Registrar el tratamiento de los datos de salud en el Registro de Actividades del Tratamiento es una de las obligaciones del responsable del tratamiento.

Tener y mantener un RAT, no debe ser visto como una mera obligación (aunque no deje de serlo – art. 30 RGPD – y es exigible por la autoridad de control), sino que debe entenderse como una herramienta fundamental para identificar los tratamientos de datos que lleva a cabo la empresa, que permitirá establecer los cimientos de un correcto sistema de gestión de datos personales y servirá para cumplir más acertadamente con el resto de requisitos impuestos, entre ellos el propio deber de informar.

Los datos de salud en el Registro de Actividades del Tratamiento

Datos de salud en el registro de actividades del tratamiento

A la hora de incluir los tratamientos de datos de salud surgidos a raíz del Coronavirus en el Registro de Actividades del Tratamiento, deberá registrarse la siguiente información (a parte de sus propios datos de contacto y los del DPO):

  • Finalidad del tratamiento:

Si bien cada empresa deberá delimitarla y ajustarla a sus circunstancias y actividad, a modo genérico se podría establecer que la finalidad va a ser “salvaguardar los intereses vitales/esenciales de las personas físicas”, en particular el garantizar la salud y seguridad de los trabajadores evitando el contagio.

Cabría la opción de que la empresa tuviera por finalidad realizar un análisis de la incidencia del Coronavirus en sus trabajadores, en base al interés legítimo de la empresa en realizar estimaciones o predicciones de afección en su actividad si bien para ello; por un lado, recomendamos hacer un estudio de ponderación que justifique la legitimación en el interés legítimo y; por otro, no identificar a trabajadores individualizados, procurando anonimizar los datos.

En torno a la finalidad del tratamiento, es importante definir el ciclo de vida de los datos. Es decir, identificar las distintas etapas en las que se puede dividir el tratamiento: recogida, clasificación y almacenamiento, su uso y gestión (el núcleo del tratamiento), cesiones, transferencias o encargos (en caso de que los haya) y destrucción, e identificar los medios empleados (tanto digitales como analógicos) en cada una de ellos, buscando asegurar que se cumplen los principios que deben regir el tratamiento de datos personales.

  • Categorías de interesados:

Indudablemente, los interesados van a ser principalmente los trabajadores de la empresa, aunque en muchos casos se va a propiciar también el tratamiento de datos de visitantes o clientes.

Es posible que, si se opta por trasladar cuestionarios a los trabajadores para recabar información, se solicite información sobre terceras personas con las que hayan podido estar en contacto (familiares contagiados o pertenecientes a colectivos de riesgo). En tal caso, nuestra recomendación es que la información sea lo más limitada posible, bastando con que la respuesta se configure en base a un SÍ/NO o tratando de medir el grado de contacto o cercanía, pero evitando siempre la identificación de personas en concreto.

Otro elemento a considerar es si se tratarán datos de individuos pertenecientes a colectivos vulnerables, por ejemplo, en el caso de que la empresa cuente con trabajadores discapacitados, ya que podría influir en la determinación de la necesidad de realizar una evaluación de impacto.

  • Categorías de datos personales:

Esta cuestión dependerá del tratamiento concreto que se lleve a cabo en la empresa. No obstante, más allá de los datos personales meramente identificativos (nombre, DNI…) se tratarán datos relativos a la salud de los trabajadores como categoría de datos especiales (como sintomatología, patologías previas, tratamientos médicos o atención sanitaria recibida recientemente).

Dependiendo de la forma en la que se recoja la información, podrán registrarse datos como la temperatura medida por tecnología termométrica o mediante reconocimiento facial termográfico, en cuyo caso se estarían recogiendo datos biométricos, lo que como explicamos ampliamente en el post Privacidad en el control de acceso termométrico y por reconocimiento facial termográfico, determinaría la necesidad de realizar una evaluación de impacto, entre otras tareas de importancia para obtener la justificación de su proporcionalidad.

  • Categorías de destinatarios:

Independientemente de la tipología de la empresa (si, por ejemplo, pertenece a un grupo de empresas y se ceden los datos entre ellas), se habrá de prestar atención a los requerimientos de las Administraciones Públicas, Fuerzas y Cuerpos de Seguridad del Estado y Autoridades Sanitarias así como la forma en que piden los datos.

  • Transferencias internacionales:

Dependerá de cada empresa y de qué servicios tenga contratados que supongan un encargo de tratamiento (almacenamiento en la nube, asesoramiento de empresas extranjeras), o el tipo de empresa de que se trate (si pertenece a un grupo multinacional), para determinar si se producen estas transferencias fuera de la UE.

  • Plazos previstos para la supresión:

Debe quedar muy claro desde el principio que estos tratamientos de datos son excepcionales y su duración debe ser limitada en el tiempo.

Es muy posible que actualmente no se pueda establecer un plazo exacto de conservación de los datos, pudiendo incluso estar a la normativa sectorial aplicable a la actividad de cada empresa.

Habrá que estar pendientes del desarrollo de los acontecimientos y de los futuros requerimientos por parte de las Autoridades Competentes; sin embargo, sin ser un periodo de tiempo exacto, se podría apelar a la duración de la crisis sanitaria y sus consecuencias como criterio para su determinación.

Lo que es fundamental es que, una vez superada la crisis sanitaria, estos datos sean eliminados en cumplimiento del principio de limitación de la finalidad, o bien bloqueados a disposición del cumplimiento de las obligaciones legales pertinentes; sin perjuicio de la aplicación de otras normativas sectoriales.

  • Medidas técnicas y organizativas de seguridad:

Como en otros apartados, esta cuestión dependerá de cada organización, aunque es muy recomendable implantar medidas como el acceso limitado a los datos (únicamente por parte de RRHH, por ejemplo), la seudonimización de los mismos o el cifrado de los ficheros, archivos o soportes de los datos.

Una cuestión de vital importancia, será identificar los encargos de tratamiento que se van a producir sobre el tratamiento de datos de salud, para poder regularlos mediante contrato y registrarlos con arreglo a la normativa.

A pesar de que cada empresa lo organizará como estime oportuno, se darán encargos comunes en la mayoría de organizaciones como las gestorías que se encarguen de la llevanza de las nóminas, los laboratorios en caso de que encarguen la realización de pruebas o análisis, las aplicaciones que soporten las bases de datos…

Si bien estos son los elementos a incluir obligatoriamente en el RAT, como se ha indicado, cuanta más información se registre acerca del tratamiento y más precisa sea ésta, mejor podrá ser gestionado el tratamiento con menor riesgo.

Si desea continuar revisando las tareas inherentes al tratamiento de datos de salud, relacionamos aquí las siguientes entradas relacionadas:

Si tiene cualquier duda sobre cómo articular la adecuación de su empresa al tratamiento de datos personales de salud, contacte con nosotros, estaremos encantados de ayudarle.

Jorge Martín Simó.