El pasado mes de marzo, la Agencia Española de Protección de Datos (AEPD) publicó un informe y un documento de preguntas y respuestas con ánimo de aclarar, entre otras cuestiones, qué tratamientos pueden llevar a cabo las empresas en relación a los datos de los trabajadores para combatir el COVID-19 en sus organizaciones.

La AEPD es contundente y afirma rotundamente que los empresarios pueden tratar la información relativa a la salud de sus trabajadores, sin necesidad de obtener sus consentimientos, pero establece qué circunstancias tienen que darse y qué requisitos tienen que cumplir para que la lucha contra el COVID-19 en el ámbito laboral respete la normativa de protección de datos personales.

Lo vemos a continuación:

 

  1. Cumplimiento de la Ley de Prevención de Riesgos Laborales (LPRL) como circunstancia que permite evitar la prohibición de tratar categorías especiales de datos.

El artículo 14 de la LPRL establece que el empresario tiene el deber de proteger a los trabajadores ante los riesgos laborales que pueden originarse con ocasión de la realización del trabajo, garantizando su salud y seguridad.

En cumplimiento de este deber, el empresario puede – incluso tiene la obligación – de tratar los datos de salud de sus empleados para protegerlos ante el COVID-19, siendo esta obligación prevista en la LPRL la circunstancia que permite el tratamiento de estos datos (artículo 9.2.b del RGPD cumplimiento de las obligaciones en el ámbito del Derecho de Trabajo y de la Seguridad y Protección Social), en relación con el artículo 6.1.c. del RGPD (cumplimiento de una obligación legal aplicable al responsable del tratamiento).

El Comité Europeo de Protección de Datos en su “Declaración sobre el tratamiento de datos personales en el contexto del brote del COVID-19”.

 

  1. Tratamiento de datos permitidos en el contexto del COVID-19

Los tratamientos de datos de salud que la empresa puede realizar de sus trabajadores pueden concretarse en los siguientes:

            1. Captación de datos de los empleados

El empresario debe conocer si el trabajador está infectado o no para diseñar un plan de contingencia ante el COVID-19 que considere más adecuado, con ayuda del equipo de prevención de riesgos, y así evitar la propagación del virus en su centro de trabajo.

Por este motivo, el empresario puede formular preguntas a su personal, pero limitadas exclusivamente a la existencia de síntomas, o si el trabajador ha dado positivo en coronavirus, o si tiene la obligación de cumplir con cuarentena.

Resulta contrario a primeros de minimización de datos, circular cuestionarios de salud extensos y detallados, o con inclusión de preguntas que no estén estrictamente relacionadas con la pandemia.

            1. Cesión de datos de los empleados a las autoridades

A requerimiento de las autoridades, la empresa puede facilitar a estos la información de salud recogida de sus trabajadores. Esta cesión debe respetar los principios de limitación de la finalidad del tratamiento y minimización de datos, y siempre, de acuerdo con las recomendaciones o instrucciones emitidas por las autoridades.

Por ejemplo, si la empresa ha tenido conocimiento de un contagio y puede proteger la salud de los trabajadores sin especificar la identidad de la persona contagiada (en forma seudonimizada) se tiene que proceder de esta manera. Si, al contrario, con la información parcial o en prácticas de seudonimización no se consigue proteger la salud de los empleados, o cuando las autoridades competentes (en particular, las sanitarias) aconsejan facilitar toda la información, la empresa podrá proporcionar los datos de identificación de los empleados contagiados.

            1. Obligaciones del trabajador en el contexto del COVID-19

En el mismo sentido, y según el artículo 29 de la LPRL, el trabajador debe velar por su propia seguridad y salud en el trabajo, así como por la de sus compañeros.

Por este motivo, debe informar inmediatamente a su superior jerárquico, y al responsable de prevención de riesgos, sobre cualquier situación que, bajo su juicio, implique, por motivos razonables, un riesgo para la seguridad y salud de los trabajadores.

Esta obligación es concreta en cuanto que el trabajador deberá informar a su empresa (y esta podrá conocer) si una persona contagiada, o si tiene la sospecha de haber estado contagiado por el virus, con la finalidad de salvaguardar su propia salud y evitar el contagio del resto de los trabajadores de la empresa. De esta manera, el empresario podrá aplicar las medidas oportunas para garantizar unas condiciones de trabajo seguras y que no supongan riesgos para la seguridad y la salud del personal, en cumplimiento con la LPRL.

La empresa deberá tratar la información personal facilitada por el trabajador afectado, según el RGPD, aplicando las medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad (art. 32 RGPD).

Por último, la AEPD insiste que la normativa de protección de datos no puede ser utilizada para obstaculizar el cumplimiento de las decisiones ni limitar las medidas que adopten las autoridades competentes (en especial las sanitarias) para frenar la pandemia del coronavirus.

En todo caso, los tratamientos de datos de salud han de observar los principios establecidos a la normativa de protección de datos, especialmente los relativos a la minimización de los datos, limitación de la finalidad y la limitación del plazo de conservación de los datos.