En situaciones de emergencia de pandemia, como la generada por el coronavirus, se pueden tratar datos personales sin autorización del interesado, en función del interés general.

La Agencia Española de Protección de Datos (AEPD) publicó el jueves pasado un informe en el que analiza el tratamiento de datos personales en relación con la situación provocada por la propagación del COVID-19.

A este respecto destaca que el Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir, legítimamente, tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general.

Datos de salud

Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa.

El informe precisa las excepciones recogidas en el art. 9.2. RGPD:

1.El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b).

El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo.

Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.

2. El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).

3. Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).

4. Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.

Base del tratamiento

A este respecto el RGPD marca el considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como:

• el control de epidemias y su propagación
• la misión realizada en interés público (art. 6.1.e)
• o los intereses vitales del interesado u otras personas físicas (art. 6.1.d).

Junto con ellas podría existir otras bases como, por ejemplo, el cumplimiento de una obligación legal para el empleador en la prevención de riesgos laborales de su personal.

Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

El derecho a la vida como valor supremo

La protección de datos personales sigue siendo un derecho fundamental, pero no podemos olvidar que en estas circunstancias de epidemia, también entran en juego otros derechos fundamentales como el de la vida y a la integridad física y moral.

El hecho de que exista una habilitación para tratar esos datos sin consentimiento y el levantamiento de una prohibición específica, no supone una especie de barra libre de tratamiento de datos de salud.

El Informe de la AEPD recuerda que cualquier uso de estos datos debe ser realizado conforme a los fines del RGPD, especialmente transparencia y minimización, así como que se les ha de aplicar las medidas de seguridad y responsabilidad proactiva oportunas y sin que pueda ser usados con otros fines que los de la lucha contra la enfermedad y la protección de la salud pública.

Guía para actuar frente a crisis sanitaria

Los empleadores tenían dudas sobre si podían tratar datos de salud de contagiados por Covid-19 a los efectos de proveer las medidas de protección oportunas del resto del personal, clientes y proveedores que recientemente hubieran estado en contacto directo con el empleado que ha resultado positivo.

El informe de la AEPD ayuda a los responsables del tratamiento a saber cómo actuar en este momento de crisis sanitaria como consecuencia de la pandemia ante la que nos encontramos.

Es un informe jurídico que ayuda a recordar que este derecho sigue siendo aplicable en situaciones como esta, de manera que el responsable del tratamiento tiene que adoptar y aplicar las medidas necesarias para evitar infracciones que podrían ser sancionadas con multas administrativas.

• El trabajador está obligado a notificar a su empleador la circunstancia del positivo,  no solo para garantizar su seguridad y salud, sino también la de sus compañeros.
• Es de vital importancia que los empleadores emitan comunicados a sus trabajadores en los que se les recuerde que la comunicación de los positivos por coronavirus viene derivado del cumplimiento de una obligación legal.
• Es importante tener en cuenta que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.

RESPUESTAS DE LA AEPD A LAS PREGUNTAS MAS FRECUENTES

 ¿La empresa puede obligar al trabajador a acudir al servicio de prevención o al médico?

Puede y debe. Y estos deben informar a las autoridades sanitarias que gestionan esa información para decidir las medidas de prevención adecuadas.

Los profesionales sanitarios evaluarán la situación y generarán la documentación preceptiva (el justificante de baja) para trabajador y empleador, con los consejos y medidas oportunas, que en ningún caso deben incluir dato alguno sobre la concreta enfermedad o dolencia padecida por el trabajador.

Las empresas de prevención disponen de planes de actuación y medidas adecuados, que se están ya aplicando con normalidad.

 ¿La empresa puede revelar la identidad del trabajador infectado, si la conoce?

En ningún caso, ni internamente dentro de la empresa, ni al resto de trabajadores. De hacerlo, incurriría en una infracción grave en materia de protección de datos, por no hablar de otro tipo de responsabilidades.

 ¿Qué se nos puede exigir a todos, trabajadores y empleadores?

Que actúen responsablemente cada uno en su parcela.

El trabajador y el empresario deben ser capaces de obtener y gestionar la información necesaria para decidir, si la situación lo amerita, medidas contundentes como dejar a la gente en casa. Y siempre hay formas de hacerlo sin desvelar más datos de los estrictamente necesarios.

Todos tenemos la responsabilidad de:

Cumplir las medidas de higiene y limitación de movimientos que se recomienden o impongan en su caso: cualquiera puede ser transmisor del virus sin manifestar síntomas.

Por eso hay que apelar a la responsabilidad de todos los implicados:

La del trabajador, acudiendo rápido al centro sanitario para que le evalúen y aconsejen como es debido,

La del profesional sanitario, que sin duda evaluará la situación y generará la documentación preceptiva para trabajador y empleador, con los consejos oportunos, que en ningún caso deberían incluir dato alguno sobre la concreta enfermedad o dolencia padecida por el trabajador.

La del empresario, que debe tomar, ante esta o cualquier otra amenaza o riesgo para la salud de sus empleados, las medidas adecuadas, en estricto cumplimiento de la normativa que incluye la prevención de riesgos. Y el estricto cumplimiento de la normativa obliga a tomar las medidas preventivas que sean necesarias, para proteger al colectivo en la empresa y en la población, pero sin comprometer la privacidad y demás derechos del trabajador .