La AEPD analiza si es posible el tratamiento de datos relacionados con el coronavirus en el ámbito laboral

El Considerando (46) del RGPD reconoce que, en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

«(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano».

Con fecha de 12 de marzo, la Agencia Española de Protección de Datos (AEPD), ha emitido un informe en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19 (N/REF: 0017/2020), recalcando la necesidad de dar cumplimiento de los principios y obligaciones establecidos en el Reglamento General de Protección de Datos de la Unión Europea (RGPD).

Base jurídica para el tratamiento de datos relacionado con control de epidemias y su propagación: ;RGPD y prevención de riesgos laborales frente al Covid-19

Para la Agencia, el empresario esta legitimado para el tratamiento de los datos de salud en virtud del art. 6 del RGPD  -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-.

No obstante, tratándose de datos especialmente protegidos, como son los de la salud no basta -asevera la AEPD- con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD ha de existir una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos.

En consecuencia:

«en una situación de emergencia sanitaria como a la que se refiere la solicitud de este informe, es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable».

«en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo».

«se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos».

«los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad».

«Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines».

En paralelo al informe analizado, la AEPD también ha publicado sus respuestas a algunas de las consultas realizadas en relación al cumplimiento de la normativa de protección de datos sobre el tratamiento de datos personales relativos a la salud. En concreto, en respuesta a la pregunta: «¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?», el Organismo responde:

En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.

La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.

Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

Incidencia de la LOPD GDD en el tratamiento de los datos relativos a la salud de los trabajadores.

Recomendaciones de la Agencia Española de Protección de Datos (AEPD) ante el Teletrabajo motivado por el Covid-19.