La legitimación del tratamiento de datos de salud de los trabajadores durante el Covid-19 debe ser analizada por la empresa como prioridad y antes de iniciar el tratamiento

Desde el punto de vista de la protección de datos, la pandemia #Covid19 ha dado lugar a una situación ya prevista por el legislador, ya que la normativa vigente en materia de privacidad contiene las pautas a las que deben atenerse las empresas para poder llevar a cabo con seguridad jurídica y suficiente legitimación el tratamiento de datos de salud de los trabajadores.

Es por ello que, siempre que se respeten las obligaciones previstas, los riesgos de incumplimiento deberían ser mínimos.

Es más, la AEPD, en un reciente informe sobre los tratamientos de datos en relación con el Covid-19, ya avisa de que “las consideraciones relacionadas con la protección de datos no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común.”

Además, de establecer el plan de acción de adecuación que vamos a tratar en esta serie de artículos, cualquier tratamiento de datos personales que una empresa se plantee llevar a cabo debe tener una causa que lo legitime.

Lo importante en esta situación, tal como anunciábamos, es que muchas empresas que no trataban datos de salud, habían adecuado sus tratamientos a la normativa vigente, considerando que no trataban ningún dato de categoría especial.

Con el tratamiento de los datos de salud debemos tener en cuenta que los mismos se incluyen dentro de la categoría especial de datos personales.

Legitimación del tratamiento de datos de salud de los trabajadores

Legitimación del tratamiento de datos de salud de los trabajadores

Por norma general, el RGPD (Art. 9.1 RGPD) prohíbe el tratamiento de datos personales de las consideradas categorías especiales, salvo que medie el consentimiento expreso del interesado u otras de las excepciones que establecen la legitimación para su tratamiento.

En este caso, la normativa (Considerando 46 RGPD) prevé literalmente la licitud de los tratamientos de datos personales en general, con fines como el control de epidemias y su propagación; y más concretamente, (Considerando 52 RGPD) la autorización para el tratamiento de las categorías especiales de datos personales en el ámbito de la legislación laboral, con fines de supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud, para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria.

Incluso prevé (Considerando 54) la excepción al deber de recabar el consentimiento del interesado (consentimiento que normalmente no se considera válido en el ámbito laboral) para tratar datos personales de categorías especiales cuando sea necesario por razones de interés público en el ámbito de la salud pública, tomando las medidas adecuadas y específicas para proteger los derechos y libertades de los interesados.

Las excepciones que legitiman el tratamiento de datos personales de categorías especiales, sin contar con el consentimiento expreso del interesado, se basan siempre en la necesidad del tratamiento para la consecución de un fin concreto. Y, en concreto, cuando el tratamiento es necesario para:

  • Cumplir con las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral (art. 9.2.b RGPD en relación Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales (PRL)).

El empresario (cuestiones de privacidad aparte) está legalmente obligado a la protección de los trabajadores frente a los riesgos laborales (art. 14.1 Ley PRL), debiendo garantizar su seguridad y salud en todos los aspectos relacionados con el trabajo.

De igual modo, corresponde a cada trabajador (art. 29.1 Ley PRL) velar por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional.

Estas obligaciones actúan de manera bidireccional, ya que legitiman el tratamiento de datos por parte del empresario, en cumplimiento de su deber de garantizar la seguridad y la salud de los trabajadores, a la vez que supone que el trabajador deba comunicar al empresario en caso de que considere que haya estado en contacto con el virus o pueda estar contagiado, con el fin de velar por su propia salud y seguridad, así como la del resto de trabajadores.

  • Fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, realizar un diagnóstico médico, en virtud de un contrato con un profesional sanitario que quede sujeto a la obligación de secreto profesional (art. 2.h RGPD).

De esta manera se legitimarían los análisis y pruebas solicitadas por las empresas para sus trabajadores a centros médicos o laboratorios.

Aunque ya estaban legitimados, en virtud del principio de minimización de datos, se limitaban a un apto/no apto en el caso de los reconocimientos médicos o en caso de baja por enfermedad, sin que fuera necesario detallar la misma. En la situación de crisis sanitaria consecuente con el Covid-19 será legitimo conocer si la dolencia concreta es causada por el Covid-19.

  • Garantizar la salud pública, como interés público esencial que es, como la protección frente a amenazas transfronterizas graves para la salud, o para evitar graves amenazas para la salud y garantizar los niveles de calidad y seguridad de la asistencia sanitaria.

Esta excepción parece circunscribirse al ámbito de la sanidad pública.

Algunas empresas nos han consultado si no sería esta la excepción a aplicar al tratamiento de datos para la tramitación de los ERTE´s al tener que proceder al cierre con el fin de evitar que la empresa se convierta en un foco de contagios, contribuyendo a evitar así la saturación del sistema sanitario. La respuesta debe ser que el cierre en sí mismo y la tramitación de los ERTE´s no conlleva el tratamiento de datos de salud de los trabajadores.

De entre estas excepciones que legitiman el tratamiento de datos de categorías especiales sin necesidad de recabar el consentimiento del interesado, la que más se ajusta al ámbito laboral y mayor seguridad jurídica dará al responsable, es la primera: “Cumplir con las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral” ,  ya que es obligación del empresario, en cumplimiento de una obligación legal, proteger la salud de sus trabajadores en el entorno laboral y, dadas las circunstancias actuales de emergencia sanitaria, parece más que necesario tratar ciertos datos sanitarios del trabajador, para poder garantizar su salud y seguridad, y la del resto de empleados, pudiendo tomar las medidas que considere oportunas para ello.

Para apuntalar la legitimidad de estos tratamientos, la AEPD ha emitido una publicación “FAQ sobre el COVID-19”, en la que literalmente dice que “La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado.”

No obstante, pese a que, como se ha expuesto, la legitimidad de los tratamientos de datos de salud de los trabajadores bajo las circunstancias del coronavirus, queda cubierta por las propias previsiones del RGPD y no sea necesario recabar el consentimiento del interesado, no se deben de dejar de cumplir el resto de obligaciones impuestas a los responsables, resumidas e inspiradas en los principios que deben regir los tratamientos de datos personales (art. 5 RGPD), de entre las que cabe destacar el deber de información, así como el de adoptar las medidas de seguridad oportunas y establecer el tratamiento de datos de salud en el Registro de Actividades del Tratamiento (RAT).

Si desea continuar revisando las tareas inherentes al tratamiento de datos de salud, relacionamos aquí las siguientes entradas relacionadas:

Desde Elece Legal estamos apoyando a las empresas a adecuar sus tratamientos de datos de salud y medidas de seguridad a la normativa aplicable.

No dude en ponerte en contacto con nosotros para obtener una orientación especializada.

Jorge Martín Simó.