Coronavirus y Protección de Datos

​​​​​Publicado el 17.3.2020

La transmisión del COVID-19 implica una emergencia sanitaria de alcance general. La normativa en materia de protección de datos se centra especialmente en los datos de salud y establece requisitos para su tratamiento. Analizamos cómo se pueden tratar los datos personales para cumplir con el actual marco normativo y las preguntas más frecuentes.

La actual situación de excepcional trascendencia para la vida de todos los ciudadanos no suspende, de manera general, la obligación de cumplir con la Ley. Y así sucede con la normativa aplicable en materia de protección de datos.

Todas las medidas que adoptan las autoridades en pleno ejercicio de su actividad y de sus competencias están enfocadas al control, prevención y tratamiento de la enfermedad, para proteger los intereses vitales de los ciudadanos en ejercicio de un interés público esencial.

Para ello, no sólo se han promulgado medidas y recomendaciones, sino que se han aprobado normas que establecen nuevas obligaciones legales. El Real Decreto 6/2020, de 10 de marzo, modifica la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública para otorgar competencias a las autoridades sanitarias, de manera que puedan realizar las acciones preventivas que consideren necesarias en caso de riesgo de carácter transmisible, además de la publicación del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma y que otorga competencias de agente de la autoridad a los miembros de las Fuerzas Armadas.

El Reglamento General de Protección de Datos (en adelante, “RGPD”) ya contempla este escenario. Tanto es así, que el RGPD reconoce que en caso de control de epidemias, el tratamiento debe considerarse lícito para proteger un interés esencial para la vida del interesado o el de otra persona física, lo que redunda, también, en el ejercicio de un interés público.

No obstante, debemos ser cautelosos, puesto que los datos de salud son objeto de especial protección por parte del RGPD; tanto es así, que su tratamiento no está permitido, salvo casos tasados. Las bases jurídicas que establece el artículo 6 del RGPD para el tratamiento lícito de los datos personales no son suficientes para tratar los datos de salud y necesitan cohonestarse con las circunstancias establecidas en el artículo 9 del RGPD, que son las siguientes:

• las que permitan al responsable (persona jurídica que trata los datos) el tratamiento para cumplir obligaciones y derechos en materia de Derecho laboral y de seguridad y protección social (artículo 9.2.b) RGPD);
• las que permitan el tratamiento para proteger los intereses vitales del interesado o de otra persona física para evitar su contagio, cuando el interesado no esté capacitado para otorgar su consentimiento (artículo 9.2.c) RGPD);
• cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público esencial y en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas que afecten a la salud (artículos 9.2.g), i) RGPD); y
• cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral, diagnóstico médico, etc. (artículo 9.2.h) RGPD).

Así pues, en el marco de las circunstancias anteriores, los responsables del tratamiento podrán adoptar cuantas decisiones consideren necesarias para salvaguardar los intereses vitales de las personas, el cumplimiento de las obligaciones legales o la salvaguarda de la salud pública, siempre en concordancia con las autoridades.

Por tanto, los responsables pueden tratar datos personales de salud de determinadas personas para proteger a otras del contagio, también en aplicación de la normativa de prevención de riesgos laborales podrán tratar los datos necesarios para garantizar la salud de los empleados. Todo ello deben hacerlo siguiendo los principios del artículo 5 del RGPD: con licitud, lealtad, transparencia, limitados exclusivamente a salvaguardar la salud de las personas, exactitud y, siempre, recabando los mínimos datos necesarios para ello y sin confundir conveniencia con necesidad.

No olvidemos que se deben adoptar las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en el tratamiento de dichos datos y observar los mínimos de seguridad que establece el artículo 32 del RGPD.

Preguntas frecuentes:

¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas por coronavirus?

Sí, pueden. También podrán adoptar las medidas necesarias que dicten las autoridades competentes e igualmente asegurar el derecho a la salud de los demás trabajadores para evitar los contagios. La empresa puede conocer si la persona está infectada o no y también podrá recabar información al personal sobre la existencia de síntomas, siempre que no se recoja información ajena a la enfermedad.

¿Pueden transmitir esa información al personal de la empresa?

Sí, siempre que no se identifique a la persona afectada, pero podrá comunicarse a requerimiento de las autoridades competentes. El responsable debe atenerse a facilitar los mínimos datos posibles. No obstante, si con información parcial no se consigue el efecto de prevención, se podrán facilitar los datos identificativos.

¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?

Sí, se puede. No obstante, se deben cumplir los principios de minimización, limitación a la finalidad y minimización de la conservación del RGPD y los expuestos en este informe.

En caso de cuarentena preventiva o estar infectado, ¿el trabajador tiene la obligación de informar al empleador de esta circunstancia?

Sí, tiene la obligación de hacerlo o, en su caso, al servicio de prevención o delegados de prevención.

¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos de coronavirus?

Sí, debería ser realizada por personal sanitario y los datos obtenidos usarse nada más que para evitar la propagación del virus y conservados durante el mínimo tiempo posible.

¿Necesita el empresario tomar alguna cautela adicional respecto al teletrabajo?

En primer lugar, el Real Decreto 463/2020, de 14 de marzo, tiene como consecuencia el confinamiento de determinados sectores, lo que da paso al teletrabajo. Es recomendable que la organización cuente con un Protocolo de uso de herramientas informáticas donde conste qué uso se le puede dar a los medios informáticos que se pongan a disposición del trabajador y darlo a conocer a los trabajadores. Además, es recomendable que se firme un anexo al contrato de trabajo donde conste que se garantizan los derechos digitales que establece la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, se establezcan las medidas de seguridad y confidencialidad que se deben adoptar en el lugar de teletrabajo, cómo se protocolizarán las comunicaciones con el trabajador, qué medidas de prevención de riesgos laborales se deben adoptar, qué uso hará la empresa de los datos del trabajador, la duración del teletrabajo y el sistema de control de jornada.

Fuentes: Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos 17/2020; FAQ sobre el COVID de 13 de marzo de 2020; BOE: documento BOE-A-2020-3692; Rödl & Partner FAQ about the Coronavirus.