Preguntas frecuentes Protección de Datos ante COVID-19
Ante la pandemia mundial del COVID-19, se han publicado muchas noticias, guías y directrices emitidas por diferentes autoridades competentes relativas al cumplimiento de la normativa de protección de datos personales. Esta profusión de comunicaciones puede suscitar dudas sobre cómo dar cumplimento a las obligaciones legales.
En esta nota intentamos solventar algunas de las cuestiones más comunes que las empresas se están planteando con el objetivo de dar cumplimiento a la normativa de protección de datos frente a esta crisis de salud pública:
¿Debemos dejar de tener en cuenta la normativa de protección de datos?
No, la normativa de protección de datos sigue en plena aplicación.
Así lo ha confirmado la Agencia Española de Protección de Datos en su Informe 0017/2020 sobre el COVID-19 y el Comité Europeo de Protección de Datos.
Estas publicaciones resaltan que el RGPD ya dispone de los mecanismos jurídicos para afrontar el tratamiento de datos personales en el contexto de una pandemia como la que travesamos en el momento.
¿Se pueden llegar a tratar datos personales debido a la pandemia del COVID-19?
Las empresas, como responsables del tratamiento pueden tratar datos personales de sus empleados relativos a: (1) si han padecido síntomas similares a los que provoca el COVID-19, (2) su temperatura corporal, o (3) si un empleado ha sido contagiado por dicho virus.
Toda esta tipología de datos personales son datos de salud considerados de categoría especial o sensibles por la normativa y por ello se deberán aplicar las medidas pertinentes.
¿Debo pedir el consentimiento de los interesados?
La base principal para tratar datos de categoría especial (entre ellos, los de salud) es el consentimiento explícito. No obstante, el RGPD ofrece otras justificaciones como el cumplimiento de obligaciones legales, la protección de intereses vitales del interesado o de otra persona física o la necesidad del tratamiento por razones de un interés público en el ámbito de la salud pública.
En el caso concreto del COVID-19, el Comité Europeo de Protección de Datos resalta que el RGPD permite a los empleadores y a las autoridades sanitarias competentes tratar datos personales en el marco de epidemias sin la necesidad de obtener el consentimiento de los interesados.
¿Debo informar a mis empleados sobre el tratamiento de dichos datos?
Sí, cumpliendo con las exigencias del RGPD, los responsables del tratamiento deberán informar a sus empleados cumpliendo de aquellos tratamientos que necesariamente deban realizar en preservación de la salud del personal y del interés vital.
El momento para facilitar dicha información será cuando se obtengan los datos personales del interesado. En el caso, de que los datos no se hayan obtenido del interesado y los facilite un tercero, se deberá informar tan pronto como sea posible dadas las circunstancias y en cualquier caso dentro de los plazos fijados por el RGPD.
¿Deben las empresas tener en cuenta otros aspectos regulados por la normativa?
Sí. Por ejemplo, muchas empresas con el objetivo de poder dar continuidad a su negocio, proteger a sus empleados y contribuir con las medidas establecidas por las administraciones públicas para detener la amenaza, están optando por ofrecer a sus empleados la posibilidad de continuar trabajando mediante teletrabajo.
En este caso, se recomienda que: (I) se faciliten equipos corporativos a los empleados, (II) se les recuerde que las normas de utilización de dichos equipos continúan siendo aplicables, y (III) se apliquen medidas de seguridad adaptadas a esta nueva situación.
Si de lo contrario no fuera posible facilitar medios corporativos, la compañía deberá valorar si permite el uso de dispositivos personales del empleado para uso profesional y establecer parámetros y normas dado que dicho uso puede entrañar riesgos para proteger la seguridad de la información si no se aplican las medidas adecuadas.
En cuanto a la comunicación de posibles casos de personas afectadas, debería proporcionarse información sin identificar a dichas personas a fin de preservar sus derechos de privacidad. Como ha establecido la AEPD en sus FAQs, únicamente se podría identificar a personas afectadas, si no fuera posible la protección de la salud del personal sin divulgar dicha información o en el caso de que sea requerida por autoridades competentes, en particular las sanitarias.
En este sentido, al realizar la comunicación de personas afectadas, debe recordarse a los destinatarios de dicha información, que la misma solo puede utilizarse a los exclusivos efectos de prevenir nuevos contagios y de adopción de medidas de protección de la salud pero nunca para otro tipo de finalidad que no esté relacionada con la protección vital del personal.