La AEPD analiza si es posible el tratamiento de datos relacionados con el coronavirus en el ámbito laboral
- Autor: Jose Juan Candamio Boutureira
- Materia: Laboral
- Fecha: 02/06/2020

El Considerando (46) del RGPD reconoce que, en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.
«(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano».
Con fecha de 12 de marzo, la Agencia Española de Protección de Datos (AEPD), ha emitido un informe en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19 (N/REF: 0017/2020), recalcando la necesidad de dar cumplimiento de los principios y obligaciones establecidos en el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
Base jurídica para el tratamiento de datos relacionado con control de epidemias y su propagación: ;RGPD y prevención de riesgos laborales frente al Covid-19
Para la Agencia, el empresario esta legitimado para el tratamiento de los datos de salud en virtud del art. 6 del RGPD -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-.
No obstante, tratándose de datos especialmente protegidos, como son los de la salud no basta -asevera la AEPD- con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD ha de existir una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos.
En consecuencia:
«en una situación de emergencia sanitaria como a la que se refiere la solicitud de este informe, es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable».
«en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo».
«se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos».
«los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad».
«Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines».
En paralelo al informe analizado, la AEPD también ha publicado sus respuestas a algunas de las consultas realizadas en relación al cumplimiento de la normativa de protección de datos sobre el tratamiento de datos personales relativos a la salud. En concreto, en respuesta a la pregunta: «¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?», el Organismo responde:
En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.
La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.
Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
Incidencia de la LOPD GDD en el tratamiento de los datos relativos a la salud de los trabajadores.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
Ley Orgánica 15/1999 de 13 de Dic (Protección de Datos de Carácter Personal) DEROGADO
Boletín: Boletín Oficial del Estado Número: 298 Fecha de Publicación: 14/12/1999 Fecha de entrada en vigor: 14/01/2000 Órgano Emisor: Jefatura Del Estado
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional TJUE, 19-04-2022
Orden: Supranacional Fecha: 19/04/2022 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional Nº C-136/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-136/17
-
Sentencia SOCIAL Nº 204/2020, JSO Oviedo, Sec. 1, Rec 49/2020, 14-07-2020
Orden: Social Fecha: 14/07/2020 Tribunal: Juzgado De Lo Social - Oviedo Ponente: Maria Del Pilar Muiña Valledor Num. Sentencia: 204/2020 Num. Recurso: 49/2020
-
Sentencia Supranacional Nº C-272/19, TJUE, 09-07-2020
Orden: Supranacional Fecha: 09/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-272/19
-
Tratamiento de datos con fines de videovigilancia (comunidades de propietarios)
Orden: Administrativo Fecha última revisión: 07/07/2021
El artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales (en adelante LOPDGDD) estipula que las personas (físicas o jurídicas), públicas o privadas, pueden realizar...
-
Clases de operaciones sobre protección de datos realizadas por abogados y procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
Son tratamientos de:Datos relativos al funcionamiento del despacho: contabilidad, videovigilancia en las instalaciones, el personal que desempeñe labores en el despacho...Datos de clientes (también los de turno de oficio), incluyendo aquí también...
-
Obligaciones y deberes en la protección de datos en la comunidad de propietarios
Orden: Administrativo Fecha última revisión: 18/08/2021
La garantía de un ejercicio adecuado de los derechos que correspondan a los comuneros y a los «terceros» en la comunidad, así como un garante del cumplimiento por parte de los propietarios de las obligaciones que le son impuestas en la LPH. Obli...
-
Recogida de datos de las personas trabajadoras sobre revisiones médicas y test psicotécnicos en el ámbito laboral
Orden: Laboral Fecha última revisión: 06/02/2020
El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Modelo informativo de uso de huella digital. Control de registros laboral. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO]Teléfono: [NÚM_TLF] - Correo electrónico: [CORREO_ELECTRÓNICO]Dirección postal: [DIRECCIÓN]Delegado de protección de datos: (1)Asunto: USO DE DATOS BIOMÉTRICOS PARA EL CONTROL LABORAL Att....
-
Modelo de respuesta tras recepción de currículum por e-mail. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
EMAIL DE RESPUESTA A ENVÍO DE CURRICULUM VITAE Muy señor/a mío/a:Por medio del presente acusamos recibo del correo electrónico en el que nos adjunta su currículum vitae y le agradecemos su envío.Asimismo, le comunicamos que los datos por Ud...
-
Modelo general de consentimiento expreso para el tratamiento de dato (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 20/05/2022
Att. D./Dña. [NOMBRE]DNI: [NUMERO] En [LUGAR], a [FECHA]. Muy señor/a mío/a:Le comunicamos que los datos por Ud. facilitados quedan incorporados en el registro interno de actividades de tratamiento, titularidad de [NOMBRE_EMPRESA], con el fin de...
-
Modelo básico de consentimiento para el tratamiento de datos. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO]Teléfono de contacto: [NÚM_TLF]- Correo electrónico: [CORREO_ELECTRÓNICO]Dirección: [DOMICILIO]Delegado de protección de datos: (1)Asunto: CONSENTIMIENTO EXPRESO PARA EL TRATAMIENTO DE DATOS DE CAR...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
Caso práctico: Retirada de contenidos de internet relacionados con violencia de género o menores
Fecha última revisión: 07/06/2022
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 14/12/2022
-
Caso práctico: Consulta a fichero de morosos con motivo de un proceso de selección de personal sin consentimiento del candidato
Fecha última revisión: 07/06/2022
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
PLANTEAMIENTOSe plantea cómo retirar imágenes relacionadas con un episodio de violencia de género cuya difusión en redes sociales no ha sido autorizada.RESPUESTALa imagen es un dato personal [artículo 4, punto 14, del Reglamento (UE) 2016/679 ...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa normativa aplicable a la instalación de cámaras de seguridad es variada: por un lado, es de aplicación la existente en relación con la...
PLANTEAMIENTO¿Es posible consultar si una persona está incluida en un fichero de morosos con base en un proceso de selección de personal sin consentimiento del candidato?RESPUESTALa respuesta es no. Los ficheros de morosos existen con unas finalid...
-
Resolución de AEPD E-08982-2021 del 06-07-2022
Órgano: Agencia Española De Protección De Datos Fecha: 06/07/2022 Núm. Resolución: E-08982-2021
-
Resolución de AEPD PS-00120-2021 del 27-07-2021
Órgano: Agencia Española De Protección De Datos Fecha: 27/07/2021 Núm. Resolución: PS-00120-2021
-
Resolución de AEPD PS-00010-2021 del 30-11-2021
Órgano: Agencia Española De Protección De Datos Fecha: 30/11/2021 Núm. Resolución: PS-00010-2021
-
Resolución de AEPD PS-00052-2021 del 21-01-2022
Órgano: Agencia Española De Protección De Datos Fecha: 21/01/2022 Núm. Resolución: PS-00052-2021
-
Resolución de AEPD PS-00078-2021 del 25-02-2022
Órgano: Agencia Española De Protección De Datos Fecha: 25/02/2022 Núm. Resolución: PS-00078-2021