La situación que estamos viviendo no deja indiferente a nada ni nadie. Así, el Coronavirus COVID-19 ha llegado incluso a infectar a la Protección de Datos.
Los datos relativos a la salud de las personas son datos personales sensibles de “categoría especial” cuyo tratamiento, por principio, está prohibido salvo que concurra alguna de las circunstancias relacionadas en el artículo 9.2 del Reglamento General (UE) de Protección de Datos 2016/679 (en adelante RGPD).
En una situación de emergencia de salud pública como la ocasionada por la pandemia del COVID-19, la necesaria ponderación de derechos en conflicto al analizar la licitud para el tratamiento de los datos personales alcanza un estadio de gravedad y excepcionalidad que, necesariamente, ha de favorecer el interés público y la protección
de la salud frente a la privacidad de los individuos, eso sí, siempre respetando los principios de informadores en materia de Protección de Datos como son, entre otros, el de finalidad, minimización y proporcionalidad.
En este marco excepcional que ha provocado la aprobación del Real Decreto 463/2020, de 14 de marzo, de declaración del Estado de Alarma, no parece que haya mucha duda sobre la legitimación de las autoridades públicas para llevar a cabo el tratamiento de datos personales a fin proteger al conjunto de la sociedad en el ámbito de la salud pública. Así el artículo 9.2.i RGPD otorga a las autoridades públicas legitimación para el tratamiento de datos personales de categoría especial, sin consentimiento del interesado, por razones de interés público en el ámbito de la salud pública citándose de manera expresa “la protección frente a amenazas transfronterizas graves para la salud”.
Tampoco deberíamos olvidar que la economía nacional está sufriendo seriamente como consecuencia de la pandemia. Desde esta perspectiva el artículo 9.2.g RGPD permite el tratamiento de datos sobre la salud cuando sea necesario “por razones de un interés público esencial”.
De acuerdo con los principios de licitud y finalidad, el Reglamento nos recuerda que el tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales para otros fines (Considerando 54 RGPD).
Ahora bien, si la legitimación de las autoridades públicas para tratar los datos de salud no ofrece mucha duda en circunstancias como las que nos ocupan, ¿qué sucede con los empresarios que han de lidiar con una eventual infección del COVID-19 por parte de un trabajador o de clientes que puedan acceder a sus instalaciones?
A este último respecto cabría citar como base de licitud para el tratamiento de datos de salud por parte de los empresarios los artículos 9.2.b y 9.2.h RGPD en tanto que el empresario debe cumplir con las obligaciones legales impuestas por la situación de Estado de Alarma y emergencia sanitaria, así como proteger la salud del conjunto de sus
trabajadores. Cualquier persona puede infectar a otra de COVID-19 con extrema facilidad, resultando absolutamente necesario, a fin de poder adoptar las medidas procedentes y en su caso informar a las autoridades, que el empresario conozca los riesgos, actuales y potenciales, de infección de la pandemia en el ámbito de su empresa.
En este contexto entendemos que la legitimación para el tratamiento de datos de salud por razones de un interés público en el ámbito de la salud pública (ex art. 9.2.i RGPD), también resultaría de aplicación a los empresarios.
La Agencia Española de Protección de Datos, como consecuencia de la avalancha de consultas que está recibiendo en este contexto de emergencia de salud pública, ha emitido un comunicado en el que trata de dar respuesta a las preguntas más frecuente que se han recibido.
La Agencia se ha pronunciado sobre si los empresarios pueden tratar la información sobre si sus trabajadores están infectados por el coronavirus, manteniendo que, en aplicación de la normativa en materia sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar dichos datos, siempre con las
garantías recogidas en las nomas mencionadas. El objetivo es garantizar la salud y diseñar a través del servicio de prevención planes de contingencia necesarios o que hayan sido previstos por las autoridades competentes.
La información podrá obtenerse mediante preguntas al propio personal, pero siempre limitándose a indagar únicamente sobre síntomas que tengan que ver con la enfermedad en cuestión, el COVID-19.
Cualquier actividad del empleador deberá respectar el principio de minimización, proporcionalidad y finalidad.
Ahora bien, ¿se puede trasmitir esa información personal al resto de trabajadores de la empresa? La respuesta es afirmativa en el sentido de que sí que se puede comunicar al resto de los trabajadores de que un compañero ha sido contagiado por el coronavirus, pero siempre sin identificar al trabajador en cuestión al tratarse de una información innecesaria para la finalidad perseguida (que todos los empleados estén vigilantes para verificar un eventual contagio). Lógicamente, en caso de que la autoridad competente solicite la identificación del empleado que ha sufrido el contagio, el empresario deberá facilitarla al primar el interés público en el ámbito de la salud sobre la privacidad o anonimato del contagiado.
Y en el caso de haya visitantes ajenos a la empresa, ¿se les puede pedir datos sobre los países en los que hayan estado anteriormente o si presentan sintomatología relacionada con el coronavirus? De nuevo debe primar el derecho a la salud sobre la privacidad. Dado que los empleadores tienen la obligación legal de proteger la salud de
sus trabajadores y mantener el lugar de trabajo libre de riesgo, la petición de dicha información estaría justificada.
Nuevamente, toda la información que se solicite debe respetar el principio de proporcionalidad y limitarse al marco de la crisis sanitaria.
Algo que también parece preocupar mucho a los usuarios que envían sus consultas es si los trabajadores tienen la obligación de informar al empleador de estar afectado por el coronavirus o en caso de cuarentena, y si dichos datos podrán ser tratados.
Sí, los trabajadores que hayan sido afectados, o pudieran estarlo, o estén en aislamiento preventivo en cumplimiento de los protocolos sanitarios deberán ponerlo en conocimiento del empleador y del servicio de prevención o, en su caso de los delegados de prevención. En una situación de normalidad el trabajador en situación de baja por enfermedad no tiene obligación de informar sobre la concreta causa de su baja. Sin embargo, en una crisis como la que nos ocupa, este derecho del trabajador debe ceder sobre el derecho a la protección de la salud del colectivo de los trabajadores y el de toda la población.
En línea con lo que acabamos de decir, para que todas las medidas y decisiones relacionadas con la pandemia sean efectivas, la normativa de protección de datos no podrá suponer un obstáculo. Por lo tanto, el tratamiento de los datos estará permitido para adoptar las medidas necesarias para salvaguardar los intereses vitales de las personas y el interés público, siempre con observancia de los principios establecidos en el RGPD.
Finalmente, la AEPD dispone que se podrá verificar el estado de salud de los trabajadores (como por ejemplo tomar la temperatura) para evitar peligro para ellos mismos, para el resto de trabajadores y otras personas relacionadas con la empresa.
Como vemos, la regla general es que los derechos derivados de la normativa de protección de datos ceden para salvaguardar un fin mayor, garantizar la salud y las medidas sanitarias que deban ser tomadas para solventar esta crisis sanitaria de la forma más rápida y eficaz. Como hemos dicho, esto no implica una carta blanca en el
tratamiento de los datos, pues cualquier tratamiento que se realice deberá respetar los principios consagrados en el RGPD 679/2016 y en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantías de derechos digitales.