Les dades personals dels treballadors davant del COVID-19. Què poden i què no poden fer les empreses amb les dades dels seus empleats?

El pasado mes de marzo la Agencia Española de Protección de Datos (“AEPD”) publicó un informe y un documento de preguntas y respuestas (FAQs) con ánimo de esclarecer, entre otras cuestiones, qué tratamientos pueden llevar a cabo las empresas en relación con los datos de sus trabajadores para combatir el COVID-19 en sus organizaciones.

La AEPD es contundente y afirma rotundamente que los empleadores pueden tratar información relativa a la salud de sus trabajadores, sin necesidad de obtener su consentimiento, pero establece qué circunstancias deben darse y qué requisitos deben cumplirse para que la lucha contra el COVID-19 en el ámbito laboral sea conforme a la normativa de protección de datos personales.

Veámoslo a continuación:

1.- Cumplimiento de la Ley de Prevención de Riesgos Laborales (“LPRL”) como circunstancia liberatoria ante la prohibición de tratar categorías especiales de datos.
El artículo 14 de la LPRL establece que el empresario tiene el deber de proteger a sus trabajadores frente a los riesgos laborales que pueden originarse con ocasión del desempeño de su trabajo, garantizando su salud y seguridad.

En cumplimiento de este deber, el empresario puede -e incluso debe- tratar los datos de salud de sus empleados para protegerlos del virus COVID-19, siendo esta obligación prevista en la LPRL la circunstancia liberatoria para el tratamiento de dichos datos (artículo 9.2.b) del RGPD -cumplimiento de las obligaciones en el ámbito de Derecho Laboral y de la Seguridad y Protección Social-, en relación con el artículo 6.1.c) del RGPD -cumplimiento de una obligación legal aplicable al responsable del tratamiento-).

El Comité Europeo de Protección de Datos en su DECLARACIÓN SOBRE EL TRATAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL BROTE DE COVID-19.

2.- Tratamientos de datos permitidos en el contexto del COVID-19.
Los tratamientos de datos de salud que la empresa puede realizar de sus trabajadores pueden concretarse en los siguientes:

1. Captación de datos de los empleados
   El empleador debe conocer si el trabajador está infectado o no para diseñar el plan de contingencia frente al COVID-19 que considere más adecuado, con la ayuda del equipo de prevención de riesgos, y de este modo evitar la propagación del virus en su centro de trabajo.
   
   Para ello, el empleador puede formular preguntas a su personal, pero limitadas exclusivamente a la información sobre la existencia de síntomas, o si el empleado ha dado positivo en coronavirus, o si tiene la obligación de cumplir cuarentena. Resulta contrario al principio de minimización de datos circular cuestionarios de salud extensos y detallados, o que incluyan preguntas que no estén estrictamente relacionadas con la pandemia.
    
2. Cesión de datos de empleados a autoridades
   A requerimiento de las autoridades competentes, la empresa puede facilitar a éstas la información de salud recabada de sus trabajadores. Esta cesión debe respetar los principios de limitación de la finalidad del tratamiento y minimización del dato, y siempre en consonancia con las recomendaciones o instrucciones emitidas por las autoridades.
   
   Por ejemplo, si la empresa ha tenido conocimiento de un contagio y puede proteger la salud de sus trabajadores sin especificar la identidad de la persona contagiada (de una forma pseudoanonimizada), entonces debería procederse de ese modo. Y si, por el contrario, con información parcial o con prácticas de pseudoanonimización no se logra proteger la salud de los empleados, o cuando las autoridades competentes (en particular, las sanitarias) aconsejen dar toda la información, entonces la empresa podrá proporcionar los datos identificativos de los empleados contagiados.

3. Obligaciones del trabajador en el contexto del COVID-19.
Del mismo modo, y según el artículo 29 de la LPRL, el trabajador debe velar por su propia seguridad y salud en el trabajo y por la de sus compañeros. Por ello, debe informar inmediatamente a su superior jerárquico, y a los responsables de prevención de riesgos, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores.

Ello se concreta en que el trabajador deberá informar a su empresa (y ésta podrá conocer) si es un sujeto contagiado, o si tiene la sospecha de haber sido contagiado, por el virus a fin de salvaguardar su propia salud y evitar el contagio de los demás trabajadores en el seno de la empresa. Así, el empleador podrá aplicar las medidas oportunas para garantizar unas condiciones de trabajo seguras y que no entrañen riesgos para la seguridad y la salud del personal, en cumplimiento de la LPRL.

La empresa deberá tratar la información personal facilitada por el trabajador afectado conforme al RGPD, aplicando las medidas técnicas y organizativas apropiadas para garantizar un adecuado nivel de seguridad (artículo 32 RGPD).

Por último, la AEPD hace hincapié en que la normativa de protección de datos no debe utilizarse para obstaculizar el cumplimiento de las decisiones ni limitar las medidas que adopten las autoridades competentes (en especial, las sanitarias) en aras de frenar la pandemia del coronavirus.

En todo caso, los tratamientos de datos de salud deben observar los principios establecidos en la normativa de protección de datos, especialmente los relativos a la minimización del dato, limitación de la finalidad y limitación de plazo de la conservación.
 

Barcelona, 2 de abril de 2020
Arnau Ricard Florensa Clavel Abogado. Miembro de la Comisión de Transformación Digital del ICAB.