COVID-19 y Privacidad

Una de las consultas más planteadas desde la propagación del Virus en España, fue acerca del tratamiento de los datos de salud a colación de los protocolos de actuación que se están implementando en las empresas.

Algunas de las acciones realizadas por parte de éstas son los cuestionarios preventivos en los que, en ocasiones, encontramos la recopilación de información sobre la presencia de cualquier síntoma de gripe del trabajador o de sus contactos más cercanos.

¿Pueden los empleadores buscar activamente este tipo de información de sus empleados?

El pasado 6 de marzo la Autoridad de Supervisión francesa (CNIL),  publicó una breve guía en la que indicaba qué hacer y qué no hacer en el ámbito de la empresa, requiriendo a los empleadores a tener en cuenta que no pueden tomar medidas que puedan infringir la privacidad de las personas.

La CNIL alerta, en particular, sobre la recopilación de datos de salud que irían más allá del manejo de la sospecha de exposición al virus y recuerda que estas categorías de datos están sujetos a una protección especial tanto por el Reglamento Europeo de Protección de Datos (RGPD) como por las legislaciones nacionales de cada país en materia de Salud Pública.

Así, la CNIL señala que, de conformidad con las leyes laborales aplicables, un empleador debe garantizar la seguridad de sus empleados y, por lo tanto, puede:

• invitar a los empleados a informar posibles riesgos individuales de exposición;
• proporcionar canales dedicados para informar inquietudes; y
• promover protocolos para permitir que el personal trabaje de forma remota.

De la misma forma, se manifestó la Agencia Italiana de Protección de datos en la que ha prohibido que las empresas recopilen de manera “sistemática y generalizada” datos de salud de sus trabajadores, manteniendo la privacidad de los empleados en la medida de lo posible.

De momento nuestra autoridad competente en materia de protección de datos (AEPD) no se ha manifestado al respecto, pero en lo que si estamos de acuerdo es que los empleadores no deben recopilar de manera espontánea y generalizada información sobre los posibles síntomas de la enfermedad de los empleados y sus familiares a menos que la ley lo exija específicamente o lo soliciten las autoridades competentes.

Los datos relacionados con la salud se incluyen en las llamadas categorías especiales de datos personales y como tal, sólo se permite su tratamiento en función de la legislación específica, bajo el consentimiento del interesado, por ejemplo, al proporcionar voluntariamente dichos datos a la empresa.

Adicionalmente al consentimiento, se identifican otras bases legitimadoras más excepcionales como lo son el Interés Vital o el Interés público recogido en los artículos 6 (1) (d) y 6 (1) (e) respectivamente, junto con el 9 (2) (c) como requisito adicional por tratarse de datos de categoría especial.

En concreto, según este último, el tratamiento será legítimo cuando «sea necesario para proteger los intereses vitales del interesado o de otra persona física donde el interesado es física o legalmente incapaz de dar su consentimiento”. No obstante, esta base legitimadora no parece ser la más adecuada para el tratamiento objeto de este análisis, ya que en principio los afectados por esta infección, no parecen carecer de dicha incapacidad para prestar su consentimiento.

Por otra parte, el artículo 9 (2) (g) es quizá la base jurídica que más dudas está generando a la hora de llevar a cabo este tratamiento. Dicho artículo habilita el tratamiento de datos especialmente protegidos cuando “el tratamiento sea necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”.

A este respecto, arrojan algo más de luz los Considerandos 46 y 52. En concreto, en el Considerando 46 se establece -expresamente- que el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público, como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Respecto al Considerando 52 permite tratar categoría especial de datos cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos.

En relación a este último Considerando, nos encontramos con los procedimientos de actuación de los servicios de Prevención de Riesgos Laborales que, siguiendo las pautas y recomendaciones formuladas por las autoridades sanitarias y en base a la obligación de las empresas en el ámbito de la legislación laboral, pueden llevar a cabo determinados controles, respetando en todo caso el derecho a la intimidad y a la dignidad del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.

Así las cosas, podríamos tratar esta información, siempre considerando las excepciones y requisitos establecidos en la normativa para cada caso concreto, teniendo en cuenta que si no contamos con ninguna de las bases legitimadoras estaríamos incumpliendo con la regulación.

En todo caso, el RGPD ha demostrado, en contra de lo que generalmente se considera, que es un instrumento de equilibrio entre la utilización de datos de carácter personal y la protección de la privacidad de los ciudadanos, recogiendo casos específicos de aplicación.   

Finalmente, debido a la repercusión de este asunto, esperaremos que nuestra autoridad competente publique alguna orientación para aclarar determinados tratamientos en los que aún existen incertidumbres por parte de las empresas.

Departamento de Privacidad,

Áudea