Circular del Departament Mercantil


Després de l’increment exponencial de casos de coronavirus (o “COVID-19”) a Espanya, i davant dels dubtes plantejats per les autoritats i empreses sobre com tractar les dades personals dels afectats, el passat 12 de març de 2020 l’Agència Espanyola de Protecció de Dades (“AEPD”) va publicar un informe per intentar aclarir aquests dubtes.

Entre altres qüestions, aquest informe explica quan els empresaris poden tractar informació relativa a la salut dels seus treballadors, sense la necessitat d’obtenir el seu consentiment. Així mateix, l’AEPD ha compartit un document en un format de preguntes i respostes (FAQs) per donar resposta a les consultes més freqüents rebudes per part de les empreses, que resumim a continuació:

 

1.Excepcions a la prohibició de tractament de l’article 9.2 del Reglament General de Protecció de Dades (“RGPD”)

Amb caràcter general, el tractament de categories especials de dades (com ho són les dades de salut) està prohibit, llevat que concorri alguna de les circumstàncies que exclouen l’aplicació de l’article 9.2 del RGPD i hi hagi, a més a més, una base jurídica habilitant del tractament, amb fonament en l’article 6 del RGPD (per exemple, l’existència d’un contracte, el compliment d’una obligació legal, la protecció de l’interès vital de la persona, entre d’altres).

En una situació d’emergència sanitària com ho és el COVID-19, el tractament de dades de salut dels empleats troba la cobertura legal necessària en la normativa de prevenció de riscos laborals (article 9.2.b) del RGPD – compliment de les obligacions en  l’àmbit del Dret Laboral i de la Seguretat i Protecció Social –, en relació amb l’article 6.1.c) del RGPD – compliment d’una obligació legal aplicable al responsable del tractament).

2. Compliment de la Llei de Prevenció de Riscos Laborals

Segons l’article 14 i següents de la Llei 31/1995, de 8 de novembre, de Prevenció de Riscos Laborals (“LPRL”), l’empresari té el deure de protegir els seus treballadors davant els riscos laborals que puguin originar-se en el compliment de la seva feina.

D’acord amb l’article 29 de la LPRL, també el treballador ha de vetllar per la seva pròpia seguretat i salut en el treball i per la d’aquelles persones a les quals pugui afectar la seva activitat professional, a causa dels seus actes i omissions en el treball, d’acord amb la seva formació i les instruccions de l’empresari.

3. Actuacions permeses per l’empresa en el context del COVID-19.

Els tractaments de dades de salut que l’empresa pot realitzar dels seus treballadors poden ser els següents:

a. Captació de dades dels empleats

L’empresari pot -i, fins i tot, té l’obligació de conèixer si el treballador està infectat o no a fi de dissenyar el pla de contingència que consideri necessari, amb l’ajuda del personal de prevenció de riscos, i així evitar la propagació del virus a la seva empresa.

Amb aquesta finalitat, l’empresari pot preguntar al seu personal, però limitant-se exclusivament a la informació sobre l’existència de símptomes, o si el treballador ha donat positiu en coronavirus, o si té l’obligació de complir quarantena.

Resulta contrari al principi de minimització de dades fer qüestionaris de salut que incloguin preguntes que no estiguin estrictament relacionades amb la pandèmia.

b. Cessió de dades d’empleats a les autoritats

A requeriment de les autoritats competents, l’empresa ha de facilitar la informació de salut obtinguda dels seus treballadors.

Ara bé, aquesta cessió de dades s’ha de dur a terme respectant els principis de limitació de la finalitat del tractament i de minimització de la dada, i sempre en consonància amb les recomanacions o instruccions emeses per les autoritats.

Per exemple, si l’empresa ha tingut coneixement d’un contagi i pot protegir la salut dels seus treballadors sense especificar la identitat de la persona contagiada (de forma pseudoanonimitzada), llavors s’haurà de procedir d’aquesta manera. I si, al contrari, amb informació parcial, o bé, amb pràctiques de pseudoanonimització no s’aconsegueix protegir la salut dels treballadors, o quan les autoritats competents (en particular, les sanitàries) aconsellin donar tota la informació, llavors l’empresa podrà proporcionar les dades identificadores de la persona contagiada.

4. Actuacions permeses pel treballador en el context del COVID-19

En compliment de l’obligació del treballador de vetllar per la seva salut i seguretat i les dels seus companys (indicada en el punt 2 anterior, paràgraf segon), el treballador ha d’informar immediatament al seu superior jeràrquic, i al departament de prevenció (o a l’empresa que s’encarregui de realitzar els serveis de prevenció), sobre qualsevol situació que, al seu parer, comporti un risc per la seguretat i la salut dels seus treballadors.

Concretament, el treballador ha d’informar la seva empresa (i l’empresa podrà conèixer) si està contagiat pel virus, o si sospita haver-ho estat, per tal de salvaguardar la seva pròpia salut i evitar el contagi dels altres treballadors en el si de l’empresa. Així, l’empresari podrà aplicar les mesures oportunes per garantir unes condicions de treball segures i que no comportin riscos per a la seguretat i la salut del personal.

L’empresa haurà de tractar la informació personal facilitada pel treballador afectat d’acord amb el RGPD, aplicant les mesures tècniques i organitzatives apropiades per garantir un adequat nivell de seguretat (article 32 RGPD).

Per últim, l’AEPD remarca que la normativa de protecció de dades no s’ha d’utilitzar per obstaculitzar el compliment de les decisions ni limitar les mesures adoptades per les autoritats competents (en especial, les sanitàries) amb l’objectiu de frenar la pandèmia del coronavirus.

En qualsevol cas, els tractaments de dades de salut que es realitzin han d’observar els principis establerts a la normativa de protecció de dades, en especial, els següents:

  • Minimització de la dada: no tractar més dades de les necessàries i les estrictament relacionades amb la finalitat de detectar casos de contagis en el si de l’empresa.
  • Limitació de la finalitat: tractar les dades per a una finalitat concreta, explícita i legítima, que no és altra que la detenció de casos de coronavirus entre els treballadors. Quan acabi aquesta situació d’emergència sanitària, l’empresari no podrà tractar les dades de salut dels treballadors per a altres finalitats, amb l’excepció d’aquelles relatives a la investigació en l’àmbit de la salut que les autoritats puguin establir.
  • Limitació del termini de conservació: tractar les dades durant no més temps del necessari per a la finalitat del tractament; sense perjudici de les recomanacions i instruccions que puguin publicar les autoritats en cada moment, especialment, les sanitàries.