Estamos viviendo un momento muy excepcional en todos los sentidos, y en concreto en España estamos actualmente en Estado de Alarma, un estado excepcional que tiene una incidencia directa en todos los ámbitos de nuestra vida persona y profesional. Algunos de nuestros derechos fundamentales pueden verse limitados temporalmente con este estado.
El gobierno puede establecer medidas excepcionales de prevención que implique el tratamiento de datos de los ciudadanos (por ejemplo, medidas de vigilancia que normalmente sería impensables, o medidas de control de salud). Pero ¿sólo el gobierno las debe aplicar?
Muchos empresarios nos han preguntado las medidas que podían imponer en sus empresas para combatir esta crisis sanitaria, y que incidencia tendría en el cumplimiento de la normativa Europea y Nacional relacionada con la protección de datos.
Protección de datos en el teletrabajo
El teletrabajo ha irrumpido en nuestra vida (y por sorpresa) de forma generalizada. Pocas son las empresas que no se han visto obligadas a implementar esta medida con toda o una parte de su plantilla. Muchas empresas han tenido que implantar sistemas de teletrabajo exprés, debido a la irrupción del coronavirus en nuestra sociedad en pocos días. Y muchos nos han preguntado: ¿Qué tengo que hacer para no incumplir la normativa de protección de datos, cuando tengo a parte de mi plantilla tratando la información desde su casa? Ahí van algunas claves:
1.- La primera norma a tener en cuenta es que el sistema que se implante debe ser mediante conexión remota a los servidores donde se almacene la información de la empresa. Si la empresa trabaja con servidores propios deberá establecer medidas para que el empleado, sea desde un portátil de empresa o desde su propio dispositivo, pueda conectarse remotamente cumpliéndose todas las garantías de seguridad (control de acceso, contraseñas, etc.). Debe descartarse la opción de “copiar” la base de datos y llevarse a casa.
2.- En segundo lugar, es imprescindible que se cuente con una correcta formación al empleado en materia de protección de datos, y que aplique los mismos conocimientos trabajando desde casa que trabajando desde la oficina. Es posible que, ante la implantación exprés de los medios de teletrabajo, deba reforzarse dicha información, como por ejemplo enviando un comunicado a los empleados insistiendo en qué medidas debe tener en cuenta trabajando desde casa. Lo importante es que conozca muy bien los protocolos a seguir cuando trabaje con un portátil o un ordenador personal y no es su puesto habitual. Deberá tener unas medidas de seguridad mínimas implementadas (tener activados programas de protección contra ataques externos, contraseña de acceso al sistema, evitar la descarga de ficheros de el disco duro local, conectarse a redes privadas y no públicas, notificar cualquier brecha de seguridad, etc.).
3.- Es posible que las medidas impliquen también el tratamiento de datos del empleado que no se tratan normalmente en circunstancias normales. Deberemos estar seguros de que el trabajador está informado. Por ejemplo, en caso de que trabaje con un portátil de empresa o se le asigne un teléfono móvil, deberá informarse al empleado si ese dispositivo puede estar geolocalizado. También deberemos tener en cuenta los derechos de imagen del empleado si utilizamos medidas como las reuniones por videoconferencia, especialmente si grabamos estas reuniones o captamos imágenes durante las mismas. Lo importante es que el empleado esté correctamente informado de todo tratamiento que se vaya a hacer de esta información.
4.- Por último, es imprescindible que se respeten los derechos digitales de los trabajadores, establecidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), especialmente en lo que se refiere a la desconexión digital fuera del horario laboral y el control de horas de trabajo que se establezca.
Es posible que tengas dudas de si lo has hecho todo bien. En ese caso, plantéate realizar un comunicado por correo donde ofrecer toda la información necesaria al empleado, tanto para garantizar su derecho a la intimidad como para garantizar que los datos que trata el empleado desde casa están bajo un nivel adecuado de protección.
Trabajo presencial: controles sanitarios a los empleados
Otra de las dudas recurrentes ha sido la de aquellas empresas que, por su actividad, siguen con instalaciones operativas y sus empleados (todos o una parte) siguen asistiendo normalmente a su puesto de trabajo.
En estos casos, muchas empresas se plantean la legalidad de establecer mecanismos para controlar el estado de salud de sus empleados como medida de prevención de contagio del coronavirus. Por ejemplo, ¿es posible hacer un cuestionario de salud? ¿Obligar al empleado a tomarse la temperatura? ¿Obligar al empleado a informar de si ha tenido contactos de riesgo recientemente?
El art. 9.1 del RGPD establece la prohibición de tratar datos personales de forma general relativos a la salud. Sin embargo, La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, que aclara el porqué se pueden establecer este tipo de medidas y cómo.
El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general.
El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.
El informe precisa las excepciones recogidas en el art. 9.2. RGPD:
El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.
Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.
En caso de duda, estamos a vuestra disposición, como siempre, en los canales habituales. En este caso, teletrabajando pero operativos al 100%. ¡Consúltanos!
Abogado – Socio de Auris Advocats
DPO-Especializado en Protección de Datos y adaptación al nuevo RGPD