¿Sabías que el Reglamento General de Protección de Datos (RGPD) autoriza el tratamiento de esta información sin consentimiento por razones de interés público en el ámbito de la salud pública, así como en el cumplimiento de obligaciones legales en campo laboral derivadas de una emergencia sanitaria de gran alcance como es el virus COVID-19?
Ante este realidad, la Agencia Española de Protección de Datos (AEPD) ha lanzado un informe donde analiza cómo ha de desarrollarse el tratamiento de los datos personales a raíz de la crisis sanitaria derivada del coronavirus.
En este informe, este organismo deja claro la necesidad de facilitar al máximo la efectividad de las medidas adoptadas por las autoridades de forma que la protección de datos ayude a favorecer la lucha contra la pandemia.
Te interesa:
¿Qué dice el RGPD sobre el tratamiento de datos en situaciones de emergencia sanitaria?
Como hemos avanzado al inicio de este artículo, el RGPD dictamina en su Considerando 46 que «el tratamiento de datos personales debe considerarse lícito cuando es necesario proteger un interés esencial para la vida de los interesados o la de otra persona física» en casos excepcionales como es el control de epidemias y su propagación.
De este modo, el reglamento reconoce que esta misión se realiza en base a dos intereses: el interés público (art. 6.1.e) o intereses vitales del interesado u otros personas físicas (art. 6.1.d), todo ello sin perjuicio del cumplimiento de otras bases jurídicas como obligaciones legales, por ejemplo, de un empleador en la prevención de riesgos laborales del personal de su empresa.
Estas bases jurídicas autorizan el tratamiento de datos personales sin consentimiento de las personas afectadas.
Aspectos clave del informe de la AEPD sobre el tratamiento de datos personales en relación con el coronavirus
Dentro del RGPD, los datos sobre salud se engloban dentro de una categoría especial de datos y queda prohibido su tratamiento salvo que se dé alguna de las excepciones incluidas en la normativa.
Desde el informe sobre la protección de datos en relación al Covid-19, la AEPD detalla las excepciones recogidas en el artículo 9.2 RGPD:
- Cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social
Desde la AEPD recuerdan que la obligación de empleadores y empleados de cumplir las normas de prevención de riesgos laborales, correspondiendo a cada trabajador velar por su seguridad y salud en su puesto de trabajo, y por la de las personas que pueda afectar su actividad laboral.
Ante esta situación, el empleado debe informar a su empleador si sospecha que está infectado por el virus COVID-19, para proteger su salud y la del resto de compañeros y así la empresa puede adoptar las medidas de seguridad pertinentes.
- Autorización de tratamiento de datos sin consentimiento por su interés público en el ámbito de la salud pública (art. 9.2.i) que acaba transformándose en interés público esencial (art. 9.2.g).
- Si el tratamiento de los datos es necesario para el desarrollo de un diagnóstico médico, la evaluación de la capacidad laboral del trabajador así como cualquier otro tipo de asistencia o gestión de los servicios de asistencia sanitaria o social (art. 9.2.h).
- Queda reconocido el permiso para el tratamiento de datos de salud sin consentimiento cuando es necesario para proteger intereses vitales del interesado o de otra persona física, en el caso que el interesado no esté capacitado física o jurídicamente para dar si consentimiento.
Te interesa:
Cómo procedo a la destrucción de documentos confidenciales conforme al RGPD
Cumplimiento de la Ley General de Salud Pública y la política de protección de datos
La AEPD incluye en su informe cláusulas de la Ley 33/2011 General de Salud Pública. Entre ellas, destaca medidas que las autoridades sanitarias pueden adoptar para el control de enfermedades transmisibles como el coronavirus:
«[…] la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible».
Asimismo, siguiendo con la norma, respecto al riesgo de transmisiones de enfermedades, crisis sanitarias, etc., otorga «a las autoridades sanitarias de las distintas Administraciones Públicas las competencias para adoptar las medidas necesarias previstas en la Ley cuando lo exijan razones sanitarias de urgencia o necesidad».
Tal y como indica el informe de la AEPD, desde el punto de vista del tratamiento de datos personales, la protección de los intereses vitales de las personas físicas atañe en el campo de la salud a las autoridades sanitarias de las administraciones públicas.
Serán ellas quienes tomen las medidas necesarias para proteger a las personas en un escenario de emergencia sanitaria como el que vivimos en España por el coronavirus. Por su parte, los responsables del tratamiento de datos personales de salud de personas físicas deberán seguir sus instrucciones.
Protección de datos y cumplimiento de la normativa en prevención de riesgos laborales por COVID-19
Asimismo, el informe desarrollado por la AEPD con motivo de la crisis sanitaria por coronavirus determina que los empleadores podrán tratar conforme a la normativa de prevención de riesgos laborales y de medicina laboral los datos de los empleados que necesiten para velar por la salud de todos sus empleados con un objetivo: asegurar la protección de la salud y evitar contagios en la empresa y centro de trabajo.
El informe concluye señalando que, incluso en estas situaciones de emergencia sanitaria, el tratamiento de los datos personales debe seguir rigiéndose por la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD).
En este punto concreto, el escrito pone el acento en la aplicación de todos sus principios recogidos en el artículo 5 RGPD:
- Tratamiento de datos personales con licitud, lealtad y transparencia.
- Limitación de la finalidad, en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas. Bajo ningún concepto, el tratamiento de datos de salud por razones de interés público debe dar lugar a que empresarios, compañías de seguros o entidades bancarias traten los datos personales con otros fines.
- Principio de exactitud.
- Principio de minimización de datos, tratando solo los datos exclusivamente necesarios para la finalidad pretendida.
Desde Dataeraser seguimos trabajando para el óptimo tratamiento de los datos personales en esta situación de crisis sanitaria por el coronavirus (COVID-19), conforme a las directrices de la AEPD.