Desde la declaración del estado de alarma en nuestro país han sido múltiples las cuestiones que se han planteado acerca de los tratamientos de datos de carácter personal relacionados y derivados de la lucha contra la pandemia provocada por el virus COVID-19. Tanto es así que se elevó consulta ante la Agencia Española de Protección de Datos (AEPD) dando como resultado un clarificador informe 0017/2020, donde nuestra autoridad de control inicia su exposición con una firme aclaración y es que “la normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada”.
Por lo tanto, en base a lo indicado, el Reglamento General de Protección de Datos (RGPD), mantiene su vigencia en las mismas condiciones durante la presente situación de crisis sanitaria, y todo tratamiento de datos de carácter personal deberá cumplir con los principios del tratamiento establecidos en el art. 5 del Reglamento Europeo de Protección de Datos (RGPD) y en los Arts.4 a 10 de la Ley 3/2018, de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD):
- Principio de licitud, lealtad y transparencia, exige que los datos sean tratados de manera lícita, leal y transparente en relación con la persona que se trate, prohibiendo la recogida de datos por medios fraudulentos, desleales o ilícitos.
- Principio de limitación de la finalidad, implica, por una parte, la obligación de que los datos sean tratados con finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
- Principio de exactitud, los datos deben ser exactos y, si fuera preciso, actualizados, debiendo adoptarse todas las medidas razonables para que se rectifiquen o supriman los datos inexactos en relación con los fines que se persiguen.
- Principio de minimización de datos, es decir, que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Principio de “limitación del plazo de conservación”, la conservación de esos datos debe limitarse en el tiempo al logro de los fines que el tratamiento persigue. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados o, al menos, desprovistos de todo elemento que permita identificar a los interesados.
- Principio de “integridad y confidencialidad”, impone a quienes tratan datos la obligación de actuar proactivamente con el objetivo de proteger los datos que manejan frente a cualquier riesgo que amenace su seguridad.
Es importante señalar en este punto, que la protección de datos no pretende ni debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia. Es más, como señala la propia AEPD en el informe de referencia, el propio RGPD contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general.
Entonces, ¿cómo debemos actuar ante las diferentes situaciones que puedan surgir tomando siempre como base el cumplimiento de la normativa vigente?
Como siempre venimos indicando en los artículos que publicamos en este blog, toda vez que se quiera llevar a cabo un tratamiento de datos de carácter personal se ha de contar con una de las bases legitimadoras definidas en el artículo 6 RGPD.
A mayor abundamiento, encontrándonos en este caso concreto ante datos de salud, considerados a efectos de la normativa en materia de protección de datos como “datos especialmente protegidos” o “datos sensibles” no basta únicamente para el tratamiento de estos con una de las bases jurídicas de las tasadas en el mencionado Art.6 RGPD, sino que hemos de atender también a lo expuesto a lo largo del Art.9 RGPD;
En el punto 1 del mencionado artículo 9, encontramos la regla general que indica la prohibición de tratamiento de las categorías especiales de datos, dentro de la que se engloban los datos de salud, por lo cual, para llevar a cabo un tratamiento de este tipo ha de existir una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos.
Por lo anterior y ante la situación excepcional en la que nos encontramos y tal y como se indica en el informe de la AEPD, debe considerarse lícito el tratamiento de datos personales sin consentimiento del interesado en las siguientes situaciones, reconocidas en el Considerando 46 RGPD donde se consideraran bases jurídicas licitas para el tratamiento de datos personales en casos excepcionales:
- Interés público (Art.6.1.e RGPD), como puede ser el control de epidemias y su propagación.
- Intereses vitales del interesado (Art.6.1. d RGPD), en este punto la Agencia aclara en su informe que “no sólo que el interés vital es suficiente base jurídica del tratamiento para proteger al “interesado” como persona física identificada o identificable, sino que dicha base jurídica puede ser utilizada para proteger los intereses vitales “de otra persona física”, lo que por extensión supone que dichas personas físicas pueden ser incluso no identificadas o identificables; es decir, dicha base jurídica del tratamiento (el interés vital) puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados, y ello es reconocido por la normativa de protección de datos personales”.
- Cumplimiento de obligaciones legales en el ámbito laboral (Art.6.1.c RGPD), derivado de situaciones excepcionales, como en la que nos encontramos actualmente.
Por lo tanto, como podemos comprobar, a pesar de la prohibición inicial el propio RGPD a lo largo de su articulado nos va dando las pautas a seguir de tal manera que el tratamiento de datos de carácter personal especialmente protegidos pueda realizarse siempre de manera licita.
Asimismo, cabe añadir que dentro de los criterios expuestos y siempre cumpliendo los preceptos referenciados, la AEPD señala que su pretensión es dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de las obligaciones legales, siempre respetando la normativa legal correspondiente del Estado miembro o de la UE aplicable.
En el caso concreto de España, el legislador ha dotado de las medidas legales necesarias para enfrentarse a situaciones de riesgo sanitario a través de la siguiente normativa:
- Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública; cuyo objeto es proteger la salud pública y prevenir su pérdida o deterioro y en base a la cual las autoridades sanitarias de las distintas Administraciones Públicas podrán, dentro del ámbito de sus competencias, adoptar las medidas previstas en la presente Ley cuando así lo exijan razones sanitarias de urgencia o necesidad.
- Ley 33/2011, de 4 de octubre, General de Salud Pública; esta ley tiene por objeto establecer las bases para que la población alcance y mantenga el mayor nivel de salud posible a través de las políticas, programas, servicios, y en general actuaciones de toda índole desarrolladas por los poderes públicos, empresas y organizaciones ciudadanas con la finalidad de actuar sobre los procesos y factores que más influyen en la salud, y así prevenir la enfermedad y proteger y promover la salud de las personas, tanto en la esfera individual como en la colectiva.
En lo que se refiere a materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado “a las autoridades sanitarias de las distintas Administraciones públicas” (Art. 1 Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública) las competencias para adoptar las medidas necesarias (siempre que se encuentren previstas en dichas leyes) cuando así lo exijan razones sanitarias de urgencia o necesidad. Por lo tanto, atendiendo a la competencia y desde el punto de vista de la protección de datos, la salvaguarda de los intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas.
En conclusión, serán las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando estas supongan un tratamiento de datos personales de salud de personas físicas. Por ejemplo: cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio. Tal y como hemos podido comprobar, la protección de datos, en ningún caso está concebida para ser un obstáculo, y por supuesto mucho menos en la situación actual de crisis sanitaria.
Una vez analizados los puntos más reseñables del informe de la AEPD consideramos óptimo presentaros diferentes escenarios prácticos que, desde el punto de vista de protección de datos, se han vuelto recurrentes en la actualidad:
En las relaciones entre empleador y empleado ¿Está permitido tratar los datos de salud de los empleados que se hubieran contagiado por el virus COVID-19 por parte de la entidad empleadora?
Sí, la entidad podrá realizar el tratamiento de datos personales, de conformidad con la normativa vigente en materia de protección de datos y salud pública, si fuera necesario en interés vital y de salud de las personas y para la adopción de las medidas oportunas por parte de las autoridades competentes de conformidad con el Real Decreto 463/2020. Esto incluye garantizar la salud del resto de trabajadores de la entidad, así como de otras personas físicas que pudieran verse afectados por la enfermedad. Así, la entidad responsable está legitimada para conocer el estado de salud de sus trabajadores e implementar las medidas de seguridad y control sanitarios que considere pertinentes para garantizar el cumplimiento con la normativa en materia de protección de riesgos laborales y salud en el trabajo.
¿Se puede compartir la información sobre el estado de salud de una persona física contagiada con el COVID-19 entre el personal de la entidad?
Sí, se puede mantener la información de un trabajador/a contagiado por la COVID19 siempre que se mantenga la privacidad de la persona física en cuestión, salvo requerimiento expreso de la autoridad sanitaria competente. El tratamiento de esta información deberá cumplir con los principios establecidos en la LOPDGDD, concretamente: limitación y proporcionalidad del tratamiento de acuerdo a la finalidad establecida.
Si se ha confirmado el contagio de un trabajador o este se encuentra en cuarentena ¿tiene el trabajador/a la obligación de informar de dicha situación a la entidad responsable y empleadora?
Sí, todo trabajador/a está obligado a informar a la entidad empleadora de su estado de salud en relación al virus COVID-19 y a comunicar lo antes posible la situación de cuarentena o de asistencia médica relacionada con la enfermedad y, en su caso, al delegado de prevención de riesgos laborales a efectos de implementar por parte de la entidad las medidas oportunas de control y seguridad sanitarios en defensa de la salud del resto de la plantilla de la entidad y, en general, del resto de la ciudadanía.
Si quieres conocer más puntos interesantes al respecto puedes visitar otro de nuestros artículos relacionados pinchando aquí.
Resueltas las cuestiones anteriores y para finalizar, como se puede desprender tanto del informe analizado, como de los distintos puntos de nuestro artículo, los tratamientos de datos de carácter personal que se lleven a cabo en situaciones de emergencia sanitaria han de realizarse de conformidad con la normativa en materia de protección de datos personales (RGPD y LOPDGDD).
