Tratamiento de datos respecto al COVID-19

Por 04/01/2021 febrero 24th, 2021 Noticias NETConseil
Tratamiento de datos respecto al COVID-19

Informe 0017/2020 del Gabinete Jurídico de la AEPD

Según el Gabinete Jurídico de la AEPD y en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19, se aplica en su integridad a la situación actual.
La normativa de protección de datos (Reglamento (UE) 2016/679 del Parlamento Europeo relativo a la protección del tratamiento de datos personales, RGPD) contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general.

Por ello, al aplicarse dichos preceptos previstos para estos casos en el RGPD, en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos.

El Considerando 46 del RGPD reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

El Considerando 46 del RGPD establece que, el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Como base jurídica válida para el tratamiento de datos personales, y sin perjuicio de que puedan existir otras bases, como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) del RGPD, (para el empleador en la prevención de riesgos laborales de sus empleados), el RGPD reconoce las dos citadas anteriormente: el art. 6.1.e) la misión realizada en interés público, o el art. 6.1.d) los intereses vitales del interesado u otras personas físicas.

La Agencia Española de Protección de Datos entiende para el tratamiento de datos de salud no basta con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD exista una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos (datos de salud) y que dichas circunstancias se pueden encontrar en varios de los epígrafes del art. 9.2 del RGPD.

Artículo 9.2.b), el empleador está sujeto también a la normativa de prevención de riesgos laborales (Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales) de la cual se desprende que “es deber del empresario la protección de los trabajadores frente a los riesgos laborales”, para lo cual el empresario deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo.

El art. 29 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, establece también obligaciones de los trabajadores en materia de prevención de riesgos, corresponde a cada trabajador velar, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional.

En el ámbito de la situación actual de pandemia derivada del Covid-19, supone que el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo, para que se puedan adoptar las medidas oportunas.

El empleador deberá tratar dichos datos conforme al RGPD, debiendo adoptar las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (art. 32 RGPD).

Artículo 9.2.h), el tratamiento es necesario para realizar un diagnóstico médico, o evaluación de la capacidad de laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social.

Ante estas circunstancias, el RGPD pretende dar la mayor libertad posible a los empleadores para permitirles,  como responsables de tratamiento, adoptar aquellas decisiones necesarias para salvaguardar los intereses vitales de las personas físicas en el cumplimiento de las obligaciones legales.

En aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de vigilancia de la salud en el entorno laboral, los empleadores podrán tratar los datos de sus empleados que sean necesarios para garantizar la salud de todos sus empleados, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o los centros de trabajo, todo ello con las garantías que estas normas exigen.

Los tratamientos de datos personales en estas situaciones de emergencia sanitaria, como se ha mencionado al principio de este informe, siguen siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales), por lo que se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos.

La propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.

El Considerando 54 del RGPD, establece que, el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas.

Origen de la información, Agencia Española de Protección de Datos.

AEPD