#788
Qüestions sobre el tractament de dades per a empresaris i treballadors en relació amb el coronavirus COVID-19
En el context de l’emergència de salut pública derivada de l’extensió del coronavirus, poden sorgir molts dubtes, tant de ciutadans com d’empreses, treballadors i altres subjectes obligats al compliment de la normativa de protecció de dades sobre el tractament de dades personals relatives a la salut. Els empresaris poden tractar la informació de si els treballadors estan infectats del coronavirus? Poden transmetre aquesta informació al personal de l’empresa?… En cas de quarantena preventiva o estar afectat pel coronavirus, el treballador té l’obligació d’informar el seu ocupador d’aquesta circumstància?
En el context de l’emergència de salut pública derivada de l’extensió del coronavirus, poden sorgir molts dubtes, tant de ciutadans com d’empreses, treballadors i altres subjectes obligats al compliment de la normativa de protecció de dades sobre el tractament de dades personals relatives a la salut.
En aquest sentit, l’informem que l’Agència Espanyola de Protecció de Dades (AEPD) està donant respostes a algunes de les consultes que estan començant a sorgir per a subjectes obligats al compliment de la normativa de protecció de dades sobre el tractament de dades personals relatives a la salut.
També l’AEPD, ha publicat, un informe en el qual analitza el tractament de dades de salut en relació amb la crisi provocada per l’epidèmia del coronavirus COVID-19. En aquest informe, estableix que el tractament de dades de salut en diferents àmbits es pot considerar lícit, sotmès al compliment dels principis i obligacions establerts en el Reglament General de Protecció de Dades de la Unió Europea (RGPD).
Vegem algunes d’aquestes qüestions resoltes per l’AEPD:
Els empresaris poden tractar la informació de si els treballadors estan infectats del coronavirus?
En aplicació del que s’estableix en la normativa sanitària, laboral i, en particular, de prevenció de riscos laborals, els ocupadors podran tractar, d’acord amb aquesta normativa i amb les garanties que estableixen, les dades del personal necessàries per garantir la seva salut i adoptar les mesures necessàries adoptades per les autoritats competents, la qual cosa inclou igualment assegurar el dret a la protecció de la salut de la resta del personal i evitar que s’encomanin en el si de l’empresa i/o centres de treball que puguin propagar la malaltia al conjunt de la població.
L’empresa podrà conèixer si la persona treballadora està infectada o no, per dissenyar a través del seu servei de prevenció els plans de contingència que siguin necessaris, o que hagin estat previstos per les autoritats sanitàries.
Aquesta informació també pot ser obtinguda mitjançant preguntes al personal. No obstant això, les preguntes s’haurien de limitar exclusivament a indagar sobre l’existència de símptomes, o si el treballador ha estat diagnosticat com a contagiat, o subjecte a quarantena. Resultaria contrari al principi de minimització de dades la circulació de qüestionaris de salut extensos i detallats, o que incloguin preguntes no relacionades amb la malaltia.
Poden transmetre aquesta informació al personal de l’empresa?
Aquesta informació s’hauria de proporcionar sense identificar a la persona afectada a fi de mantenir la seva privacitat, si bé, es podria transmetre a requeriment de les autoritats competents, en particular les sanitàries.
La informació s’ha de proporcionar respectant els principis de finalitat i proporcionalitat i sempre dins del que s’estableix en les recomanacions o instruccions emeses per les autoritats competents, en particular les sanitàries. Per exemple, si és possible aconseguir la finalitat de protecció de la salut del personal divulgant l’existència d’un contagi, però sense especificar la identitat de la persona contagiada, s’hauria de procedir d’aquesta manera. Si, per contra, aquest objectiu no es pot assolir amb informació parcial, o la pràctica és desaconsellada per les autoritats competents, en particular les sanitàries, es podria proporcionar la informació identificativa.
Es pot demanar als treballadors i visitants aliens a l’empresa dades sobre països que hagin visitat anteriorment, o si presenten simptomatologia relacionada amb el coronavirus?
Amb independència que les autoritats competents, en particular les sanitàries, estableixin aquestes mesures per una qüestió de salut pública i que així ho comuniquin als centres de treball, els ocupadors tenen l’obligació legal de protegir la salut de les persones treballadores i mantenir el lloc de treball lliure de riscos sanitaris, per la qual cosa estaria justificada la sol·licitud d’informació als empleats i visitants externs sobre símptomes o factors de risc sense necessitat de demanar el seu consentiment explícit (RGPD i Llei de prevenció de riscos laborals).
La informació sol·licitada hauria de respondre al principi de proporcionalitat i limitar-se exclusivament a preguntar per visites a països d’alta prevalença del virus i en el marc temporal d’incubació de la malaltia, les últimes 2 setmanes, o si es té algun dels símptomes de la malaltia. Resultaria contrari al principi de minimització de dades la utilització de qüestionaris de salut extensos i detallats, o que incloguin preguntes no relacionades amb la malaltia.
Es poden tractar les dades de salut dels treballadors relacionades amb el coronavirus?
Per complir les decisions sobre la pandèmia de coronavirus que adoptin les autoritats competents, en particular les sanitàries, la normativa de protecció de dades no s’hauria d’utilitzar per obstaculitzar o limitar l’efectivitat de les mesures que adoptin aquestes autoritats en la lluita contra la pandèmia.
La normativa de protecció de dades permet adoptar les mesures que siguin necessàries per salvaguardar els interessos vitals de les persones físiques, l’interès públic essencial en l’àmbit de la salut, la realització de diagnòstics mèdics, o el compliment d’obligacions legals en l’àmbit laboral, inclòs el tractament de dades de salut sense necessitat de comptar amb el consentiment explícit de l’afectat.
En tot cas, el tractament d’aquestes dades ha d’observar els principis establerts en el RGPD, en particular els de minimització, limitació de la finalitat i minimització de la conservació.
En cas de quarantena preventiva o estar afectat pel coronavirus, el treballador té obligació d’informar el seu ocupador d’aquesta circumstància?
Els treballadors que, després d’haver tingut contacte amb un cas de coronavirus, poguessin estar afectats per aquesta malaltia i que, per aplicació dels protocols establerts per les autoritats sanitàries competents, es veuen sotmesos al corresponent aïllament preventiu per evitar els riscos de contagi derivats d’aquesta situació fins que es disposi del corresponent diagnòstic, hauran d’informar el seu ocupador i al servei de prevenció o, en el seu cas, als delegats de prevenció (Llei de prevenció de riscos laborals)
El treballador en situació de baixa per malaltia no té obligació d’informar sobre la raó de la baixa a l’empresa, no obstant això, aquest dret individual pot cedir enfront de la defensa d’altres drets com el dret a la protecció de la salut del col·lectiu de treballadors en situacions de pandèmia i, més en general, la defensa de la salut de tota la població.
El personal de seguretat pot prendre la temperatura als treballadors amb la finalitat de detectar casos de coronavirus?
Verificar si l’estat de salut dels treballadors pot constituir un perill per a ells mateixos, per a la resta del personal, o per a altres persones relacionades amb l’empresa constitueix una mesura relacionada amb la vigilància de la salut dels treballadors que, conforme a la Llei de prevenció de riscos laborals, resulta obligatòria per a l’ocupador i hauria de ser realitzada per personal sanitari.
En tot cas, el tractament de les dades obtingudes a partir de les preses de temperatura ha de respectar la normativa de protecció de dades i, per això i entre altres obligacions, ha d’obeir a la finalitat específica de contenir la propagació del coronavirus, limitar-se a aquesta finalitat i no estendre’s a altres diferents, i mantinguts no més del temps necessari per a la finalitat per a la qual es recapten.
Informe de l’AEPD sobre el tractament de dades de salut
Com ja hem comentat, l’AEPD ha publicat, amb data de 12 de març, un informe en el qual analitza el tractament de dades de salut en relació amb la crisi provocada per l’epidèmia del coronavirus COVID-19. En aquest informe, estableix que el tractament de dades de salut en diferents àmbits es pot considerar lícit, sotmès al compliment dels principis i obligacions establerts en el RGPD.
Perquè el tractament de les dades de salut sigui lícit, aquest tractament s’ha de realitzar en virtut d’alguna de les bases legitimadores de l’article 6 del RGPD com, per exemple, el compliment d’una obligació legal o la defensa d’interessos vitals. A més, tractant-se de dades especialment protegides, segons indica l’AEPD, els responsables del tractament, entre els quals es troben les empreses, hauran d’emparar el tractament de dades de salut en alguna de les següents bases legitimadores de l’article 9 del RGPD:
Que el tractament sigui necessari per al compliment d’obligacions i l’exercici de drets específics del responsable del tractament o de l’interessat en l’àmbit del dret laboral i de la seguretat i protecció social (article 9.2.b del RGPD).
Per poder emparar el tractament de dades de salut en aquesta base legitimadora, aquest tractament ha d’estar establert en la normativa espanyola. En aquest sentit, l’AEPD indica que les empreses poden tractar les dades de salut dels treballadors si aquestes dades són necessàries per al compliment de la normativa de prevenció de riscos laborals.
Sense perjudici de l’anterior, l’AEPD no aclareix si l’empresa pot sol·licitar aquesta informació directament als treballadors (actuació activa) o si l’empresa només pot tractar les dades personals de salut si els treballadors els proporcionen voluntàriament (actuació reactiva).
Que el tractament sigui necessari per raons d’interès públic essencial o per raons d’interès públic en l’àmbit de la salut pública [article 9.2. g) i i) del RGPD].
Per poder emparar el tractament de dades de salut en aquesta base legitimadora, aquest tractament ha d’estar establert en la normativa espanyola. En aquest sentit, l’AEPD aclareix que, en la legislació espanyola, les responsabilitats en defensa de l’interès públic essencial o en l’àmbit de la salut pública corresponen a les autoritats sanitàries i als centres de salut.
Per aquest motiu, tal com indica l’AEPD, les empreses només poden emparar el tractament de dades personals de salut en aquesta base legitimadora, si el tractament de les dades personals de salut és realitzat seguint les instruccions de les autoritats competents (per exemple, per informar que una persona ha estat en contacte amb un company de treball contagiat de coronavirus -si bé, en la nostra opinió, no s’hauria d’informar la resta de treballadors de la identitat de l’empleat contagiat-).
Que el tractament sigui necessari per a finalitats de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d’assistència o tractament de tipus sanitari o social (article 9.2.h del RGPD).
En aquest cas, les dades de salut han de ser tractades per un professional de la salut. Per aquest motiu (encara que l’AEPD no l’indica expressament), cal interpretar que el tractament de dades de salut emparat en aquesta base legitimadora, només pot ser realitzat pel servei mèdic de les empreses, a més dels professionals mèdics en centres de salut i hospitalaris.
Que el tractament de les dades de salut sigui necessari per protegir l’interès vital de l’interessat o d’una altra persona física quan l’interessat es troba físicament o jurídica incapacitat (article 9.2.c del RGPD).
Així mateix, en el citat informe, l’AEPD indica que (i) cada responsable del tractament (entre ells, les empreses) ha d’analitzar quina de les citades bases legitimadores els resultaria d’aplicació, (ii) les dades sobre la salut s’han de tractar únicament per a la finalitat recaptada, en aquest cas concret, la gestió de la crisi del coronavirus.
Finalment, l’AEPD recorda que el tractament de dades de salut ha de respectar la resta de principis establerts en el RGPD, com el principi de limitació del tractament o el principi de minimització de dades, de manera que no es recaptin més dades personals que els estrictament necessaris ni s’utilitzin per a altres finalitats o més enllà del temps més curt possible.
Les agències de protecció de dades del Regne Unit i de França, entre altres països, s’han pronunciat també referent a aquesta situació, amb un mateix element en comú en ambdues, la necessitat de limitar al màxim el tipus de dades que es recapten i les finalitats, recomanant que, en la mesura que sigui possible, no es recaptin dades personals de salut si existeixen altres mitjans menys invasius per a la mateixa finalitat (per exemple, que en lloc de preguntar símptomes als treballadors, se’ls informi que si han estat en zones de risc o presenten símptomes han d’acudir a un servei mèdic).
Vegeu l’informe de l’AEPD: https://www.aepd.es/es/documento/2020-0017.pdf
Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que puguin tenir sobre aquest tema.