Las empresas que, cuando se adecuaron al RGPD y restante normativa de protección de datos, no trababan datos de salud y comienzan a tratarlos ahora como consecuencia del #Covid19, deberán plantearse la necesidad de realizar una evaluación de impacto por tratamiento de datos de salud (de trabajadores, visitas y/o clientes).

Toda la información sobre los Datos de salud de trabajadores en el Registro de Actividades del Tratamiento (RAT) servirá para resolver la duda inicial de si la empresa debe o no realizar una evaluación de impacto relativa a la protección de datos (EIPD).

Evaluación de impacto (EIPD): tratamiento datos de salud de trabajadores

Evaluación de impacto (EIPD): tratamiento datos de salud de trabajadores

¿Qué es una Evaluación de impacto (EIPD)?.

Una EIPD es un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, evaluándolos y determinando las medidas para abordarlos.

Las EIPD ayudan a los responsables, no solo a cumplir los requisitos del RGPD y restante normativa en materia de privacidad y seguridad de la información, sino también a demostrar que se han tomado medidas adecuadas para garantizar el cumplimiento de dicha normativa.

Contenido mínimo de una Evaluación de impacto (EIPD)

La EIPD deberá incluir como mínimo (art. 35.7 RGPD):

  • la descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
  • la evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • la evaluación de los riesgos para los derechos y libertades de los interesados.
  • las medidas previstas para afrontar los riesgos.

¿Cuál es el proceso para llevar a cabo una Evaluación de impacto (EIPD).

  • Describir el tratamiento previsto.
  • Evaluar la necesidad y proporcionalidad del tratamiento.
  • Identificar las medidas previstas para demostrar la conformidad del tratamiento.
  • Evaluar los riesgos del tratamiento para los derechos y libertades de los interesados.
  • Establecer las medidas técnicas y organizativas adecuadas para afrontar y minimizar los riesgos.
  • Documentar el proceso y la información relevante resultante de la Evaluación de impacto (EIPD).
  • Llevar a cabo la conveniente supervisión y mejora continua.

Si, una vez realizada la Evaluación de Impacto (EIPD) el tratamiento continúa entrañando un alto riesgo para los derechos y libertades de los interesados, se deberá realizar una consulta a la Autoridad de Control (En España, la Agencia Española de Protección de Datos | AEPD), antes de proceder al tratamiento (art. 36 RGPD).

¿Cuándo se ha de realizar una Evaluación de impacto (EIPD)?

Siendo este el proceso general para identificar si se requiere o no una Evaluación de impacto (EIPD) y para llevarla a cabo, lo cierto es que habrá que atender a la casuística particular de cada empresa, pero más aún si cabe en el caso de una EIPD, ya que conlleva realizar un análisis muy detallado del tratamiento en concreto.

Según el RGPD, se deberá realizar una EIPD previamente a la puesta en marcha de un tratamiento, “cuando sea probable que éstos por su naturaleza, alcance, contexto o fines entrañen un alto riesgo para los derechos y libertades de las personas físicas”.

Debido a la poca concreción de este precepto, la AEPD elaboró un listado de los tratamientos que requieren una EIPD, en el que matiza el criterio del RGPD, estableciendo un total de 11 características, de las cuales, si se manifiestan 2 o más de ellas en el tratamiento, este deberá ser sometido a una EIPD.

  • Tratamientos que impliquen perfilado o valoración de sujetos (art.4.4 RGPD)

Si el tratamiento de los datos se lleva a cabo de forma automatizada para analizar o predecir aspectos relativos a la salud, es muy posible que se trate de un perfilado.

Siguiendo las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 del WP 251, si, por ejemplo, en función de distintos factores, se va a determinar un valor de riesgo de contagio para los trabajadores, categorizándolos en función a ese resultado, podríamos estar frente a un perfilado.

  • Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida, incluyendo las que impidan a un interesado el ejercicio de derechos o el acceso a bienes o servicios o formar parte de un contrato.

Dependerá de cómo se gestionen esas bases de datos (que medios se empleen) y que consecuencias entrañe, por ejemplo, si en base a ello se impide el acceso o la reincorporación al puesto de trabajo, empleando únicamente un programa informático, sin la intervención de un ser humano.

  • Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos a través de redes, aplicaciones o en zonas de acceso público.

No parece a priori que esto se vaya a producir en el entorno laboral, tratándose de medidas que se podrían considerar excesivas y desproporcionadas con la finalidad perseguida,

  • Tratamientos que impliquen el uso de categorías especiales de datos (Art. 4.15 RGPD).

Este supuesto es claro, al tratarse datos de salud de los interesados, incluyendo datos relativos a la prestación de servicios sanitarios.

  • Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física (Art. 4.14 RGPD).

Dependerá efectivamente del tratamiento que se lleve a cabo; sin embargo, por ejemplo, los sistemas de reconocimiento facial y medición de temperatura usarán este tipo de datos, ya que el reconocimiento facial confirma la identificación de una persona a partir de sus características físicas o fisiológicas.

  • Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

No parece a priori, que esto se vaya a producir en el entorno laboral, siendo medidas que se podrían considerar excesivas y desproporcionadas con la finalidad perseguida.

  • Tratamientos que impliquen el uso de datos a gran escala (Considerando 91 RGPD).

Si bien este concepto es bastante indeterminado, dependerá en parte del número de trabajadores que tenga la empresa.

  • Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

Es difícil vislumbrar un supuesto en el que se pudiera dar esta circunstancia, sin que se considere excesiva y desproporcionada con la finalidad perseguida, sobre todo porque, en cuanto, a la finalidad, conllevaría sobrepasar las expectativas razonables del interesado.

  • Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.

Habrá que atender a las particularidades de cada empresa y si, por ejemplo, tienen en plantilla trabajadores con algún grado de discapacidad, víctimas de violencia de género, etc.

  • Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas o con un nuevo objetivo o combinadas con otras, incluyendo la utilización de tecnologías a una nueva escala que suponga un riesgo para los derechos y libertades de las personas.

Dependerá de las tecnologías empleadas en cada caso, atendiendo siempre a los riesgos que estas puedan suponer para los interesados. En virtud de este criterio, aunque en sentido inverso, se deberá tener en consideración la utilización de una tecnología muy anticuada u obsoleta.

  • Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Como se ha comentado con anterioridad, habrá que estudiar las consecuencias de estos tratamientos sobre los interesados, en relación, por ejemplo, a las posibles prestaciones sociales que pudieran percibir o al impedimento a volver al puesto de trabajo.

Ha de tenerse en cuenta que se trata de un listado orientativo y no exhaustivo, y que algunos de sus criterios pueden ser interpretables, por lo que se ha de ser minucioso en su aplicación, no descartándolo a la ligera y teniendo en cuenta que cuantos más criterios se cumplan, mayor riesgo entrañará el tratamiento para el interesado.

De hecho, sería recomendable que las organizaciones realizasen una EIPD sobre estos tratamientos de datos surgidos a raíz del coronavirus (ya que probablemente se den 2 o más de los criterios enumerados) y si no, como mínimo, deberán realizar el análisis de necesidad de EIPD, para determinar su obligatoriedad o en caso contrario, poder argumentar con fundamento porqué se descartó llevarla a cabo.

Si bien lo primordial en esta situación debe ser garantizar la seguridad de los trabajadores en el entorno laboral, como ya se ha venido haciendo con un alto coste económico, no por ello se deben dejar de lado el resto de obligaciones, de manera que se puedan lesionar los derechos y libertades de los trabajadores y acabe suponiendo un coste aun mayor debido a la imposición de una sanción por infringir los preceptos del RGPD

Si desea continuar revisando las tareas inherentes al tratamiento de datos de salud de los trabajadores, le indicamos a continuación las siguientes entradas relacionadas:

Si precisa adecuar su empresa al tratamiento de datos personales de salud de sus trabajadores, no dude en contactar con nosotros, estaremos encantados de ayudarle.

Jorge Martín Simó.