La autoridad de control de Irlanda publica unas orientaciones enfocadas a las empresas en relación al tratamiento de datos de salud vinculados con las vacunas.
Conforme el mundo comienza a ponerse en marcha de nuevo y el teletrabajo deja paso al trabajo presencial en algunas industrias, las empresas solicitan información sobre el enfoque que deben tomar en lo relativo al tratamiento de datos personales vinculados con las vacunas de sus empleados. ¿Pueden las empresas incentivar a sus trabajadores para que se vacunen? ¿Se pueden recoger datos relacionados con el estatus de vacunación de la plantilla?¿Cómo debe tratarse esta información? A la vez que avanzan los programas de vacunación por toda Europa y un gran número ha recibido ya al menos una de las dosis, las autoridades sanitarias y las autoridades de protección de datos trabajan para ofrecer a las empresas guías sobre si deben recoger algún tipo de datos específicos y cuáles serían los límites de dicha práctica. Así, la autoridad de control de Irlanda, el DPC, ha emitido un comunicado que contempla recomendaciones para las empresas sobre cómo actuar en estos casos.
El tratamiento de datos de salud debería realizarse en consonancia con las políticas gubernamentales sobre salud pública.
El tratamiento de datos de salud debería basarse en las indicaciones de los gobiernos nacionales en sus políticas de salud pública. Por ejemplo, el protocolo de seguridad en el trabajo de Irlanda sugiere que son muy pocas las circunstancias en las que las vacunas deberían ofrecerse como una medida de seguridad en el entorno laboral. Sin embargo, hay algunas excepciones, como ocurre con puestos vinculados con el cuidado de la salud en primera línea. En estas circunstancias las empresas están autorizadas a tratar datos relativos a las vacunas de sus empleados. En España, la vacunación en el ámbito laboral está regulada en el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, y tiene un carácter voluntario. Sin embargo, independientemente de la vacuna, en un espacio de trabajo deberían aplicarse algunas medidas generales, como distancia mínima, obligatoriedad de mascarilla y aplicación del teletrabajo para aquellos puestos que lo permitan, las cuales deberían considerarse como paso previo antes de entrar a valorar si la recogida de información sobre el estatus de vacunación de los trabajadores es necesaria. El principio de minimización indica que no deberán recogerse datos que no sean absolutamente necesarios para la finalidad perseguida.
Bajo el RGPD, los datos de salud se consideran categorías especiales de datos, y merecen protección específica.
En consideración de que aún no se ha probado la eficacia a largo plazo de las vacunas dada la posibilidad de que surjan nuevas variantes o que sean necesarios varios recordatorios para mantener la inmunidad, el tratamiento de datos vinculados con el estado de vacunación no puede, en este momento, catalogarse como esencial en términos generales. Además, es un dato de salud que entra en la categoría de datos especiales del RGPD y, como tal, requiere cierta protección específica bajo el derecho de la UE. El requisito para la empresa de tratar datos personales puede crear una situación de desequilibrio entre el interesado y el responsable cuando en dichos roles se encuentra la empresa y el trabajador, respectivamente. No se debería solicitar a la plantilla su consentimiento a estos efectos, pues, en caso de ser otorgado, probablemente no sería de forma libre.
Incluso en los casos donde se requiera cierta información de los empleados en el contexto de la pandemia, los datos personales de salud deben permanecer protegidos con las debidas garantías.
Existen algunas situaciones en las que la empresa, o el personal sanitaria, puede necesitar recoger ciertos datos de salud de sus empleados. Por ejemplo, en el contexto del COVID-19, si un trabajador tuviese que viajar, la empresa necesitará conocer si cumple con los debidos requisitos para hacerlo, y las condiciones en las que tendrá lugar, pues en algunos casos se exige un período de aislamiento o cuarentena. En estos casos, se preguntaría a los trabajadores la fecha en la que podrían reincorporarse a su puesto, y la información necesaria podrá variar con la actualización de los protocolos de cada país y el avance de la pandemia. En aquellos sectores en los que sea necesario recopilar información sobre la vacuna, las empresas deberán mantenerse actualizadas de las recomendaciones sobre salud pública.
¿Tienes dudas sobre cómo cumplir con la normativa en lo relativo al tratamiento de datos de salud en el contexto del COVID-19? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.