  Informar al afectado en una primera información (capa 1) similar a los carteles de videovigilancia.
  4. Documentar el tratamiento en política/privacidad para empleados (deber de informar, capa 2).
  5. Documentar con detalle el tratamiento (registro de actividades de tratamiento, documentación interna)
  6. Analizar los riesgos en un informe de evaluación de impacto. 
  7. Tener en cuenta el derecho de acceso de los afectados a esta información que las personas podrían ejecutar, los otros derechos (oposición, supresión, olvido, limitación, etc.) no se pueden aplicar en este tratamiento
  8. Proteger los datos (medidas de seguridad sobre el sistema de información que lo trate)
    1. Identificación y autenticación de los usuarios que deban acceder a la información.
    2. Garantizar la disponibilidad y la integridad con copias de seguridad y otros procesos de respaldo.
    3. Si existieran encargados de tratamientos firmar acuerdos de tratamiento con estos terceros.
    4. Si se considera necesario realizar una formación/concienciación al personal que trata los datos
    5. Auditar/evaluar el cumplimiento de estas medidas en un plazo razonable tras la implantación del proceso

Referencias

Este documento es de uso confidencial para clientes empresas de los servicios de CUALTIS y sus trabajadores. Toda la información de privacidad.cualtis.com no puede ser cedida a terceras partes ni publicado en sistemas de información o documentales privados o públicos sin permiso expreso de CUALTIS.