¿Puede tratar un empresario datos de salud de un trabajador ante la emergencia sanitaria del COVID 19?

Protección de datos en el marco de una crisis sanitaria COVID-19

A raíz de algunas consultas que hemos recibido al respecto, acerca de si es posible por parte del empresario tratar los datos personales referentes a la salud de sus trabajadores durante la crisis sanitaria del COVID 19 y qué protocolos debe éste seguir.

En el contexto de emergencia sanitaria, como en el que nos encontramos, a los empresarios se les plantean muchísimos interrogantes: de tipo económico, laboral, de viabilidad futura de sus negocios y empresas ;y como no , cumplir con la legislación de protección de datos respecto de sus trabajadores .

¿Cómo se pueden tratar los datos de salud sus empleados?

¿Tienen derecho a ser informados por el empleado cuando estos estén contagiados por el COVID-19?

¿Los pueden compartir con los diferentes departamentos de la empresa, empresas de riesgos laborales, o con las administraciones públicas competentes?

Decir que , con la finalidad de afrontar esta grave situación de riesgo colectivo sanitario, el Gobierno modificó la ley 3/1986, de 14 de abril, de medidas urgentes en materia de salud pública, mediante el Real Decreto ley 6/2020 de 10 de marzo, de medidas urgentes el ámbito económico y salud pública.

Sin embargo, los datos personales deberán seguir siendo tratados ,conforme al art. 5 del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en relación con el principio de “licitud, lealtad y transparencia” con respecto al interesado,” limitando la finalidad” a salvaguardar sólo el intereses vitales y esenciales de las personas, bajo el principio de “exactitud y minimización” de los datos.

El Reglamento Europeo 679/2019 y la Ley Orgánica 3/2018 ,ya prevén situaciones de emergencia, dónde los intereses vitales y esenciales para la salud pública prevalecerán por encima de aquellas actividades prohibidas expresamente por el art 9.1 de la ley, como por ejemplo los datos de salud.

El considerando (46) del Reglamento Europeo, nos indica que los tratamientos de datos serán lícitos, cuando sean necesarios para la protección de un interés vital, interés público o ejercicio de poderes públicos. Estas podrían ser cuestiones de emergencia humanitaria, epidemias, o catástrofes naturales.

Se podrán tratar los datos personales de los empleados, incluso sin consentimiento de este, siempre que dichos datos estén amparados legalmente:

  1. Para proteger intereses vitales del interesado o de otra persona física, amparado en el art. 6 letra d) del Reglamento UE 679/2016 d).
  2. Cuando el tratamiento, sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento. Art. 9.2 c) del Reglamento UE 679/2016.
  3. El tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, art. 6 letra e) del Reglamento UE 679/2016.
  4. Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros, art 9.2 letra h).
  5. El empresario deba garantizar la seguridad y la salud de los trabajadores a su servicio, en los aspectos relacionados con el trabajo. En el marco de sus responsabilidades, el empresario deberá realizar la prevención de los riesgos laborales mediante la integración de la actividad preventiva en la empresa y la adopción de cuantas medidas sean necesarias para la protección de la seguridad y la salud de los trabajadores, art 14.2 Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
  6. Los empresarios que conozcan hechos, datos o circunstancias que puedan constituir un riesgo o peligro grave para la salud de la población deben poner en conocimiento de las autoridades sanitarias, que deben velar por la protección debida a los datos de carácter personal, art. 9 y 33 de la Ley 33/2011, de 4 de octubre, General de Salud Pública.

Por lo tanto, los datos de salud de los trabajadores, en el caso de que se sospeche que haya sido contagiada por el virus COVID-19, haya estado en contacto con una persona contagiada, o se encuentre en cuarentena:

  • Podrán tratarse los datos, sin consentimiento, para indagar sobre la existencia de síntomas o si la persona ya ha sido diagnosticada.
  • Podrán ser compartidos con las personas, departamentos, empresas de riesgos laborales, o autoridades competentes en la materia.
  • Los empleados tendrán la obligación de comunicarlo a la empresa para evitar contagios no deseados y proteger a los demás empleados.
  • Podrá tomarse la temperatura de los trabajadores, de acuerdo con la Ley de Riesgos Laborales, y esta debería ser tomada por personal sanitario, minimizando los datos y no debiendo mantenerlos más tiempo necesario para la finalidad. Habrá que respetar el derecho al honor y a la intimidad y a la propia imagen, respetando la Ley Orgánica 1/1982, de 5 de mayo, frente a intromisiones ilegítimas.
  • Podrán proporcionarse cuestionarios siempre que estos sean proporcionales y minimizando los datos atendiendo a la finalidad perseguida.
  • No se podrán tratar los datos con ninguna otra finalidad, solo para poder indagar si los empleados están en este colectivo de riesgo y evitar más contagios.
  • Podrán habilitarse cuestionarios respecto de las visitas informando de la zona de dónde procedan y estas pudieran ser de riesgo. En lo posible que evitar las visitas, que no sean indispensables, dado la orden de confinamiento, o cierre de muchos negocios o locales.

Habrá que estar atentos, en cada momento, a lo que las autoridades competentes, especialmente las de sanitad vayan indicando, para que a la vuelta a la normalidad sea segura y estable para todos.

Albert CASAS COROMINAS
Protección de datos y Compliance Penal

 

COVIT19. Geolocalización pública y privada

El acceso a los datos de geolocalización se considera un tratamiento de datos de carácter personal, por lo que es necesario cumplir la normativa de Protección de Datos.
Se considera, dato de geolocalización: “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”
Interesa diferenciar, entre la Geolocalización promovida por empresarios o por las Administraciones Públicas:

Geolocalización por parte del empresario


¿Puede un empresario geolocalizar a sus empleados?


Sí puede, aún sin consentimiento, informando y observando unas determinadas obligaciones, del art. 90 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• Los empleadores podrán tratar los datos o de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, dentro de su marco legal y con los límites inherentes al mismo.
• Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o a los empleados públicos o a sus representantes, acerca de la existencia y características de estos dispositivos.
• Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
• Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar. Art 88 Ley Orgánica 3/2018, de 5 de diciembre
• El Estatuto de los trabajadores permite el control por parte del empleador a sus empleados, ya que este podría incurrir en alguna responsabilidad, sea por culpa invigilando o falta de control suficiente.

El Tribunal Constitucional ha establecido, que la limitación de los derechos fundamentales del empleado por parte de las facultades empresariales sólo podrá emplearse en el marco de una relación laboral, dentro de unos límites horarios, con las herramientas del empresario y al concepto indeterminado, como es, la proporcionalidad.

¿Cuándo se entenderá que existe, proporcionalidad?


Atendiendo a los principios de:
• Principio de idoneidad: si la medida es susceptible de conseguir el objetivo propuesto.
• Principio de necesidad: si es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
• Principio de proporcionalidad: si esta medida es equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

¿Cuánto tiempo podrán retenerse los datos de geolocalización?


• Los datos de geolocalización de los interesados deberán borrarse por lo general por un período 2 meses.
• Los datos de localización podrán ser conservados por un período 1 año:
✓ Si una reglamentación específica la prevé; como en el caso del art. 90 de la ley 3/2018.
✓ Si dicha conservación se requiere para fines de prueba de la ejecución de un servicio, cuando no es posible aportar la evidencia por otros medios. Por ejemplo: un histórico de los desplazamientos con fines de optimización de rutas, por un período máximo de un año.
✓ Deberán guardarse, atendiendo al principio de secreto y confidencialidad,
✓ No podrán aplicarse a ninguna otra finalidad, ni revelarse por el empresario ni por el trabajador, ni durante ni aún después de haber finalizado la relación laboral. (Ley 1/2019, de 20 de febrero, de Secretos Empresariales).

Medidas de Seguridad de los datos


Habrá que mantener Registro de Tratamientos, en el que se registre el tratamiento de GEOLOCALIZACIÓN, dónde se detalle:
• Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
• Medidas, normas, procedimientos y reglas dirigidos a garantizar el nivel de seguridad.
• Base legal sobre la que se sustenta el tratamiento.
• Legitimación.
• Cesiones
• Permanencia o duración de los datos
• Análisis de Riesgo, Evaluación de Impacto, Consulta previa a la Agencia de Protección de Datos.
• Gestión de los tratamientos por diseño y por defecto.
• Nombrar un Delegado de Protección de Datos, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o consistan en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales
• Funciones y obligaciones del personal.
• Control de accesos.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Los procedimientos de realización de copias de respaldo y de recuperación de los datos y metadatos.
• Si estos tratamientos van a ser susceptibles de transferencias internacionales


Geolocalización por parte del Estado o Administraciones Públicas


¿Puede el Estado geolocalizar a sus ciudadanos?
Pues sí, con consentimiento o sin él, siempre que esté sustentado por una ley.
Según el Considerando 45 de RGPD debe determinarse en virtud de derecho de la Unión o de los Estados miembros, si el responsable del tratamiento que realiza la misión en interés público, en ejercicio de poderes públicos debe ser una autoridad o una persona física o jurídica de derecho Público. También cuando sea necesario el tratamiento para proteger intereses vitales de los ciudadanos, como en este caso.
La medida deberá guardar proporcionalidad con las finalidades perseguidas, y entendemos que el interesado podrá pedir el derecho de acceso a los datos; no así el derecho a la portabilidad de estos, negado en el art 20.3 del RGPD.
Cualquier reclamación sobre derechos deberá poder atenderse por el Delegado de Protección de datos de la Administración actuante, por la Agencia Española de Protección de Datos, o en vía Contencioso-administrativa, Defensor del Pueblo. Agotados los recursos, podrá abordarse en vía de recurso de amparo ante el Tribunal Constitucional, ya que se trata de un derecho fundamental, art 18.1 y 18.4 de la Constitución.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
Otro tema de interés jurídico es, si deberá ser por ley, ya que, afecta a derechos fundamentales, o sería suficiente por una Orden Ministerial.
El día de 27 de marzo el Ministerio de Sanidad, evacúo la Orden SND/297/2020por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, que amparándose en el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma; y en el artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles.
Por lo que, podremos ser geolocalizados, con o sin consentimiento, ya veremos, por parte de las Administraciones Públicas competentes, con la finalidad
de protegernos de una pandemia global que pone en cuestión el modelo y las estructuras del Estado moderno.
Lo lógico es que se tomen las medidas de seguridad, teniendo en cuenta que no hay sistema inexpugnable. Lo ideal es que se pudieran anonimizar los datos, de manera que no pudieran volverse a reconstruir; pero, aunque técnicamente sea posible finalmente lo que se persigue es identificar al interesado.
Por lo que, los datos se someterán a una seudonimización, y o disociación, y estarán en manos de Google o Apple, u otros operadores privados que dispondrán de una gran cantidad de datos, susceptibles de otros tratamientos, además del COVID19.
Tampoco, deberíamos alarmarnos, ya que todos cuando leemos los periódicos digitales, consultamos el tiempo, en aplicaciones lúdicas, nos descargamos películas, tenemos nuestros perfiles en Twitter, Facebook, Instagram, WhatsApp, Telegram entre otros; y aunque sean gratuitos, tienen un precio, nuestra privacidad.
Hay que decir que, en la Constitución de 1978 no existe una jerarquía de derechos (arts. 14 al 29, y la objeción de consciencia), en el sentido de que unos prevalezcan sobre otros.
Nunca ha habido tanta legislación para proteger un derecho fundamental. Seguramente será por el riesgo, que este tiene, a ser vulnerado.