Previamante, es necesario aclarar que la información de salud de un empleado o tercero (en definitiva, un interesado) constituye un dato de carácter personal y, conforme la normativa aplicable (Reglamento General de Protección de Datos (RGPD) y Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)), tiene la consideración de dato especialmente protegido, como todos los datos de salud.

Ante la actual situación de emergencia sanitaria causada por el virus COVID-19, las autoridades de protección de datos de la mayoría de los estados de la Unión Europea se han pronunciado sobre su afectación a la privacidad. En nuestro país, la Agencia Española de Protección de Datos (AEPD) ha publicado el informe 0017/2020, en el que nos recuerda la plena vigencia de los principios establecidos en el RGPD así como la validez de los tratamientos de datos en estas circunstancias, bajo el amparo del interés vital del interesado y del interés público en el ámbito de la salud pública. Para ello, la Agencia remite principalmente al considerando 46 del RGPD en donde ya se reconoce como situaciones excepcionales una epidemia, y como bases jurídicas legitimadoras de estos tratamientos el interés público y el interés vital del interesado u otra persona física.

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Teniendo en cuenta lo anterior y en lo que respecta a protección de datos, planteamos a continuación algunas de las principales cuestiones a las que se están enfrentando nuestras empresas:

¿Puedo comunicar la identidad de casos positivos de COVID-19 en mi empresa a trabajadores, clientes o proveedores que han estado en contacto con estos?

De acuerdo con el reciente informe de la AEPD, se permite el tratamiento de los datos de los interesados sin necesidad de consentimiento, en base al interés público o al interés vital, teniendo en cuenta que los datos tratados tienen la finalidad de prevenir el contagio de terceros por el COVID-19. En consecuencia, la normativa permite “adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable”.

De acuerdo con lo anterior, la empresa sí podría comunicar a aquellos que hayan podido estar en contacto con casos positivos; siempre cumpliendo con los principios establecidos en el RGPD, especialmente los principios de minimización y confidencialidad. Para este tratamiento, como expresamente han recordado otras autoridades de protección de datos no es necesario facilitar la identidad de los afectados ni proporcionar más información de la estrictamente necesaria.

¿Puedo recoger datos de salud en relación con COVID-19 de mis empleados o terceros que entren a mi empresa?

Las empresas no pueden recopilar de manera sistemática y generalizada, ni mediante solicitudes individuales, información relacionada con los posibles síntomas de trabajadores o terceros; es decir, la empresa no podría realizar un tratamiento de datos de salud con finalidades distintas del interés público o interés vital. Todos los datos que recoja tendrán que ser tratados con las garantías adecuadas de acuerdo con el RGPD.

¿Puedo compartir información de salud de mis empleados a las autoridades sanitarias?

Si, puesto que existe un interés público que lo legitima y que tiene como finalidad el control de la epidemia (ahora considerada pandemia) y su propagación. No obstante, en base al mencionado principio de minimización, esta información se limitará a la mínima imprescindible: identidad, puesto de trabajo, personas que hayan podido estar en contacto con el afectado y, si así lo requieren las autoridades sanitarias, datos de contacto

¿Qué medidas de seguridad deben tomarse con el teletrabajo?

Hoy por hoy, el teletrabajo es una recomendación del Gobierno de España y la protección de datos no debería ser una barrera al buen uso de esta herramienta como medio de trabajo. En casos excepcionales, el personal podrá teletrabajar usando sus propios dispositivos o equipos, siempre y cuando, se tomen las mismas medidas de seguridad que se usarían en circunstancias normales.

¿Qué medidas pueden implementar las empresas sin violar los principios de protección de datos?

• Sensibilizar a los empleados acerca de la importancia de facilitar información en relación con una posible exposición, ya sea a la empresa o a las autoridades sanitarias competentes;

• Facilitar el flujo de información, estableciendo, si es necesario, canales directos;

• Implementar medidas de teletrabajo o similares.

Umbra Abogados recuerda que, en todo caso, las autoridades sanitarias son las únicas competentes para recopilar información sobre síntomas del coronavirus o el número de infectados. De hecho, así lo están haciendo las autoridades sanitarias autonómicas, contactado con las empresas para consultar las medidas adoptadas y las posibles situaciones de riesgo generadas. Las empresas públicas o privadas no pueden recabar información de usuarios y visitantes de sus instalaciones, tal como síntomas propios del coronavirus o información sobre sus últimos movimientos. Ni mucho menos deben caer en exigir “autodeclaraciones” sobre la ausencia de síntomas o buen estado de salud o formularios similares.

Naarahi Ponce , Asesora Legal