REVELACIÓN DE DATOS DE SALUD DE TRABAJADORES SIN CUMPLIR EL RGPD. SANCIÓN DE LA AEPD A UN SINDICATO.

SANCIÓN DE LA AEPD A UN SINDICATO.

Como ya hemos indicado en nuestro blog en anteriores entradas, la protección de datos de carácter personal, en lo que se refiere a las personas físicas, es un derecho fundamental que se encuentra reconocido en los artículos 18.4 de la Constitución española, 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el 16.1 del Tratado de Funcionamiento de la Unión Europa.

A esto hemos de añadirle la normativa específica al respecto:

Antes de comenzar a analizar la resolución de la AEPD sobre la que vamos a centrar el presente artículo, consideramos esencial hacer una aclaración. El artículo 4 del RGPD define los datos personales de una persona como cualquier información relacionada con una persona física identificada o identificable, pero existen dos tipologías de datos:

Datos de carácter personal general

Cualquier dato de carácter personal que no esté contemplado en las categorías de datos especiales, es considerado un dato personal general u ordinario. Los datos de carácter personal ordinarios pueden incluir detalles de identificación personal como nombre y dirección, DNI, teléfono, etcétera.

Datos de carácter personal especialmente protegidos

Los datos de categorías especiales son los datos de carácter personal especialmente protegidos, puesto que revelan información que puede tener impacto sobre los derechos y libertades fundamentales de las personas, pudiendo exponerlas a la discriminación y por ello deben tratarse con mayor cuidado y aplicarse mayores medidas de seguridad.

Estas categorías de datos especiales son, según el artículo 9 RGPD:

  • Afiliación sindical.
  • Datos genéticos.
  • Datos biométricos.
  • Datos relativos a la salud.
  • Origen étnico o cultural.
  • Opiniones políticas, religiosas y filosóficas.
  • Orientación sexual.

Una vez delimitados los extremos tratados, vamos a pasar a analizar el procedimiento sancionador sobre el que versara el presente artículo, PS 00039/2022:

Nos encontramos con un trabajador de una entidad que es positivo en COVID, siguiendo el protocolo establecido al efecto, uno de los sindicatos que ejercen sus funciones en dicha entidad procede, a través de la correspondiente sección sindical, a informar a comités y otros sindicatos, en este caso sin facilitar datos de carácter personal. Al día siguiente, el mismo sindicato, envía un email a terceras personas de la entidad en el que ha dado información sobre datos relativos a la salud, al relacionar el «positivo en Covid-19 de un trabajador del ICHH» con el nombre de «I.I.I.”, esposa del trabajador afectado por Covid-19.

Ante estos hechos el afectado, decide reclamar ante la Agencia Española de Protección de Datos (AEPD), en primera instancia y tras analizarse la documentación que obraba en el expediente, se constató la falta de indicios racionales de la existencia de una infracción en el ámbito competencial de la Agencia Española de Protección de Datos, de conformidad con lo establecido en el artículo 65.2 de la LOPDGDD, por lo que la Directora de la Agencia Española de Protección de Datos acordó no admitir a trámite la reclamación presentada por el reclamante.

Al cabo de un mes de que el reclamante reciba la notificación, decide interponer un Recurso Potestativo de Reposición contra la resolución recaída en su expediente, mostrando su disconformidad. Siendo estimado el recurso del interesado, la AEPD comienza sus investigaciones con las nuevas pruebas aportadas por el interesado, de las cuales se determina interponer al reclamado una sanción de 3.000€.

¿Cuáles son los motivos por los que finalmente la AEPD ha decidido sancionar al sindicato?

“Los datos personales serán: tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

“Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679”

Es considerada como infracción muy grave de los citados preceptos el hecho de que la entidad reclamada (Instituto Canario de Hemodonación y Hemoterapia) haya remitido un correo electrónico en el que se revelan a terceros los datos de carácter personal de la mujer de un trabajador afectado por Covid-19.

“En relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19, en primer lugar, con carácter general, debe aclararse que la normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada.”

Por lo indicado en el informe, a este caso concreto le son de aplicación los principios del RGPD, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos y el de integridad y confidencialidad. El no haber cumplido con esto es uno de los motivos de sanción por parte de la AEPD.

“Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la COVID-19”

Por lo que se entiende la AEPD que la difusión o revelación de datos de salud, al estar considerados éstos como una categoría especial de datos personales, como hemos explicado al inicio del artículo, cuyo tratamiento implica la exigencia de garantías reforzadas, supone un riesgo para la privacidad y los derechos y libertades de los interesados.

Por lo tanto, en base a todo lo expuesto, la conducta examinada por la AEPD es considerada contraria al principio de confidencialidad del artículo 5.1.f) del RGPD, pues a través del envío del correo electrónico se revelaron datos personales de la mujer del reclamante, que aparece en dicho documento relacionada con su nombre y apellidos además de la relación de parentesco que le unía con el mismo. Con ello se podía acceder a datos de salud del reclamante, como era su situación de contagio. Esa información debería/podría haberse proporcionado sin identificar a la persona afectada a fin de mantener su privacidad, máxime cuando se trata dentro de una información tan sensible. Es por ello, que como ya hemos adelantado se decide imponer una sanción del 3.000 € al sindicado reclamado, en virtud del artículo 83.5.a) RGPD.

¿Qué debemos hacer si queremos evitar sanciones en materia de protección de datos en nuestra entidad?

  • Asegúrate de que la información que vas a enviar por correo electrónico está permitida, es decir, si por normativa de protección de datos podemos remitir esa información a terceros, bien porque tenemos el consentimiento del interesado o cualquier otra base de legitimación del artículo 6 RGPD.
  • Si vas a remitir archivos adjuntos, lo más recomendable es que estos vayan cifrados, con algún tipo de contraseña, la cual solo conozcan los destinatarios necesarios, facilitándosela por otro medio distinto.
  • Recuerda utilizar el CCOO (Copia Oculta) antes de dar al botón enviar, pues así evitaremos difusión de correos electrónicos, sean o no corporativos (los cuales según el artículo 19 LOPDGDD son considerados como un dato de carácter personal) de forma innecesaria entre los distintos remitentes.
  • Revisa cautelosamente los destinatarios a quien vayas a enviar dicha información, un simple error en una letra a la hora de escribir el email puede jugarnos una mala pasada.
  • No olvides consultar a tu Delegado de Protección de Datos o empresa experta en materia de protección de datos si tienes alguna duda al respecto, siempre es mejor una previa que una sanción posterior.

Para terminar, si te interesa conocer más información sobre el tratamiento de los datos de carácter personal por parte de los sindicatos puedes visualizar nuestro artículo al respecto pinchando aquí.