- 5 marzo 2021
- Posted by: inmentor
- Categoría: blog
Los datos se han convertido en un factor clave para cualquier organización. La capacidad de procesarlos para construir valor resulta fundamental para incrementar la eficacia y eficiencia en la toma de decisiones.
Frente a la grave emergencia de salud pública, la pandemia de coronavirus, las empresas de la UE prepararon e implementaron múltiples medidas para mitigar el impacto social y económico del brote. Una de las medidas fueron los test PCR para identificar la presencia del virus, y los llamados “test rápidos” para identificar la respuesta inmunológica, es decir, la presencia de anticuerpos en la sangre.
A lo que siguieron otras medidas como la pedida de información a los trabajadores sobre sus movimientos y viajes profesionales y personales en los días pasados, hacer averiguaciones sobre lugar de residencia y domicilio e, incluso, analizar esa información para adoptar medidas específicas en relación con personas concretas.
Aunque “para nuestro bien”, estas medidas pueden conllevar preguntas sobre la ponderación entre la privacidad de las personas y la lucha contra esta pandemia.
Es cierto que la situación existente entra de lleno en el ámbito de la excepcionalidad o emergencia, y que la salud pública y el interés general están por encima de los derechos individuales de cada uno en este tipo de situaciones más extremas. Sin embargo, no se puede justificar de forma categórica y absoluta la legitimidad de la pérdida de derecho a la protección de datos de los ciudadanos.
“La normativa de protección de datos no puede ser un obstáculo para la gestión de una emergencia, pero deben respetarse los principios básicos en el tratamiento de datos sensibles” como ha señalado la Agencia Española de Protección de Datos (en adelante, AEPD).
Es necesario tener en cuenta que los datos personales referentes al estado de salud de una persona se consideran como categoría especial (artículo 9 del Reglamento (UE) 2016/679, en adelante RGPD) no obstante, su tratamiento puede ser legítimo en ciertas circunstancias como la necesidad de cumplir obligaciones de prevención y protección de la salud en el ámbito de las relaciones laborales (artículo 9.2.b RGPD), la protección de intereses vitales del interesado o de otras personas (artículo 9.2.c RGPD) o la protección de intereses públicos esenciales (artículo 9.2.g e i RGPD).
A pesar de lo anterior, siempre será necesario cumplir los principios básicos de proporcionalidad, limitación de la finalidad y, sobre todo, minimización.
Consecuentemente, las empresas tienes derecho a realizar pruebas de salud como el PCR a sus trabajadores como medida de prevención. Es más, acorde por ejemplo con la legislación española, están obligados a ello si nos atenemos al artículo 14 de la Ley de Prevención de Riesgos Laborales por el que el empresario debe garantizar la seguridad y la salud de los trabajadores, así como el artículo 22 en la que se les exige “verificar si el estado de salud del empleado puede constituir un peligro para él mismo, para los demás compañeros o para otras personas relacionadas con la empresa”.
La negativa por parte del trabajador a realizar esta práctica se considera como un incumplimiento laboral de acuerdo a esta misma ley (artículo 29.3).
Ahora bien, una vez que el test ha sido realizado, ¿qué pasa con esos datos?
Como ya ha manifestado el Supervisor Europeo de Protección de Datos (SEPD) así como Agencias nacionales de protección de datos, entre ellas, la española AEPD, los datos personales de cualquier empleado infectado deben ser tratados de acuerdo con los principios y garantías establecidos en la normativa de protección de datos y, en particular, garantizando la seguridad, integridad y confidencialidad de la información tratada, y limitando el tratamiento al estricto seguimiento del propósito mencionado anteriormente.
En la práctica, esto se puede llevar a cabo limitando la divulgación de estos datos a las personas que deben tomar las medidas concretas (jefe de departamento, personal clave de Recursos Humanos); eliminar dicha información una vez deja de tener utilidad; o en la medida de lo posible, anonimizar estos datos. Además, solo deben limitarse a la finalidad requerida, es decir, saber si el trabajador está afectado o no.
En segundo lugar, ¿cuánto tiempo debe la empresa conservar esos datos?
En cuanto a los plazos de conservación de estos datos, la empresa debe cumplir con los principios de minimización y exactitud, es decir, asegurar, en la medida de lo posible, que los datos se limiten a lo necesario en relación a los fines para los que son tratados, y que sean exactos y actualizados. De acuerdo con la AEPD, teniendo en cuenta que los datos de salud recopilados mutan con el tiempo, nada justifica su retención más allá del periodo en el que el empleador debe realizar investigaciones relevantes para mitigar los efectos de la propagación del virus dentro de su empresa.
Es indudable que incluso en esta esfera de incertidumbre y emergencia sanitaria se tiene que analizar de forma detenida cómo afectan las medidas adoptadas a la privacidad de las personas y en ningún caso justificar la pérdida de estos derechos.