Coronavirus Vs Protección de datos. ¿Dispones de un protocolo?

A raíz de las últimas noticias sobre la propagación del Covid-19, son muchas las empresas que están empezando a solicitar una “autodeclaración” de sus empleados con respecto a la ausencia de síntomas vinculados con el virus, tanto propios, como de terceros con los que se relacionen en su esfera privada. Del mismo modo, también se está pidiendo a todos los que accedan a sus establecimientos (visitantes, usuarios, proveedores etc.) que faciliten información sobre la existencia de tales síntomas, así como, sobre los últimos movimientos, viajes y desplazamientos que hayan realizado.

En este sentido, hay consideraciones importantes que las empresas deben tener en cuenta al manejar datos personales en estos contextos, en particular con respecto a los datos de salud y otros datos de carácter confidencial.

¿Cuál es la postura de las Autoridades de Control?

La Agencia Española de Protección de Datos ha emitido un informe en el que indica que, corresponde a cada trabajador informar a la empresa en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas. La empresa estará legitimada para tratar esos datos, en tanto, dicho tratamiento es necesario para el cumplimiento de sus obligaciones y el ejercicio de sus derechos específicos en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b) RGPD).

Por una parte, la Autoridad Irlandesa sostiene que las empresas tienen la obligación legal (art. 9.2.b) RGPD)de proteger la salud de sus empleados y mantener un lugar de trabajo seguro, y por tanto y dadas las circunstancias actuales, estaría justificado el pedir a los empleados y visitantes que informen si han visitado un área afectada y/o están experimentando síntomas

Por su parte, la Autoridad Danesa entiende que, la empresa puede en gran medida registrar y recopilar información (art. 9.2.b) del RGPD) cuando, por ejemplo, un empleado ha regresado de un llamado “área de riesgo”; está en cuarentena domiciliaria (sin indicar el motivo) o/y está enfermo (sin indicar el motivo).

Por el contrario, la Autoridad Italiana y la Autoridad Francesa mantienen una postura más garantista, sosteniendo que, las empresas deben abstenerse de recopilar, a priori y de manera sistemática y generalizada tal información, también a través de solicitudes específicas al trabajador individual o investigaciones no autorizadas, fundamentando que, son los sanitarios y el sistema de protección civil, los responsables de determinar y recopilar la misma (art. 9.2.g)del  RGPD).

Así las cosas, ¿cómo debe actuar la empresa?

Si bien, como se ha indicado, las Autoridades Europeas mantienen criterios diferenciados, sí que establecen una serie de directrices comunes, y es que, la empresa es responsable de la salud y seguridad de los empleados y en este sentido, debe implementar acciones para prevenir riesgos profesionales proporcionando información a través de los medios apropiados. En este contexto, la empresa puede:

  • Invitar a sus empleados a que de forma individual faciliten la información que les concierne en relación con una posible exposición, ante él o ante las autoridades sanitarias competentes (art. 9.2.a) RGPD)
  • Facilitar la transmisión de tal información estableciendo, si es necesario, canales dedicados a estos fines;
  • Promover métodos de trabajo a distancia que, en todo caso, garanticen las medidas adecuadas en cuanto al acceso, la disponibilidad y la confidencialidad.

También es recomendable contar con Protocolo de “Garantía de la Protección de Datos en Situaciones de Emergencia” en el que se detallen todas las medidas para proteger la seguridad y la información personal de los empleados y otros terceros; se identifiquen las actividades esenciales que deben mantenerse, las líneas de actuación en estos casos y también las personas, roles y responsabilidades para dar continuidad al negocio y a los servicios.

La implementación de requisitos más estrictos, como un cuestionario, tendría que tener una sólida justificación basada en la necesidad y la proporcionalidad y en una evaluación del riesgo.

Sin embargo, en aquellos supuestos en los que, se presenten casos sospechosos, la empresa podría registrar:

  • La fecha e identidad de la persona sospechosa de haber sido expuesta;
  • Las medidas organizativas tomadas (aislamiento, teletrabajo, orientación y contacto con el médico del trabajo o/y autoridades competentes, seguridad, etc.)

En todo caso, es importante tener en cuenta que el registro de cualquier información sanitaria debe estar justificado y debe limitarse a lo necesario para permitir que la empresa implemente las medidas de salud y seguridad oportunas.

¿Puede la empresa revelar que un empleado tiene el virus?

No, en aras de mantener la confidencialidad de los datos personales del empleado.

La empresa podría informar al personal que ha habido un caso, o un caso sospechoso en la organización y solicitarles que trabajen desde su casa, pero nunca debe nombrar a la persona afectada.

Área de Tecnología, Innovación y Economía Digital

Post A Comment