El tratamiento de datos personales en esta situación de emergencia sanitaria ser rige la normativa de protección de datos personales (RGPD y LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD), por lo que se aplican todos sus principios, contenidos en el art. 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, transparencia y limitación de la finalidad.
Así, la Agencia Española de Protección de Datos (AEPD) ha establecido criterios y resuelto diversas consultas sobre algunos de los temas surgidos en este período.
¿Puede la empresa tratar la información de si las personas trabajadoras tienen coronavirus?
Sí, pero solo para aplicar, a través de su servicio de prevención, los protocolos de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.
Esta información se podrá trasladar al personal de la empresa, pero sin identificar a la persona afectada, a fin de mantener su privacidad.
En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿tiene el trabajador que informar a su empleador de forma expresa?
Sí, porque aunque la persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, este derecho individual cede frente a la defensa de otros derechos, como es el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia.
¿Se puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus? ¿Y para acceder a establecimientos comerciales?
Debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad, por lo que la aplicación de estas medidas y el correspondiente tratamiento de datos requiere la determinación previa que haga la autoridad sanitaria competente.
En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus y no extenderse a otras distintas.
Además, en el caso de ser necesaria la identificación, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación.
¿Se puede preguntar si tiene anticuerpos de la COVID-19 como requisito para acceder a un empleo?
No, constituye una vulneración de la normativa de protección de datos aplicable, pues se está ante un dato personal relativo a la salud y debería darse un consentimiento válido y libre.
Este consentimiento no debe considerarse libremente prestado cuando no se goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno, como sucedería en el presente caso, en el que el consentimiento estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona.
En definitiva, dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.
¿Debe incluirse en un “curriculum vitae” haber pasado el coronavirus?
No. El potencial destinatario del mismo no puede utilizar esa información, por lo que la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando no fuera posible asegurar que el dato de la inmunidad no va a influir en la decisión que finalmente se adopte, y la eliminación del candidato del proceso selectivo.
La difusión de datos de salud, al estar considerados éstos como una categoría especial de datos personales, cuyo tratamiento implica la exigencia de garantías reforzadas, supone un riesgo para la privacidad y los derechos y libertades de los interesados. El RGPD, en su considerando 75, recoge que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la COVID-19.
¿Se pueden usar técnicas de reconocimiento facial en la realización de exámenes online?
Depende. La AEPD entiende que estamos ante una cuestión compleja, pues los sistemas de reconocimiento facial implican el tratamiento de datos de categoría especial por lo que, para que sea lícito, debe concurrir alguna de las excepciones que levanten la prohibición de su tratamiento, conforme al apartado 2 del artículo 9 del RGPD.
Es necesario por tanto recabar un consentimiento libre de los alumnos que permita el empleo de esas técnicas al objeto de tratar sus datos biométricos en las evaluaciones online, lo que también requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento.
No sería admisible, en ningún caso, que como consecuencia de la denegación del consentimiento tuviera consecuencias negativas para el alumno.
Además, al tratarse de una categoría especial es necesaria la realización de una evaluación de impacto en la protección de datos, considerando también la Agencia más garantista que el dato biométrico permanezca en poder del afectado.
Con motivo del Día Europeo de la Protección de Datos, Lefebvre Formación y Davara te brindan la oportunidad de formarte como Delegado de Protección de Datos a un precio muy especial.
Un programa formativo en formato e-learning que te permitirá conocer de la mano de los mejores especialistas en la materia y en profundidad, la normativa vigente en materia de protección de datos, tanto europea como española; así como comprender los mecanismos configurados en la normativa para la responsabilidad activa de las empresas en materia de protección de datos y el papel del DPD en los mismos. Aprenderás las técnicas para garantizar el cumplimiento de la normativa de protección de datos y el papel del DPD para su desarrollo y aplicación.
Apúntate hoy, Día Europeo de la Protección de Datos, y benefíciate de un 30% de descuento.
Además, podrás certificar las 180 horas de formación necesarias para examinarte del título de DPD, de acuerdo al esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos, ya que nuestro programa formativo, reconocido por IVAC, está dado de alta en el Registro Oficial de Programas Formativos reconocidos según el esquema AEPD−DPD.