Data Privacy

Tratamiento de datos de personales de trabajadores y visitas en relación al COVID-19

En el contexto de la emergencia de salud pública derivada de la extensión del coronavirus, la AEPD y el Ministerio de Sanidad en el ámbito del estado Español, han publicado diversos documentos sobre el tratamiento de datos que se deriva de la urgencia del tratamiento de salud de los trabajadores. A tal efecto y sobre la documentación oficial , recopilamos aquí una serie de preguntas y respuestas con un lenguaje más sencillo y práctico.

¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus? 

Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia. 

La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado. 

Por lo tanto a la pregunta de si es legítimo tratar los datos de salud de los trabajadores relacionadas con el COVID-19, la respuesta es sí. En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular, limitación de la finalidad y minimización de la información y de la conservación, además del deber de informar y de evidentemente implementar medidas de seguridad (técnicas y organizativas) para salvaguardar la información

¿Es legítimo el tratamiento de datos del coronavirus sin el consentimiento del trabajador?

El RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa:

  • El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe 2020-0017 de la AEPD recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
  • El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
  • Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
  • Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?

En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.
La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.
Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

¿Pueden transmitir esa información al personal de la empresa? 

Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias. 

La información debe proporcionarse respetando los principios de finalidad y proporcionalidad y siempre dentro de lo establecido en las recomendaciones o instrucciones emitidas por las autoridades competentes, en particular las sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa. 

¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus? 

Con independencia de que las autoridades competentes, en particular las sanitarias, establezcan estas medidas por una cuestión de Salud Pública y que así lo comuniquen a los centros de trabajo, los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales). 

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad. 

En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia? 

Los trabajadores que, tras haber tenido contacto con un caso de coronavirus, pudieran estar afectados por dicha enfermedad y que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se ven sometidos al correspondiente aislamiento preventivo para evitar los riesgos de contagio derivados de dicha situación hasta tanto se disponga del correspondiente diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención (Ley de Prevención de Riesgos Laborales) 

La persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, este derecho individual puede ceder frente a la defensa de otros derechos como el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población. 


Control de temperatura y de interacciones humanas en trabajadores y visitas

¿El personal de seguridad y salud puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus? 

Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario. A nivel de protección de datos es por tanto legítimo el realizarlo.

En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban. 

¿En este sentido puedo instalar un sistema técnico para detectar la temperatura de los empleados o de mis clientes, medir las distancias y comprobar si llevan máscaras o se encuentran en riesgo?

Ya hemos comentado que es completamente legítimo el tomar la temperatura con esta finalidad, y ello es extensible a cualquier tipo de sistema técnico como medir las distancias, comprobar si una persona lleva una máscara o la identificación de una situación de riesgo. Como cualquier otro tratamiento se deberá documentar el registro de actividades, detallando la finalidad, informar al afectado con la mayor transparencia posible (por el instrumento o vehículo más apropiado), aplicar medidas de seguridad y sobre todo realizar una análisis de riesgos, Evaluación de impacto del tratamiento, y según sobre los resultados actuar en consecuencia.

Entonces, si a través de sistemas técnicos controlo esta información de nuestros trabajadores y visitas, ¿qué debemos hacer para cumplir la normativa de Protección de datos?

  1. Primero tener claro que la finalidad sea esta y no otra, utilizando los datos con este motivo y no para otro. 
  2.  Definir y ejecutar un tiempo de conservación.
  3.  Informar al afectado en una primera información (capa 1) similar a los carteles de videovigilancia.
  4. Documentar el tratamiento en política/privacidad para empleados (deber de informar, capa 2).
  5. Documentar con detalle el tratamiento (registro de actividades de tratamiento, documentación interna)
  6. Analizar los riesgos en un informe de evaluación de impacto. 
  7. Tener en cuenta el derecho de acceso de los afectados a esta información que las personas podrían ejecutar, los otros derechos (oposición, supresión, olvido, limitación, etc.) no se pueden aplicar en este tratamiento
  8. Proteger los datos (medidas de seguridad sobre el sistema de información que lo trate)
    1. Identificación y autenticación de los usuarios que deban acceder a la información.
    2. Garantizar la disponibilidad y la integridad con copias de seguridad y otros procesos de respaldo.
    3. Con encargados de tratamiento (como proveedores del sistema de información) firmar acuerdos de tratamiento con estos terceros y valorar la seguridad del servicio del proveedor. (Verificar la firma de contrato y validación de medidas de seguridad aplicadas con el proveedor. (software propio o de terceros, medidas de seguridad en la base de datos y en la capa de aplicación, ubicación del alojamiento, cadena de suministro con terceros) en general información muy detallada del cumplimiento GDPR que podría acompañarse también de una evaluación de impacto.)
    4. Si se considera necesario realizar una formación/concienciación al personal que trata los datos
    5. Auditar/evaluar el cumplimiento de estas medidas en un plazo razonable tras la implantación del proceso

Toni Martín Ávila es Delegado de Protección de datos certificado por la AEPD, actualmente desarrolla servicios de DPO externo para diversas organizaciones en el ámbito de la salud, sector hospitalario y prevención de riesgos laborales. El contenido de este documento es una recopilación ordenada de documentación publicada por la AEPD, en informes jurídicos, noticias y respuestas en su canal de atención al ciudadano y a DPDs.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *