El CNIL ha publicado unas nuevas orientaciones que pretenden ayudar a las empresas en relación al tratamiento de datos personales de sus empleados durante la pandemia.
En el contexto de la crisis sanitaria generada por la expansión del coronavirus, muchas autoridades y organizaciones están proporcionando orientaciones para ayudar a los empresas a afrontar la nueva situación y garantizar la continuidad de negocio. Nos encontramos en un momento de la pandemia en que se da un acuerdo general de seguir con el día a día en aras de la nueva normalidad, a fin de evitar un impacto aún mayor en la economía y en la sociedad. Bajo estas circunstancias, el CNIL ha publicado un documento donde recoge una serie de orientaciones para ayudar a las empresas a gestionar la situación en el entorno laboral.
Las empresas están obligadas a garantizar la seguridad de sus empleados.
Conforme a la Ley 31/1995 de prevención de Riesgos Laborales, es responsabilidad del empleado implementar las medidas necesarias para evitar los riesgos laborales que pudiesen acontecer en el espacio de trabajo, tales como programas de formación y comprobaciones regulares de que se dan las condiciones y adaptaciones precisas en cada caso. En el contexto de la pandemia, las empresas tendrán que recordar a sus empleados que, siempre que trabajen en contacto con otras personas, será su obligación informar de manera individual de cualquier posibilidad o sospecha de contagio, bien a la misma empresas o a las autoridades sanitarias, con la única finalidad de adaptar las condiciones laborales.
Las orientaciones del CNIL también están dirigidas a los empleados.
Los empleados son responsables de preservar su propia salid y seguridad y también la de las personas con las que pueden entrar en contacto durante el ejercicio de su actividad profesional. En circunstancias normales, los empleados que cursan baja por enfermedad sólo deberán comunicar los términos generales de la misma. Sin embargo, en el contexto de una pandemia como la del COVID-19, cada vez que un empleado contagiado ha estado en contacto con otras personas (compañeros, clientes o público en general), ha expuesto a estas a un riesgo de contagio, de manera que tendrá que informar a la empresa en consecuencia. Esta comunicación no será necesaria cuando el empleado trabaje de manera aislada.
¿Cómo deberían tratarse los datos de salud según el RGPD?
Los trabajadores sólo podrán tratar datos de salud cuándo y cómo sea necesario para cumplir con sus obligaciones contractuales, como aspectos organizativos (teletrabajo, asistencia del médico del seguro, etc.), formación y prevención de riesgos laborales. Por este motivo, la empresa sólo podrá tratar datos relacionados con la fecha, con la identidad de la persona, con el hecho de que han indicado ser sospechosos de contagio o éste haya sido confirmado y con las medidas organizativas implementadas. La empresa podrá comunicar a las autoridades sanitarias los elementos necesarios para un posible cuidado o tratamiento de las personas expuestas. Sin embargo, la empresa no podrá bajo ninguna circunstancia comunicar a otros empleados la identidad o información personal sobre la persona contagiada o bajo sospecha de contagio
En relación al desarrollo e implementación del protocolo de la empresa, no se podrán tomar medidas que puedan infringir de manera desproporcionada los derechos de privacidad de los empleados o de otros sujetos, y, en concreto, mediante la recogida de más datos de salud de los necesarios para gestionar el riesgo de contagio y proteger al personal y a la sociedad. La finalidad y uso de los datos deberá corresponderse con una de las excepciones previstas en el RGPD, para respetar así el equilibrio entre la seguridad y el respeto a los derechos fundamentales.
¿Qué dice la ley sobre los controles de temperatura en los accesos?
En un esfuerzo por prevenir la expansión del virus, algunas empresas se plantean optar por un control sistemático de la temperatura de los empleados a la entrada de las instalaciones. Como informamos en uno de nuestros últimos blog, el CNIL llamó a la cautela en el uso de cámaras termales para esta finalidad. El CNIL destaca que la efectividad y la idoneidad de los controles de temperatura es discutible, pues dicho síntoma no es determinante ni exclusive del COVID-19. En cualquier caso, la temperatura corporal es un dato sensible relativo a la salud, y se considera por tanto un dato de categoría sensible sujeto a una protección especial bajo el RGPD. En concreto, el Artículo 9 del RGPD prohíbe a los empleados guardar los datos de las medidas de temperatura tomadas a la entrada de las instalaciones.
El CNIL además indica que sólo el personal sanitario competente podría recoger, implementar y acceder a cuestionarios de salud de los empleados que contengan información relativa a su estado de salud o a su situación familiar, condiciones de convivencia o incluso posibles desplazamientos. Lo mismo se aplicaría a los test médicos, serológicos o de cualquier otro tipo para detector el COVID-19, pues los resultados de los mismos estarán sujetos a confidencialidad médica.
El CNIL ha proporcionado consejos adicionales para apoyar la continuidad de negocio durante la pandemia.
Las empresas podrían necesitar desarrollar un plan de continuidad de negocio, a fin de mantener su actividad esencial durante la crisis sanitaria. Este plan deberá incluir todas las medidas necesarias para proteger la seguridad de sus empleados y para identificar las actividades esenciales que se mantendrán, así como para contar con el personal necesario a tales efectos.
Son dos los puntos clave destacados por el CNIL. El primero es que la empresa es responsable de la salud y seguridad de sus empleados y deberá en consecuencia llevar a cabo las medidas de protección que sean precisas, como protocolos de distancia social y provisión de material y equipos de protección, como geles higienizantes. La segunda es que la empresa no deberá recoger datos de salud de todos sus empleados si no hay una necesidad motivada por un riesgo de contagio. La única situación en la que estaría justificado tomar medidas individuales sería el caso en que un empleados avisa por su cuenta de que se ha visto expuesto a contagio, o que podría haber expuesto a contagio a algunos de sus compañeros. Además, las empresas que quieran tomar medidas adicionales y garantizar el estado de salud de sus empleados mediante el establecimiento de condiciones de trabajo individuales deberán basarse en las indicaciones de riesgos laborales, que tendrá competencia exclusiva en la materia.
