La protección de los datos personales ante la crisis del COVID-19

Escrito por Carme Setó | Nuevas tecnologías

25/03/2020

Las situaciones excepcionales también tienen respuesta en el ámbito de la privacidad.


Con la crisis del Covid-19 generada en estas últimas semanas, muchos empresarios se han planteado si están legitimados para tratar los datos de salud de sus empleados contagiados por el Covid-19 o con sospechas de contacto con el virus, a los efectos de proteger la salud del resto de empleados y de sus clientes; así como, si el empleado está obligado a comunicar a su empleador su contagio a los efectos de que éste pueda aplicar las medidas más adecuadas de protección para el resto.


En este sentido, no podemos olvidarnos que los datos de salud tienen la consideración de datos de categoría especial conforme el artículo 9 del Reglamento UE 679/2016 de Protección de Datos Personales (RGPD) y, como tales, su tratamiento está limitado a supuestos muy concretos.


Para ello, y tras los criterios publicados por algunas Autoridades de Control europeas, la Agencia Española de Protección de Datos (AEPD) se ha visto en la necesidad de emitir el pasado jueves 12 de marzo un informe jurídico (en adelante, el “Informe”) a los efectos de aclarar las dudas sobre cómo se pueden tratar los datos personales, en especial, los datos de salud, de las personas contagiadas por el Covid-19 o de las que hayan estado en contacto con el virus.


Según el citado Informe se puede llevar a cabo el tratamiento de datos sin el consentimiento del interesado con base a alguna de las siguientes bases legitimadoras previstas en el artículo 6.1 del RGPD:


  • El Cumplimiento de una misión basada en el interés público.

 

  • La protección de los intereses vitales del interesado u otras personas físicas.

 

  • El cumplimiento de una obligación legal que en el caso del empresario supondría la obligación de garantizar la salud e integridad de sus trabajadores conforme la normativa de riesgos laborales. 


No obstante, habida cuenta que en este escenario de crisis sanitaria causada por el Covid-19 nos estamos refiriendo a datos de salud, para que sea posible su tratamiento, junto con alguna de las bases legitimadoras indicadas del artículo 6.1 del RGPD, deberá concurrir alguno de los supuestos excepcionales de tratamiento previstos en el apartado 2º del artículo 9 del RGPD; a saber:


  • El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social: En este caso, la base legitimadora sería el cumplimiento de una obligación legal. En efecto, la normativa de prevención de riesgos laborales, en concreto, la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, prevé por un lado, la obligación del empleador (responsable del tratamiento) de velar por la salud y seguridad de sus empleados (titulares de los datos) en el ámbito laboral y, por otro, la obligación de los propios empleados de velar por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional.

 

A efectos prácticos, el empleado se ve obligado a informar al empresario si ha estado en contacto con el virus Covid-19 por su propia seguridad y salud en el trabajo y por la de los demás empleados del centro de trabajo, a los efectos de que el empleador pueda aplicar las medidas preventivas necesarias.

 

En cualquier caso, y en los términos del artículo 32 del RGPD, el empresario deberá tratar dichos datos conforme al RGPD, debiendo adoptar las medidas oportunas de seguridad y de responsabilidad proactiva por el tipo de tratamiento de los datos afectados.


  • Situaciones de interés público en el ámbito de la salud pública: en este caso, el tratamiento sería lícito por razones de interés público en el ámbito de la salud pública o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado.


  • Cuando el tratamiento es necesario para realizar un diagnóstico médico, evaluación de la capacidad laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social.


  • Protección de intereses vitales: en este caso, el Informe de la AEPD prevé como cláusula de cierre, aquel tratamiento de datos que es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.


Por último, la AEPD pone de manifiesto que- aún ante una situación de emergencia sanitaria- los datos se deben tratar conforme los principios recogidos en el RGPD y en la Ley Orgánica 3/2018 de Protección de Datos personales; en especial, se deberán aplicar los principios de minimización de los datos y de limitación de tratamiento en su finalidad.


Por lo que, en este entorno el responsable del tratamiento deberá tratar los datos estrictamente necesarios y limitados a la finalidad de proteger la salud de los interesados y de los terceros con riesgo de contagio del Covid-19.


Carme Setó

Escrito por:
Carme Setó




< Volver a Noticias

Este sitio web utiliza cookies propias y de terceros para recopilar información estadística sobre tus hábitos de navegación y poder así mejorar y personalizar tu experiencia ofreciéndote contenidos de tu interés. Si sigues navegando, consideramos que aceptas su instalación y uso. Puedes obtener más información en la política de cookiesX