La gestión preventiva de la actividad empresarial, tras el impacto de la crisis económica por la emergencia sanitaria por COVID-19 se ha transformado. Fruto de esta transformación se ha puesto el foco en conocer el estado de salud de los trabajadores, colaboradores, proveedores. El tratamiento de estos datos de salud, por tanto deberá de hacerse siguiendo el marco legal en materia de Protección de Datos.
El marco normativo y régimen jurídico en Protección de Datos
La Agencia Española de Protección de Datos se regula por su normativa específica.
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Marco legal que está sujeto a su reglamentación jurídica sancionable. Desde que fuera de obligado cumplimiento en mayo de 2018, el Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) las sanciones impuestas por no cumplir con esta normativa suman más de 7.000 millones de euros en toda Europa. En total, las infracciones en España suman casi 3,8 millones de euros en multa, lo que nos sitúa en el séptimo país en este sentido.
El tratamiento de datos de salud y la Protección de datos.
Tener coronavirus es una enfermedad de declaración obligatoria urgente (según Anexo II del Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica) para evitar contagio. Esta información, tener coronavirus o haber tenido coronavirus, es por tanto, un dato crítico de salud, que se encuentra dentro del alcance de los datos especiales, incluidos en el artículo 9.1 del Reglamento General de Protección de Datos . Más en detalle el RGPD define los datos de salud como los “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (art. 4.15).
El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social
Son dos los principios básicos legislados en materia de deberes en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales:
- El personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
- Los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.
Preguntas sobre coronavirus y protección de datos.
En materia de protección de datos, son múltiples las preguntas que se plantean ante la solicitud y tratamiento de datos de salud en el entorno laboral, necesarios para la contención y prevención del riesgo de contacto. La Agencia Española de Protección de Datos, durante estos meses de pandemia, ha emitido diversos comunicados para informar a las empresas del tratamiento de estos datos, ha elaborado notas informativas y ha impartido webinars. Este artículo realiza una recapitulación de los temas más relevantes, y aquellos que siguen suscitando dudas en su aplicación, en materia de tratamiento de estos datos de salud que siguen siendo la clave para la contención del contagio.
¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?
Para asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población, los empleadores podrán tratar los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes. Todo ello incluye igualmente asegurar el derecho a la protección de la salud del resto del personal.
En el caso de que se realicen preguntas directas al personal, éstas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena.
¿Pueden transmitir la información de contagios al personal de la empresa?
La información debe proporcionarse respetando los principios de finalidad y proporcionalidad y siempre dentro de lo establecido en las recomendaciones o instrucciones emitidas por las autoridades competentes, en particular las sanitarias. Más en concreto, si se puede alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa. En todo caso debería detallarse el procedimiento de comunicación (siendo la identificación la última vida) y hacer partícipe del mismo a todos los empleados
¿Podemos tomar la temperatura de los trabajadores?
El tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.
¿Las empresas pueden hacer pruebas PCR?
La Ley de Prevención de Riesgos Laborales, faculta a las empresas tomar medidas que impliquen la vigilancia del estado de salud de los trabajadores, incluso sin su consentimiento, si se considera que puede suponer un riesgo para el trabajador, sus compañeros u otras personas relacionadas con la empresa.
Es necesario que la empresa disponga de protocolo escrito que justifique la medida y, especifique el proceso y el tratamiento de datos, donde debe quedar claro el cumplimiento de las exigencias del RGPD: Información a los interesados, minimización de datos, supresión de los datos, realización de valoraciones de riesgos previas e, incluso, evaluaciones de impacto.
No obstante, la realización de los test debe realizarse por medio de laboratorios profesionales y, mucho mejor, si se realizan por medio de las de las empresas externas de prevención de riesgos laborales y vigilancia de la salud, que nos ofrecen garantías en el tratamiento de los datos de salud derivados y la confidencialidad de los mismos.