Coronavirus (COVID-19) y protección de datos: orientaciones para los empresarios en relación a las leyes de protección de datos durante la pandemia.

Los acontecimientos más recientes sobre el coronavirus en el panorama global han desembocado en importantes cambios en los entornos de trabajo. Gran parte de los empleados han sido requeridos a realizar sus respectivos trabajos desde casa, a fin de intentar aplanar la curva del contagio. Así, en las últimas semanas hemos sido testigos de la incertidumbre colectiva de no saber quién podría estar infectado o haber sido expuesto al virus. En consecuencia, compartir información se ha convertido en esencial por el bien de la salud pública.

Tanto la AEPD como la ICO han publicado recientemente un comunicado sobre el coronavirus, en lo que concierne a la protección de datos durante la pandemia. Se mantienen diferentes posiciones al respecto. Por ejemplo, la ICO ha anunciado que, aunque se entenderán ciertos retrasos en el cumplimiento de los derechos de los sujetos, no se puede sin embargo extender los plazos más allá de lo recogido en el RGPD. Sin embargo, ha afirmado que no penalizará a aquellas empresas que necesiten priorizar otros aspectos del negocio frente a la protección de datos.

Mientras dure la pandemia, el personal de oficina deberá ser informado sobre cualquier caso de coronavirus dentro de la empresa. A este fin no es necesario divulgar los nombres de los sujetos afectados, pero esto podría llegar a ser necesario si así lo requiere la protección de la salud y seguridad de los empleados.

Si bien no es necesario recopilar cantidades ingentes de datos sobre la salud de los empleados, sí pude ser razonable mantener registros de su historial de viaje o de si presentan síntomas del virus. En caso de que la recogida de datos de salud específicos esté justificada, ha de recordarse que ésta debe limitarse a lo estrictamente necesario, y habrá de tratarse con las correspondientes medidas de seguridad. En este contexto de epidemia, los empresarios y las autoridades de salud relevantes no necesitan consentimiento para tartar estos datos, sobre todo cuando éste es crucial por razones de interés público, para proteger intereses vitales o para cumplir con una obligación legal.

En un comunicado reciente, Andrea Jelinek, Presidente del Comité Europeo de Protección de Datos (CEPD), se pronunció en los siguientes términos: “La normativa de protección de datos (como el RGPD) no obstaculiza las medidas que se han de llevar a cabo en la lucha contra la pandemia. Sin embargo, me gustaría destacar que, incluso en estos momentos excepcionales, el responsable de los datos debe garantizar la protección de los datos personales de los interesados. Así por tanto, una serie de aspectos deberían tenerse en cuenta para asegurar el tratamiento legítimo de los datos”.

En caso de que no fuese posible tratar únicamente datos anónimos, el artículo 15 de la Directiva ePrivacy permite a los Estados Miembro introducir medidas legislativas por el bien de la seguridad nacional. Esta legislación de emergencia es posible bajo la condición de que, en una sociedad democrática, forme parte de una medida necesaria, apropiada y proporcional, dadas las circunstancias. Si finalmente se tomasen estas medidas, los Estados Miembro necesitarán aplicar garantías adecuadas, como. If these measures are introduced, the member state will need to apply adequate safeguards, como el derecho a un recurso judicial.

Comunicaciones de vital importancia y RGPD

Durante el tiempo que dure la pandemia, el Gobierno, el Ministerio de Salud u otros profesionales del campo podrían necesitar enviar mensajes relacionados con el coronavirus al público en general, ya sea por teléfono, mensaje o email. Estos mensajes no se consideran marketing directo o publicidad, con lo que la normativa de protección de datos no los impide.

Teletrabajo y protección de datos.

Ante la creciente cantidad de empleados que trabajan desde sus casas, la ICO recuerda a las empresas que las medidas de seguridad que deberán aplicarse son las mismas ya sea trabajo presencial o remoto. Los trabajadores podrán utilizar sus propios ordenadores y dispositivos, los cuales deberán incorporar las medidas de seguridad apropiadas para no entrar en conflicto con la normativa de protección de datos.

Recomendaciones específicas de la AEPD

• La empresa podrá conocer si la persona trabajadora está infectada o no, y dicha información puede ser obtenida mediante preguntas al personal. Sin embargo, resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

• Esta información debería proporcionarse a los empleados sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias, o si fuese necesario para la protección de la salud del personal.

• Estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito. La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas dos semanas, o si se padece alguno de los síntomas de la enfermedad.

• La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado.

• Los trabajadores afectados por el coronavirus deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención.

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.