Les dades personals dels treballadors davant del COVID-19. Què poden i què no poden fer les empreses amb les dades dels seus empleats?

El passat mes de març, l’Agència Espanyola de Protecció de Dades (AEPD) va publicar un informe i un document de preguntes i respostes amb ànim d’aclarir, entre d’altres qüestions, quins tractaments poden portar a terme les empreses en relació a les dades dels treballadors per combatre el COVID-19 en les seves organitzacions.

L’AEPD és contundent i afirma rotundament que els empleadors poden tractar informació relativa a la salut dels seus treballadors, sense necessitat d’obtenir  el seu consentiment, però estableix quines circumstàncies han de donar-se i què requisits han de complir per tal que la lluita contra el COVID- 19 a l’àmbit laboral respecti la normativa de protecció de dades personals.

Ho veiem a continuació:

1.- Compliment de la Llei de Prevenció de Riscos Laborals (LPRL) com a circumstància  que permet evitar la prohibició de tractar categories especial de dades.
L’article 14 de la LPRL estableix que l’empresari té el deure de protegir als treballadors davant dels riscos laborals que poden originar-se amb ocasió de la realització del treball, garantit la seva salut i seguretat.

En compliment d’aquest deure, l’empresari pot -inclús, té obligació- de tractar les dades de salut dels empleats per protegir-los del COVID-19, sent aquesta obligació prevista a la LPRL la circumstància que permet el tractament d’aquestes dades (article 9.2.b del RGPD compliment de les obligacions a l’àmbit del Dret del Treball i de la Seguretat i Protecció social), en relació amb l’article 6.1.c. del RGPD (compliment d’una obligació legal aplicable al responsable del tractament).

El Comitè Europeu de Protecció de Dades en la seva 'Declaració sobre el tractament de dades personals en el context del brot COVID-19'.

2.- Tractament de dades permesos en el context del COVID-19
Els tractaments de dades de salut que l’empresa pot realitzar dels seus treballadors poden concretar-se en els següents:

1. Captació de dades dels empleats.
   L’empleador ha de conèixer si el treballador està infectat o no per dissenyar el pla de contingència davant del COVID-19 que consideri més adequat, amb l’ajuda de l’equip de prevenció de riscos, i així evitar la propagació del virus en el seu centre de treball.
   
   Per aquest motiu, l’empleador pot formular preguntes al seu personal, però limitades exclusivament a l’existència de símptomes, o si el treballador ha donat positiu en coronavirus, o si té l’obligació de complir amb quarantena. Resulta contrari al principi de minimització de dades circular qüestionaris de salut extensos i detallar, o amb inclusió de preguntes que no estiguin estrictament relacionades amb la pandèmia.
    
2. Cessió de dades d’empleats a autoritats.
   A requeriment de les autoritats, l’empresa pot facilitar a aquestes la informació de salut recollida dels seus treballadors. Aquesta cessió ha de respectar els principis de limitació de la finalitat del tractament i minimització de dades, i sempre, d’acord amb les recomanacions o instruccions emeses per les autoritats.
   
   Per exemple, si l’empresa ha tingut coneixement d’un contagi i pot protegir la salut dels treballadors sense especificar la identitat de la persona contagiada (en forma pseudo-anonimitzada) s’ha de procedir d’aquesta forma. Si, al contrari, amb la informació parcial o amb pràctiques de pseudo-anonimització no s’aconsegueix protegir la salut dels empleats, o quan les autoritats competents (en particular, les sanitàries) aconsellen donar tota la informació, l’empresa podrà proporcionar les dades d’identificació dels empleats contagiats.

3.- Obligacions del treballador en el context del COVID-19
En el mateix sentit, i segons l’article 29 de la LPRL, el treballador ha de vetllar per la seva pròpia seguretat i salut en el treball i per la dels seus companys. Per aquest motiu, ha d’informar immediatament al seu superior jeràrquic, i al responsable de prevenció de riscos, sobre qualsevol situació que, al seu judici, impliqui, per motius raonables, un risc per a la seguretat i la salut  dels treballadors.

Aquesta obligació es concreta en que el treballador haurà de informar a la seva empresa (i aquesta podrà conèixer) si és una persona contagiada, o si té la sospita d’haver estat contagiat pel virus, amb la finalitat de salvaguardar la seva pròpia salut i evitar el contagi de la resta de treballadors en el si de l’empresa. D’aquesta forma, l’empleador podrà aplicar les mesures oportunes per garantir unes condicions de treball segures i que no suposin riscos per a la seguretat i la salut del personal, en compliment de la LPRL.

L’empresa haurà de tractar la informació personal facilitada pel treballador afectat, segons el RGPD, aplicant les mesures tècniques i organitzatives apropiades per garantir un adequat nivell de seguretat (art. 32 RGPD).

Per últim, l’AEPD insisteix que la normativa de protecció de dades no pot ser utilitzada per obstaculitzar el compliment de les decisions ni limitar les mesures que adoptin les autoritat competents (en especial les sanitàries) per tal de frenar la pandèmia del coronavirus.

En tot cas, els tractaments de dades de salut han d’observar els principis establerts a la normativa de protecció de dades, especialment els relatius a la minimització de les dades, limitació de la finalitat i limitació del termini de conservació de les dades.
 

Barcelona, 2 d'abril de 2020
Arnau Ricard Florensa Clavel, advocat. Membre de la Comissió de Transformació Digital de l'ICAB.