Desde casa, seguimos de cerca algunas consecuencias del estado de alarma y de la crisis sanitaria derivada del coronavirus que obligan a las empresas a hacer las cosas de una manera diferente.
Ayer os avanzamos que la AEPD ha difundido un informe jurídico, así como un documento de preguntas y respuestas, que trata y resuelve sobre cuál debe ser la actuación de los responsables de tratamiento que recogen y tratan datos personales de salud de personas infectadas o que pueden estar en riesgo de contagio, así como otros temas relacionados.
La cuestión es de interés, porque, si hacemos memoria, el Reglamento General de Protección de Datos (RGPD) prohíbe como norma general el tratamiento de los datos personales de salud, salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. Lo que es de sentido común, es que la protección de datos no debe utilizarse para obstaculizar la efectividad de las medidas que adopten las autoridades en un estado de alarma como el actual. Dicho esto, esta excepción, como todas, no puede entenderse como patente de corso para el tratamiento de datos de salud, y en este sentido es necesario tener presente que los datos deben tratarse con licitud, lealtad y transparencia y según los principios de minimización, limitación de la finalidad y exactitud.
Recordemos que el Considerando 46 del RGPD se refiere a la posibilidad de un tratamiento lícito de datos de salud en casos excepcionales, como son el control de epidemias, sin que sea necesario el consentimiento de los afectados. Además, el RGPD establece bases jurídicas para tratamientos lícitos, como el cumplimiento de una obligación legal (art 6.1.c -por ejemplo, la prevención de riesgos laborales), la misión realizada en interés público (art 6.1.e) o los intereses vitales del interesado u otras personas (ar. 6.1.d). Más en concreto, y sin ánimos de ser exhaustivos, en sede de datos de salud, el artículo 9.2 del RGPD establece los supuestos en que se pueden tratar los datos de salud, y además del consentimiento expreso, cuando ello sea necesario para salvaguardar intereses vitales de los interesados o de otras personas, intereses públicos esenciales en el ámbito de la salud pública o el cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente.
Por tanto, y como no podía ser de otro modo, la respuesta de la AEPD, en coherencia con las conclusiones publicadas por otras autoridades europeas, prioriza la situación de alerta sanitaria y las decisiones que puedan adoptar las autoridades competentes, en especial las sanitarias, durante la pandemia. En este sentido, según la AEPD, los responsables de tratamiento deberán seguir las instrucciones de las autoridades sanitarias de las administraciones públicas, sin que sea necesario el consentimiento de los interesados cuando dichas instrucciones supongan un tratamiento de datos de salud.
En este marco, el documento de preguntas y respuestas difundido por la AEPD informa con un lenguaje especialmente claro y concreto. A continuación os facilitamos un resumen de las preguntas y respuestas:
¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?
Los empleadores podrán tratar de conformidad con lo establecido en la normativa sanitaria, laboral y de prevención de riesgos laborales, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes para proteger la salud de sus empleados y evitar los contagios. Lo que incluye conocer si una persona está infectada o en riesgo de estarlo, incluso a través de preguntas concretas y limitadas a esta cuestión.
¿Pueden transmitir esa información al personal de la empresa?
Sí, aunque sin identificar a la persona afectada para mantener la privacidad, salvo que lo requieran las autoridades competentes, en particular las sanitarias.
¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?
Se puede recabar este tipo de información sin necesidad de obtener el consentimiento previo de la persona afectada al amparo de la obligación legal del empleador de proteger la salud de los trabajadores y mantener el lugar de trabajo libre de riesgos sanitarios. Ello no obstante, la información debería limitarse a preguntas sobre las visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas dos semanas, o si se tiene alguno de los síntomas del coronavirus.
¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?
La respuesta es afirmativa, en tanto se trata de datos necesarios para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado. De hecho, la AEPD expresamente recuerda que no se puede hacer uso de la normativa de protección de datos personales para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades competentes, en especial las sanitarias, en la lucha contra la pandemia.
En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?
Aquellos trabajadores que hayan tenido contacto con la enfermedad y que por aplicación de los protocolos establecidos por las autoridades sanitarias han de estar en régimen de aislamiento para evitar riesgos de contagio, aún sin tener aún el diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención (Ley de Prevención de Riesgos Laborales).
¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?
La AEPD considera dicha medida posible, en tanto medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario.
Insistimos que –tal y como recuerda la AEPD al contestar a cada una de las anteriores preguntas, el tratamiento de los datos personales debe respetar los principios de limitación de la finalidad, de forma que el tratamiento deberá limitarse a los datos personales estrictamente necesarios para salvaguardar la salud y evitar la cadena de contagios, en armonía con las decisiones que vayan adoptando las autoridades competentes, en especial las sanitarias.
Hoy Barcelona ha amanecido soleada. Os deseamos un feliz día.
Ana Soto & Mª Luisa Osuna