¿Puede tratar un empresario datos de salud de un trabajador ante la emergencia sanitaria del COVID 19?

Protección de datos en el marco de una crisis sanitaria COVID-19

A raíz de algunas consultas que hemos recibido al respecto, acerca de si es posible por parte del empresario tratar los datos personales referentes a la salud de sus trabajadores durante la crisis sanitaria del COVID 19 y qué protocolos debe éste seguir.

En el contexto de emergencia sanitaria, como en el que nos encontramos, a los empresarios se les plantean muchísimos interrogantes: de tipo económico, laboral, de viabilidad futura de sus negocios y empresas ;y como no , cumplir con la legislación de protección de datos respecto de sus trabajadores .

¿Cómo se pueden tratar los datos de salud sus empleados?

¿Tienen derecho a ser informados por el empleado cuando estos estén contagiados por el COVID-19?

¿Los pueden compartir con los diferentes departamentos de la empresa, empresas de riesgos laborales, o con las administraciones públicas competentes?

Decir que , con la finalidad de afrontar esta grave situación de riesgo colectivo sanitario, el Gobierno modificó la ley 3/1986, de 14 de abril, de medidas urgentes en materia de salud pública, mediante el Real Decreto ley 6/2020 de 10 de marzo, de medidas urgentes el ámbito económico y salud pública.

Sin embargo, los datos personales deberán seguir siendo tratados ,conforme al art. 5 del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en relación con el principio de “licitud, lealtad y transparencia” con respecto al interesado,” limitando la finalidad” a salvaguardar sólo el intereses vitales y esenciales de las personas, bajo el principio de “exactitud y minimización” de los datos.

El Reglamento Europeo 679/2019 y la Ley Orgánica 3/2018 ,ya prevén situaciones de emergencia, dónde los intereses vitales y esenciales para la salud pública prevalecerán por encima de aquellas actividades prohibidas expresamente por el art 9.1 de la ley, como por ejemplo los datos de salud.

El considerando (46) del Reglamento Europeo, nos indica que los tratamientos de datos serán lícitos, cuando sean necesarios para la protección de un interés vital, interés público o ejercicio de poderes públicos. Estas podrían ser cuestiones de emergencia humanitaria, epidemias, o catástrofes naturales.

Se podrán tratar los datos personales de los empleados, incluso sin consentimiento de este, siempre que dichos datos estén amparados legalmente:

  1. Para proteger intereses vitales del interesado o de otra persona física, amparado en el art. 6 letra d) del Reglamento UE 679/2016 d).
  2. Cuando el tratamiento, sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento. Art. 9.2 c) del Reglamento UE 679/2016.
  3. El tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, art. 6 letra e) del Reglamento UE 679/2016.
  4. Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros, art 9.2 letra h).
  5. El empresario deba garantizar la seguridad y la salud de los trabajadores a su servicio, en los aspectos relacionados con el trabajo. En el marco de sus responsabilidades, el empresario deberá realizar la prevención de los riesgos laborales mediante la integración de la actividad preventiva en la empresa y la adopción de cuantas medidas sean necesarias para la protección de la seguridad y la salud de los trabajadores, art 14.2 Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
  6. Los empresarios que conozcan hechos, datos o circunstancias que puedan constituir un riesgo o peligro grave para la salud de la población deben poner en conocimiento de las autoridades sanitarias, que deben velar por la protección debida a los datos de carácter personal, art. 9 y 33 de la Ley 33/2011, de 4 de octubre, General de Salud Pública.

Por lo tanto, los datos de salud de los trabajadores, en el caso de que se sospeche que haya sido contagiada por el virus COVID-19, haya estado en contacto con una persona contagiada, o se encuentre en cuarentena:

  • Podrán tratarse los datos, sin consentimiento, para indagar sobre la existencia de síntomas o si la persona ya ha sido diagnosticada.
  • Podrán ser compartidos con las personas, departamentos, empresas de riesgos laborales, o autoridades competentes en la materia.
  • Los empleados tendrán la obligación de comunicarlo a la empresa para evitar contagios no deseados y proteger a los demás empleados.
  • Podrá tomarse la temperatura de los trabajadores, de acuerdo con la Ley de Riesgos Laborales, y esta debería ser tomada por personal sanitario, minimizando los datos y no debiendo mantenerlos más tiempo necesario para la finalidad. Habrá que respetar el derecho al honor y a la intimidad y a la propia imagen, respetando la Ley Orgánica 1/1982, de 5 de mayo, frente a intromisiones ilegítimas.
  • Podrán proporcionarse cuestionarios siempre que estos sean proporcionales y minimizando los datos atendiendo a la finalidad perseguida.
  • No se podrán tratar los datos con ninguna otra finalidad, solo para poder indagar si los empleados están en este colectivo de riesgo y evitar más contagios.
  • Podrán habilitarse cuestionarios respecto de las visitas informando de la zona de dónde procedan y estas pudieran ser de riesgo. En lo posible que evitar las visitas, que no sean indispensables, dado la orden de confinamiento, o cierre de muchos negocios o locales.

Habrá que estar atentos, en cada momento, a lo que las autoridades competentes, especialmente las de sanitad vayan indicando, para que a la vuelta a la normalidad sea segura y estable para todos.

Albert CASAS COROMINAS
Protección de datos y Compliance Penal