El acceso y uso de datos de salud de empleado en caso de emergencia sanitaria
Nos encontramos ante un escenario fuera de lo habitual marcado por una emergencia sanitaria declarada pandemia por la OMS a causa del COVID-19 y eso inevitablemente plantea una serie de preguntas en materia de protección de datos:
- ¿Cómo se protegen estos derechos cuando se compartan los datos a través de las fronteras y con los ciudadanos?
- ¿Qué ocurre con la información recogida una vez que termine esta crisis?
- ¿Pueden las empresas pedir a sus empleados que proporcionen información sobre su salud, los países que han visitado y las personas con las que han estado en contacto?
- ¿Pueden los trabajadores ejercer su derecho de acceso en relación al uso de sus datos en este tipo de situaciones
¿Qué dice el RGPD?
El Reglamento General de Protección de Datos (RGPD) contiene disposiciones que protegen los datos «sensibles». Entendemos por datos «sensibles»:
- Datos personales que revelan el origen racial o étnico de una persona física
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos o los datos biométricos
- Datos relativos a la salud y a la orientación sexual
El tratamiento de este tipo de datos está generalmente prohibido, siempre que se no cumpla al menos una de las condiciones enumeradas en el párrafo 2 del artículo 9 del RGPD o las excepciones previstas en otras leyes nacionales.
Una de las exenciones del RGPD es que la persona haya dado su consentimiento «explícito» para el procesamiento. Las consecuencias jurídicas de obtener el consentimiento explícito y poder demostrar que éste fue dado libremente son elevadas.
El apartado g) del párrafo 2 del Artículo 9 del GDPR permite el tratamiento de este tipo de datos cuando sea necesario por razones de interés público importante. Un ejemplo de ello sería claramente cuando existe la necesidad de protegerse contra graves amenazas transfronterizas para la salud.
Es por ello por lo que es más que probable que los gobiernos reúnan e intercambien datos en masa. Partiendo de la base que el intercambio de datos es un instrumento importante y primordial para ayudar al mundo a reducir la propagación y los efectos de este virus, es necesario hacerlo de manera correcta para asegurar que continuemos protegiendo la privacidad y los derechos de las personas.
Como consecuencia de todo ello la AEPD publicó el pasado 12 de marzo un informe sobre el tratamiento de datos en relación con el COVID-19 que puedes leer aquí
Desde Metricson respondemos a algunas dudas sobre el tratamiento y uso de datos sensibles:
¿Compartir datos ha ido demasiado lejos?
Los datos deben ser compartidos para ayudarnos a combatir este virus, pero debe hacerse de la manera correcta y no ser demasiado intrusiva. Las medidas adoptadas por los gobiernos deben de ser aunque estemos en un marco extraordinario, lo más ajustadas posibles dentro de las circunstancias y deben tener unas finalidades limitadas y no dar “patente de corso” a dichos gobiernos para utilizar esa información como consideren en el futuro. Ello nos lleva a pensar que deberemos revisar las actuaciones realizadas por todos una vez esta situación se normalice y racionalice.
Las personas a su vez también necesitan ser racionales y no reaccionar de forma exagerada, de lo contrario esto llevará a que los individuos se escondan por miedo, lo que tendrá un impacto negativo en los intentos de contener el virus y compartir la información relevante de forma oportuna.
¿Pueden los empleadores hacer preguntas o recabar información sensible?
Surge la duda de si las empresas pueden pedir a los empleados que proporcionen información como, por ejemplo, si están experimentando síntomas, dónde han viajado o si han estado con otras personas contagiadas.
Es probable que pudiera justificarse una solicitud de información de esta índole para ayudar a proteger tanto al personal como a su empresa. Sin embargo, los empleadores deben asegurarse de que lo hacen de manera que no equivaliera a discriminación o acoso. Por ejemplo, pidiendo sólo a ciertos sectores de la población de empleados.
Cuando una organización solicita información a su personal, debe hacerlo de acuerdo con los requisitos de las leyes de protección de datos pertinentes y:
- Sólo recoger y procesar datos personales para un propósito legítimo, legal, necesario y específico;
- Informar a los empleados del propósito o propósitos de la recolección de estos datos, el alcance de la recolección de datos y su uso previsto,
- Obtener el consentimiento explícito cuando esto sea aplicable,
- No reúnan datos personales irrelevantes ni utilicen los datos para cualquier otro fin que por la razón que se haya reunido
- Garantizar la aplicación de buenas medidas técnicas y de cualquier otra índole necesarias para garantizar la seguridad de los datos personales recogidos y evitar que se divulguen, dañen o pierdan.
¿Puede el empleado solicitar su derecho de acceso y pedir que se le informe a quién se han cedido sus datos debido a esta crisis?
Es un derecho legítimo del empleado solicitar derecho de acceso en virtud de lo indicado en el art.15 del GDPR. Asimismo, el apartado 2 del mismo artículo 15 indica que cuando los datos se ceden a terceros países u organizaciones internacionales el empleado tendrá derecho a ser informado aparte de lo indicado en el apartado 1, de las garantías aplicadas a dicha cesión.
Por tanto, y siempre en la medida de lo posible el empleador deberá informar de a quién, de que manera y sobre qué base legal ha cedido los datos de sus empleados.
Otro aspecto será ver en que plazo puede responder a dicha petición puesto que las circunstancias excepcionales en las que nos encontramos, el plazo de 1 mes podría ser ampliado de forma justificada siempre que el empleador justificara dificultades reales para la obtención de la información necesaria.