Miércoles 18 de marzo a las 18h.
Cuestiones sobre el tratamiento de datos para empresarios y trabajadores con relación al coronavirus COVID-19.
En el contexto de la emergencia de salud pública derivada de la extensión del coronavirus, pueden surgir muchas dudas, tanto de ciudadanos como de empresas, trabajadores y otros sujetos obligados al cumplimiento de la normativa de protección de datos sobre el tratamiento de datos personales relativos a la salud.
En este sentido, le informamos que la Agencia Española de Protección de Datos (AEPD) está dando respuestas algunas de las consultas que se están empezando a surgir para sujetos obligados al cumplimiento de la normativa de protección de datos sobre el tratamiento de datos personales relativos a la salud.
También la AEPD, ha publicado, un informe en el que analiza el tratamiento de datos de salud en relación con la crisis provocada por la epidemia del Coronavirus COVID-19. En dicho informe, establece que el tratamiento de datos de salud en distintos ámbitos puede considerarse lícito, sometido al cumplimiento de los principios y obligaciones establecidos en el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
Veamos algunas de estas cuestiones resueltas por la AEPD:
¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?
En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.
La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.
Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
¿Pueden transmitir esa información al personal de la empresa?
Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.
La información debe proporcionarse respetando los principios de finalidad y proporcionalidad y siempre dentro de lo establecido en las recomendaciones o instrucciones emitidas por las autoridades competentes, en particular las sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa.
¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?
Con independencia de que las autoridades competentes, en particular las sanitarias, establezcan estas medidas por una cuestión de Salud Pública y que así lo comuniquen a los centros de trabajo, los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).
La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?
Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia.
La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado.
En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación.
En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?
Los trabajadores que, tras haber tenido contacto con un caso de coronavirus, pudieran estar afectados por dicha enfermedad y que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se ven sometidos al correspondiente aislamiento preventivo para evitar los riesgos de contagio derivados de dicha situación hasta tanto se disponga del correspondiente diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención (Ley de Prevención de Riesgos Laborales)
La persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, este derecho individual puede ceder frente a la defensa de otros derechos como el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población.
¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?
Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario.
En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.
Informe de la AEPD sobre el tratamiento de datos de salud
Como ya la hemos comentado, la AEPD ha publicado, con fecha de 12 de marzo, un informe en el que analiza el tratamiento de datos de salud en relación con la crisis provocada por la epidemia del Coronavirus COVID-19. En dicho informe, establece que el tratamiento de datos de salud en distintos ámbitos puede considerarse lícito, sometido al cumplimiento de los principios y obligaciones establecidos en el RGPD.
Para que el tratamiento de los datos de salud sea lícito, dicho tratamiento debe realizarse en virtud de alguna de las bases legitimadoras del artículo 6 del RGPD como, por ejemplo, el cumplimiento de una obligación legal o la defensa de intereses vitales. Además, tratándose de datos especialmente protegidos, según indica la AEPD, los responsables del tratamiento, entre los que se encuentran las empresas, deberán amparar el tratamiento de datos de salud en alguna de las siguientes bases legitimadoras del artículo 9 del RGPD:
Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (artículo 9.2.b del RGPD).
Para poder amparar el tratamiento de datos de salud en esta base legitimadora, dicho tratamiento debe estar establecido en la normativa española. En este sentido, la AEPD indica que las empresas pueden tratar los datos de salud de los trabajadores si estos datos son necesarios para el cumplimiento de la normativa de prevención de riesgos laborales.
Sin perjuicio de lo anterior, la AEPD no aclara si la empresa puede solicitar esta información directamente a los trabajadores (actuación activa) o si la empresa sólo puede tratar los datos personales de salud si los trabajadores los proporcionan voluntariamente (actuación reactiva).
Que el tratamiento sea necesario por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública (artículo 9.2. g) e i) del RGPD).
Para poder amparar el tratamiento de datos de salud en esta base legitimadora, dicho tratamiento debe estar establecido en la normativa española. En este sentido, la AEPD aclara que, en la legislación española, las responsabilidades en defensa del interés público esencial o en el ámbito de la salud pública corresponden a las autoridades sanitarias y a los centros de salud.
Por este motivo, tal y como indica la AEPD, las empresas sólo pueden amparar el tratamiento de datos personales de salud en esta base legitimadora, si el tratamiento de los datos personales de salud es realizando siguiendo las instrucciones de las autoridades competentes (por ejemplo, para informar a una persona de que ha estado en contacto con un compañero de trabajo contagiado de coronavirus -si bien, en nuestra opinión, no se debería informar al resto de trabajadores de la identidad del empleado contagiado-).
Que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social (artículo 9.2.h del RGPD).
En este caso, los datos de salud deben ser tratados por un profesional de la salud. Por este motivo, (aunque la AEPD no lo indica expresamente), cabe interpretar que el tratamiento de datos de salud amparado en esta base legitimadora, sólo puede ser realizado por el servicio médico de las empresas, además de los profesionales médicos en centros de salud y hospitalarios.
Que el tratamiento de los datos de salud sea necesario para proteger el interés vital del interesado o de otra persona física cuando el interesado se encuentra física o jurídicamente incapacitado (artículo 9.2.c del RGPD).
Asimismo, en el citado informe, la AEPD indica que (i) cada responsable del tratamiento (entre ellos, las empresas) debe analizar cuál de las citadas bases legitimadoras les resultaría de aplicación, (ii) los datos sobre la salud deben tratarse única y exclusivamente para la finalidad recabada, en este caso concreto, la gestión de la crisis del coronavirus.
Finalmente, la AEPD recuerda que el tratamiento de datos de salud debe respetar el resto de principios establecidos en el RGPD, como el principio de limitación del tratamiento o el principio de minimización de datos, de forma que no se recaben más datos personales que los estrictamente necesarios ni se utilicen para otras finalidades o más allá del tiempo más corto posible.
Las agencias de protección de datos de Reino Unido y de Francia, entre otros países, se han pronunciado también al respecto de esta situación, siendo elemento común a ambas la necesidad de limitar al máximo el tipo de datos que se recaban y las finalidades, recomendando que, en la medida de lo posible, no se recaben datos personales de salud si existen otros medios menos invasivos para la misma finalidad (por ejemplo, que en lugar de preguntar síntomas a los trabajadores, se informe a estos de que si han estado en zonas de riesgo o presentan síntomas deben acudir a un servicio médico).