fbpx

Privacidad y Protección de datos COVID-19

Comentarios en relación con tratamientos de datos personales, cámaras térmicas y medición de temperatura en el marco de la gestión del COVID-19

Tribuna
Daniel López Carballo

Mediante la utilización de estas tecnologías, ¿existiría un tratamiento de datos personales?

La definición de dato personal incluye cualquier información que identifique o haga identificable a una persona, por lo que, si el sistema no permite la identificación de la persona, más allá de conocer su temperatura corporal, a priori, no habría tratamiento de datos personales.

Para la determinación de si existe tratamiento de datos, debemos tener en cuenta si el sistema de detección de temperaturas es combinado con otros mecanismos (sistemas de videovigilancia, por ejemplo) que pudieran hacer identificable a la persona.

A mayor abundamiento, atendiendo a quién vaya dirigida la medida, puede darse una identificación personal, por ejemplo, en el caso de empleados. En este caso si nos encontraríamos ante un tratamiento de datos personales.

¿Qué cuestiones deben ser analizadas para la legitimación del tratamiento para empleados y proveedores?

Debemos recordar que nos encontramos ante datos de salud (tanto la temperatura corporal como posibles síntomas de fiebre), considerados dentro de las categorías especiales de datos, por lo que, de conformidad con el artículo 9.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, partimos de una prohibición de tratamiento de aquellos datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

Así las cosas, de cara a poder legitimar el tratamiento, deberemos analizar si concurre algua una de las circunstancias expuestas en el artículo 9.2, así como las establecidas en el artículo 6 del citado Reglamento.

En este sentido, conforme indica el Comité Europeo de Protección de Datos, el tratamiento analizado, podría encuadrarse dentro de dichas excepciones a la prohibición general, en concreto, “cuando sea necesario por razones de interés público sustancial en el área de la salud pública (Art. 9.2.i), sobre la base de la legislación nacional o de la Unión, o cuando exista la necesidad de proteger los intereses vitales del interesado (artículo 9.2.c), ya que el considerando 46 se refiere explícitamente al control de una epidemia”.

El Considerando 46 del Reglamento Europeo establece que, “en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física”.

Mismo sentido en el que el legislador europeo se pronuncia en el Considerando 54 del citado Reglamento Europeo, donde se establece que “el tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.

Adicionalmente, en relación con la legitimación del tratamiento, deben tenerse en cuenta otros aspectos, como los recogidos en el artículo 9.2. b) “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado” y h) “el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas (…)”, todo ello en conexión con el 6.1.c), es decir, que “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

Y, es que el propio Estatuto de los Trabajadores, reconoce, tanto el derecho de los trabajadores a una protección efectiva de la salud y una prevención de riesgos laborales adecuada, así como la obligación de acatar instrucciones de la empresa en este sentido, pudiendo, en caso de incumplimiento, imponerse las sanciones recogidas en la citada norma.

En este marco, en relación con los empleados, el tratamiento de datos analizado, tendría cabida en el marco de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, que establece en su artículo 14 el derecho de los trabajadores a una protección eficaz en materia de seguridad y salud en el trabajo, derecho que conlleva la obligación del empresario y Administraciones de establecer mecanismos que lo puedan garantizar.

Igualmente, el artículo 21.1, en relación con los riesgos considerados como graves e inminentes, establece que, “cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo, el empresario estará obligado a:

  1. Informar lo antes posible a todos los trabajadores afectados acerca de la existencia de dicho riesgo y de las medidas adoptadas o que, en su caso, deban adoptarse en materia de protección.
  2. Adoptar las medidas y dar las instrucciones necesarias para que, en caso de peligro grave, inminente e inevitable, los trabajadores puedan interrumpir su actividad y, si fuera necesario, abandonar de inmediato el lugar de trabajo. (…)”

Adicionalmente, en su artículo 29, tal y como recoge la Agencia Española de Protección de Datos, se indica que “corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario. Ello se concreta en que deberán de informar de inmediato a su superior jerárquico directo, y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores; contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo y cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores”.

No debe olvidarse lo establecido en el artículo 31 de la citada Ley, en relación con los servicios de prevención, establece que, éstos, “deberán estar en condiciones de proporcionar a la empresa el asesoramiento y apoyo que precise en función de los tipos de riesgo en ella existentes y en lo referente a:

  1. El diseño, implantación y aplicación de un plan de prevención de riesgos laborales que permita la integración de la prevención en la empresa.
  1. La evaluación de los factores de riesgo que puedan afectar a la seguridad y la salud de los trabajadores en los términos previstos en el artículo 16 de esta Ley.
  1. La planificación de la actividad preventiva y la determinación de las prioridades en la adopción de las medidas preventivas y la vigilancia de su eficacia.
  1. La información y formación de los trabajadores (…).
  1. La prestación de los primeros auxilios y planes de emergencia.
  2. La vigilancia de la salud de los trabajadores en relación con los riesgos derivados del trabajo”.

Cuestiones que respaldan la adopción de las medidas analizadas en el marco de la prevención de los riesgos laborales en la empresa, que se encuentran reforzadas en la “Guía de Buenas prácticas en los centros de trabajo: Medidas para la prevención de contagios del COVID-19”, donde se establece en relación con las medidas organizativas que:

  • “Se deberán adoptar medidas específicas para minimizar el riesgo de transmisión a las personas trabajadoras especialmente sensibles cuando hayan tenido que acudir al centro de trabajo.
  • Es aconsejable realizar un plan de contingencia, identificando el riesgo de exposición al virus de las diferentes actividades que se desarrollan en el centro de trabajo, adoptando medidas de protección en cada caso de acuerdo con la normativa aplicable en cada momento. Para la elaboración de ese plan deben ser consultados los delegados de prevención o los representantes de los trabajadores.
  • Es preciso establecer protocolos en caso de que una persona trabajadora manifiesta síntomas en su puesto de trabajo, para protegerla y proteger al resto de la plantilla”.

Así, en el mismo sentido, la Ley 33/2011, de 4 de octubre, General de Salud Pública, en su artículo 3 de la primera de dichas normas señala que, con “el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

La propia Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública, prevé que, “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

A mayor abundamiento, la Orden SND/386/2020, de 3 de mayo, por la que se flexibilizan determinadas restricciones sociales y se determinan las condiciones de desarrollo de la actividad de comercio minorista y de prestación de servicios, así como de las actividades de hostelería y restauración en los territorios menos afectados por la crisis sanitaria ocasionada por el COVID-19, establece en su artículo 9.1, en relación con las medidas de higiene y/o de prevención para el personal trabajador de los establecimientos y locales que abran al público, que “no podrán incorporarse a sus puestos de trabajo en los establecimientos comerciales los siguientes trabajadores: (a) trabajadores que en el momento de la reapertura del establecimiento comercial estén en aislamiento domiciliario por tener diagnóstico de COVID-19 o tengan alguno de los síntomas compatibles con el COVID-19 y (b) trabajadores que, no teniendo síntomas, se encuentren en período de cuarentena domiciliaria por haber tenido contacto con alguna persona con síntomas o diagnosticada de COVID-19” y en su apartado 2, que “el titular de la actividad económica que se realice en el establecimiento o local deberá cumplir, en todo caso, con las obligaciones de prevención de riesgos establecidas en la legislación vigente, tanto con carácter general como de manera específica para prevenir el contagio del COVID19”, mismo sentido en el que se pronuncia el artículo 14.1, incluso llegando a establecerse en el apartado 5 del citado artículo que “si un trabajador empezara a tener síntomas compatibles con la enfermedad, se contactará de inmediato con el teléfono habilitado para ello por la comunidad autónoma o centro de salud correspondiente. El trabajador deberá abandonar su puesto de trabajo hasta que su situación médica sea valorada por un profesional sanitario”.

 No debe obviarse lo establecido en el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, en su artículo 4 (reducción de riesgos), donde el legislador establece para aquellos casos en los que la evaluación realizada, pusiera de manifiesto un riesgo para la seguridad o la salud de los trabajadores por exposición a agentes biológicos, un catálogo de medidas a adoptar, entre las que cabe citar: el establecimiento de procedimientos de trabajo adecuados y utilización de medidas técnicas apropiadas para evitar o minimizar la liberación de agentes biológicos en el lugar de trabajo; la reducción, al mínimo posible, del número de trabajadores que estén o puedan estar expuestos; la adopción de medidas de protección colectiva o, en su defecto, de protección individual, cuando la exposición no pueda evitarse por otros medios, entre otros.

En relación con los tratamientos de datos, la Agencia Española de Protección de Datos se ha pronunciado, indicando que, “la empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias”.

Adicionalmente, la propia Agencia reconoce que “la normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado”.

El Comité Europeo de Protección de Datos adoptó en su “Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19” una postura común en relación con que el empleador solo debe tratar los datos personales de salud de sus empleados en la medida en que la legislación nacional lo permita, lo requiera, o lo exija.

Cuestiones que se establecen en la Disposición adicional decimoséptima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en relación con los tratamientos de datos de salud, recogiéndose que se encentran amparado “en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo: (…) b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales”.

No obstante, junto con los posicionamientos de las autoridades de control en relación con los tratamientos de datos de empleados, existen otros posibles tratamientos, que se hacen necesarios en el marco de la gestión de la pandemia en la que nos encontramos, por ejemplo, en relación con los proveedores, el sistema analizado sobre la utilización de videocámaras térmicas, podría encontrar su legitimación en la protección de un interés vital del afectado o de terceros.

Así, ante la imposibilidad de acceder a las instalaciones de la empresa, deberá abordar la forma en que realiza la pertinente comunicación, con el fin de no incurrir en incumplimientos de la normativa laboral, por ejemplo, mediante la entrega de un documento justificativo al empleado del proveedor, siendo este quien deberá aportarlo a su empresa, dando las explicaciones correspondientes. Igualmente, otras problemáticas semejantes que podemos encontrarnos, harían referencia al caso de subcontratas o empresas de trabajo temporal.

¿Sería legítimo el tratamiento de los datos de los clientes?

En relación con el tratamiento de datos de clientes (entendidos como personas que acceden al recinto), en tanto la utilización de estas videocámaras no posibiliten la identificación y por tanto el tratamiento de datos, sería un sistema correcto. No obstante, debe tenerse en cuenta que, en el caso de que una persona diera una temperatura mayor, debería ser informado que no podría tener acceso a las instalaciones.

Sobre esta cuestión debe considerarse que, si bien los sistemas analizados posibilitan un grado de exactitud muy elevado, no son concluyentes en relación con la detección de contagios COVID-19, es decir, sólo indicarían determinada sintomatología, que podría ser común con otras enfermedades, o podría darse el caso de que la persona sea asintomática o aún no haya manifestado síntomas (algunas personas infectadas pueden tardar entre 2 y 10 días en tener fiebre), tal y como reconocía la propia Organización Mundial de la Salud y la Sociedad Española de Microbiología. Por lo que la información facilitada debe ser proporcionada, evitando un riesgo para la intimidad de las personas.

La viabilidad de que dicha persona no entrara en las instalaciones, podría encontrarse en la propia protección de los intereses vitales de la misma o de terceros, recomendaciones de las autoridades sanitarias o, en determinados casos por una interpretación extensiva del derecho de admisión, en relación con la seguridad de otras personas y empleados.

¿Quién puede tratar estos datos personales como Responsable o Encargado del Tratamiento?

En el ámbito laboral, el Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, parece claro al respecto, en su artículo 37.2 que “las funciones de vigilancia y control de la salud de los trabajadores (…) serán desempeñadas por personal sanitario con competencia técnica, formación y capacidad acreditada (…)”.

Un aspecto que analizaba la propia Agencia Española de Protección de Datos en su Informe sobre los tratamientos de datos en relación con el COVID-19, indicando que, “verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario”.

En todo caso, la realidad que nos encontramos en diferentes empresas y comercios es que este aspecto se antoja complicado al no contar con personal sanitario que pueda llevar a cabo estas funciones.

En este sentido, entendemos que se podrá contar con personal de seguridad, que cuente con las habilitaciones necesarias conforme a la Ley 5/2014, de 4 de abril, de Seguridad Privada. En este sentido, debe recordarse lo establecido en la Orden INT/318/2011, de 1 de febrero, en relación con el deber de reserva profesional por parte de estos profesionales (ex artículo 31), debiendo guardar “una rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones, especialmente de las informaciones que reciba en materia de seguridad y de los datos de carácter personal que deba tratar, investigar o custodiar, y no podrá facilitar datos sobre dichos hechos más que a las personas que les hayan contratado y a los órganos judiciales y policiales competentes para el ejercicio de sus funciones”.

Todo ello no descarta que, una vez utilizado el sistema para analizar la temperatura mediante las videocámaras térmicas, deba intervenir un facultativo que pueda realizar las actuaciones sanitarias precisas, así como otras relacionadas con justificantes, partes de baja laboral u otras informaciones.

En relación con los tratamientos de otras personas, por ejemplo, clientes, se deberá en la medida de lo posible, evitar que la cámara capte imágenes que posibiliten la identificación de la persona. A mayor abundamiento, salvo indicaciones de las autoridades sanitarias, en el marco de la gestión de la pandemia, no se podrá identificar a la persona, si pudiendo darle recomendaciones en relación con la necesidad de que acuda a un centro de salud, por ejemplo.

Igualmente, se deberá informar sobre estos tratamientos de datos, aunque puedan ser considerados como excepcionales en el momento en que la persona vaya a acceder.

Sobre la idoneidad de este tratamiento de datos por un Encargado del Tratamiento y sus implicaciones en relación con el derecho a la intimidad de las personas, es relevante indicar que, otros tratamientos especiales de datos, son realizados bajo esta formula, en ocasiones de una manera incidental, por ejemplo, en el caso de que las cámaras de videovigilancia capten un evento sanitario, como puede ser un infarto o perdida de conocimiento. En todo caso, debe considerarse que en estos casos, la finalidad principal no es la que estamos analizando, sino la seguridad de personas e instalaciones.

¿Durante cuanto tiempo podrá conservarse la información?

Conforme establece la normativa vigente, los datos deberán tratarse el mínimo tiempo, estrictamente necesario, para dar cumplimiento a la finalidad para la que fueron obtenidos, por tanto, la eliminación de las imágenes, relacionadas con no afectados por altas temperaturas, no debería ser conservada y, en todo caso, en aquellos casos en los que haya una detección de posibles síntomas para poder acometer las correspondientes pruebas médicas, en el caso de los empleados.

Igualmente, deberán tenerse en cuenta los plazos de conservación derivados de la aplicación de normativa sectorial, tal como la analizada sobre prevención de riesgos laborales.

Así, en el supuesto de considerar COVID-19 como enfermedad laboral, debe tenerse en cuenta el Real Decreto 664/1997, en el que se establece que la empresa está obligada a disponer de la documentación sobre los resultados de la evaluación del riesgo, así como los criterios y procedimientos de evaluación y los métodos de medición, análisis o ensayo utilizados y el listado de los trabajadores expuestos a agentes biológicos.

Conforme a lo establecido en el Real Decreto, el listado de los trabajadores expuestos y sus historiales clínicos deberán conservarse durante un plazo mínimo de diez años después de finalizada la exposición al virus. Un plazo que podrá ser ampliado hasta los cuarenta años en caso de producirse exposiciones que pudieran dar lugar a una infección debida a agentes biológicos con capacidad conocida de provocar infecciones persistentes o latentes o que pueda dar lugar a una enfermedad con fases de recurrencia durante un tiempo prolongado, a pesar del tratamiento, entre otros aspectos.

En tanto la información pueda integrarse en el marco de una historia clínica del paciente, de conformidad con la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, cinco años.

¿Cabe el ejercicio de derechos en relación con estos tratamientos?

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, al interesado se le debe informar sobre los derechos que le reconoce la normativa sobre sus datos, una información que deberá facilitarse de manera clara y visible.

En conexión con el derecho de información (artículo 13 y siguientes del Reglamento Europeo), el Responsable del Tratamiento deberá facilitar los datos relativos, entre otros, los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; los destinatarios o las categorías de destinatarios de los datos personales o el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo, junto con los derechos que las personas tienen en relación con sus datos. Esta información, tal y como ocurre con los sistemas videovigilancia tradicionales, deberá ser facilitada de una forma clara y visible, por ejemplo, mediante la colocación de un dispositivo informativo en lugar suficientemente visible y teniendo a disposición de las personas la información contemplada en el citado artículo 13 del Reglamento Europeo.

Así, las cosas, si bien siempre deben contestarse las solicitudes de derechos recibidas por el Responsable del Tratamiento, en los plazos legalmente establecido, podemos encontrarnos con casos en los que la atención del fondo del derecho no sea posible, por ejemplo, en aquellos casos en los que el sistema no este ligado a la videovigilancia normal o no exista una identificación de las personas, no podrá responderse positivamente el derecho de acceso, por imposibilidad técnica, igualmente, en relación con el derecho de rectificación, atendiendo a la exactitud en la toma de temperatura, o qué exista una segunda evaluación, no podría modificarse el dato que responde a un momento concreto.

En todo caso, debe recordarse que el artículo 11 del Reglamento Europeo hace mención expresa a los tratamientos que no requieren identificación:

“1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

  1. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20 [Derechos del interesado], excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”.

En todo caso, debe tenerse en consideración que, aunque el responsable no trate datos identificativos del solicitante o no pueda hacer efectiva la solicitud contenida en el derecho ejercitado, siempre existe la obligación de contestar al interesado.

¿Pueden generarse responsabilidades en relación con el derecho al honor e intimidad?

El derecho a la privacidad, tal y como establece el artículo 18 de nuestra Constitución, se debe entender en conjunción con el derecho al honor, a la intimidad personal y familiar y a la propia imagen. En este ámbito, deben respetarse los citados derechos al referirnos a terceros, las imágenes que se divulgan en los innumerables memes que estos días circulan por las redes, recordando que la exposición pública, no implica que el derecho al honor e intimidad, afecta directa o indirectamente a otras personas.

Las garantías de estos derechos también afectan a las propias empresas y administraciones en relación con las obligaciones, recogidas en la normativa de protección de datos, en relación con la confidencialidad. Medidas que encuentran un mayor refuerzo en aquellas profesiones sometidas al secreto profesional.

Así, no debería facilitarse a terceros, dentro o fuera del entorno de la empresa, directa o in directamente, información que permitiese identificar una persona, mas allá de los casos analizados.

En este sentido, debemos tener en cuenta que estamos ante datos especialmente protegidos, por lo que más allá de las formas de legitimar su tratamiento, no deberían trascender a terceros no autorizados. De cara a adoptar las medidas necesarias, debemos plantearnos cómo actuaríamos en otros escenarios ante otras enfermedades, si podríamos quebrantar la confidencialidad desvelando esta información. Un debate que ya quedó superado en otras ocasiones como el auge del VIH o de otras enfermedades, ponderándose, en cada caso la intimidad y los intereses generales, evitando que la prevención acabe desembocando en la exclusión.

Si bien nos encontramos en un momento en que debemos adoptar medidas extraordinarias, éstas deben mirar más allá del mañana, analizando las implicaciones que pueden conllevar, dentro de un ejercicio de responsabilidad por parte de todos.

En todo caso, debe recordarse la plena vigencia de la normativa en materia de protección de datos, por lo que deberán darse cumplimiento a las obligaciones analizadas, junto con las evaluaciones de impacto correspondientes, la identificación de los tratamientos o la regulación de la relación para con los proveedores, junto con la gestión de posibles brechas de seguridad, entre otras cuestiones, que posibiliten acreditar la adopción de diligencias debidas por la empresa.