Datos personales y coronavirus en el ámbito empresarial

Circular del Departamento Mercantil


Tras el incremento exponencial de casos de coronavirus (o “COVID-19”) en España, y ante las dudas trasladadas por autoridades y empresas sobre cómo tratar los datos personales de los afectados, el pasado 12 de marzo de 2020 la Agencia Española de Protección de Datos (“AEPD”) publicó un informe con ánimo de esclarecer estas dudas surgidas en un contexto de emergencia sanitaria como el que vivimos actualmente.

Entre otras cuestiones, este informe recoge las circunstancias en las que los empleadores pueden tratar información relativa a la salud de sus trabajadores, sin necesidad de obtener su consentimiento. Asimismo, la AEPD ha compartido un documento en un formato de preguntas y respuestas (FAQs) para dar respuesta a las consultas más frecuentes que esta autoridad de control ha recibido por parte de las empresas.

Veámoslas a continuación.

1. Concurrencia de alguna de las circunstancias liberatorias del artículo 9.2 Reglamento General de Protección de Datos (“RGPD”)

Con carácter general, el tratamiento de categorías especiales de datos (como son los datos de salud) está prohibido, salvo que concurra alguna de las circunstancias liberatorias del artículo 9.2 del RGPD.

Asimismo, no basta con que exista dicha circunstancia liberatoria, sino que también se exige la concurrencia de una base jurídica del artículo 6 del RGPD (por ejemplo, un contrato, el cumplimiento de una obligación legal, la protección del interés vital de la persona, entre otros) para el tratamiento de categorías especiales de datos.

Para el caso de tratamientos de datos de empleados realizados por el empresario en el marco de la situación de emergencia sanitaria del COVID-19, éste encuentra el amparo legal necesario en la normativa de prevención de riesgos laborales (artículo 9.2.b) del RGPD – cumplimiento de las obligaciones en el ámbito de Derecho Laboral y de la Seguridad y Protección Social –, en relación con el artículo 6.1.c) del RGPD – cumplimiento de una obligación legal aplicable al responsable del tratamiento).

2. Cumplimiento de la Ley de Prevención de Riesgos Laborales

En efecto, según el artículo 14 y siguientes de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (“LPRL”), el empresario tiene el deber de proteger a sus trabajadores frente a los riesgos laborales que pueden originarse con ocasión del desempeño su trabajo.

Del mismo modo, y según el artículo 29 de la LPRL, el trabajador debe velar por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario.

3. Actuaciones permitidas por la empresa en el contexto del COVID-19

Los tratamientos de datos de salud que la empresa puede realizar de sus trabajadores pueden concretarse en los siguientes:

a. Captación de datos de los empleados

El empleador puede -e incluso debe- conocer si el trabajador está infectado o no para diseñar el plan de contingencia que considere necesario, con la ayuda del personal de prevención de riesgos, y así evitar la propagación del virus en su empresa.

Para ello, el empleador puede formular preguntas a su personal, pero limitadas exclusivamente a la información sobre la existencia de síntomas, o si el empleado ha dado positivo en coronavirus, o si tiene la obligación de cumplir cuarentena.

Resulta contrario al principio de minimización de datos circular cuestionarios de salud extensos y detallados, o que incluyan preguntas que no estén estrictamente relacionadas con la pandemia.

b. Cesión de datos de empleados a autoridades

A requerimiento de las autoridades competentes, la empresa debe facilitar la información de salud recabada de sus trabajadores.

Ahora bien, esta cesión de datos debe llevarse a cabo con respeto a los principios de limitación de la finalidad del tratamiento y minimización del dato, y siempre en consonancia con las recomendaciones o instrucciones emitidas por las autoridades.

Por ejemplo, si la empresa ha tenido conocimiento de un contagio y puede proteger la salud de sus trabajadores sin especificar la identidad de la persona contagiada (de una forma pseudoanonimizada), entonces debería procederse de ese modo. Y si, por el contrario, con información parcial o con prácticas de pseudoanonimización no se logra proteger la salud de los empleados, o cuando las autoridades competentes (en particular, las sanitarias) aconsejen dar toda la información, entonces la empresa podrá proporcionar los datos identificativos de la persona contagiada.

4. Actuaciones permitidas por el trabajador en el contexto del COVID-19

En cumplimiento de la obligación del trabajador de velar por su salud y seguridad y las de sus compañeros (indicada en el punto 2 anterior, párrafo segundo), el trabajador deberá informar inmediatamente a su superior jerárquico, y al departamento de prevención (o a la empresa que se encargue de realizar los servicios de prevención), acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores.

Ello se concreta en que el trabajador deberá informar a su empresa (y la empresa podrá conocer) si es un sujeto contagiado, o si tiene la sospecha de haber sido contagiado, por el virus a fin de salvaguardar su propia salud y evitar el contagio de los demás trabajadores en el seno de la empresa. Así, el empleador podrá aplicar las medidas oportunas para garantizar unas condiciones de trabajo seguras y que no entrañen riesgos para la seguridad y la salud del personal.

La empresa deberá tratar la información personal facilitada por el trabajador afectado conforme al RGPD, aplicando las medidas técnicas y organizativas apropiadas para garantizar un adecuado nivel de seguridad (artículo 32 RGPD).

Por último, la AEPD hace hincapié en que la normativa de protección de datos no debe utilizarse para obstaculizar el cumplimiento de las decisiones ni limitar las medidas adoptadas por las autoridades competentes (en especial, las sanitarias) en aras de frenar la pandemia del coronavirus.

Sin embargo, y en todo caso, los tratamientos de datos de salud que se realicen deben observar los principios establecidos en la normativa de protección de datos, en especial, los siguientes:

  • Minimización del dato: no tratar más datos de los necesarios y estrictamente relacionados con la finalidad de detectar casos de contagio en el seno de la empresa;
  • Limitación de la finalidad: tratar los datos para una finalidad concreta, explícita y legítima, esta es, la detección de casos de coronavirus entre los empleados. Cuando acabe esta situación de emergencia sanitaria, el empleador no podrá tratar los datos de salud de los trabajadores para otras ulteriores finalidades, con excepción de fines relativos a la investigación en el ámbito de la salud que las autoridades puedan establecer; y
  • Limitación de plazo de la conservación: tratar los datos durante no más tiempo del necesario para la finalidad del tratamiento; es decir, según la evolución de los contagios detectados en la empresa, cada empresario deberá ir adoptando sus propias procedimientos internos para bloquear o, en su caso, eliminar la información personal obtenida de cada trabajador; eso sí, siguiendo siempre las recomendaciones e instrucciones que puedan publicar las autoridades competentes, especialmente, las sanitarias, en cada momento.