¿Debe informar un trabajador afectado por COVID-19 a la empresa en la que trabaja que ha contraído el virus? ¿Puede el empresario dar a conocer la noticia al resto de la plantilla? A raíz de la situación derivada por la extensión del virus COVID-19, la Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales que se puede realizar en una circunstancia excepcional como esta. En este post de Conversia te lo resumimos.

¿Qué establece el RGPD sobre el tratamiento de datos en situaciones de emergencia?

El Reglamento General de Protección de Datos (RGPD) es la normativa comunitaria que protege los datos personales de todos los ciudadanos europeos. En este, se catalogan los datos de salud  como una categoría especial de datos, de manera que requieren de la adopción de medidas técnicas y organizativas especiales. Sin embargo, el RGPD permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones en las que existe una emergencia sanitaria de alcance general, a través de su Considerando 46*. Por este motivo, la protección de datos no debería obstaculizar ni limitar las medidas adoptadas por parte de las autoridades en la lucha contra la pandemia del COVID-19.

Asimismo, el artículo 6.1 del Reglamento, sobre la licitud del tratamiento, fija que el tratamiento solo será lícito si se cumple, al menos, con una de las seis consideraciones establecidas, entre las cuales se encuentran:

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. (6.1.d).
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. (6.1.e).

Por lo tanto, estas bases jurídicas permiten el tratamiento de datos personales de salud sin el consentimiento de los afectados en una situación como la que actualmente nos ocupa.

Excepciones sobre el tratamiento de datos personales de la salud

En relación a lo que planteábamos al inicio de este post de Conversia, sobre protección de datos personales de salud en el ámbito laboral, el informe publicado por la AEPD hace referencia al artículo 9 del RGPD, sobre el  tratamiento de categorías especiales de datos, concretamente en su apartado 2, que hace referencia a las excepciones. Por lo tanto, se exceptuará el tratamiento especial de datos personales relativos a la salud si este es necesario para:

  • El cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social. (9.2.b).
  • Proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado para dar su consentimiento. (9.2.c).
  • Por razones de un interés público esencial. (9.2.g).
  • Fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico. (9.2.h).
  • Por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud. (9.2.i).

Las autoridades sanitarias máximas competentes

El informe hace un recordatorio sobre lo establecido en la normativa de trabajo y de prevención de riesgos laborales. El documento recuerda que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo, así como por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Por este motivo, el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo, así como para que se adopten las medidas oportunas. De acuerdo con la normativa, los empleadores podrán tratar los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.

De igual forma, el texto de la AEPD explica que, en materia de riesgo de transmisión de enfermedades, epidemia o crisis sanitarias, se otorga a las autoridades sanitarias las competencias para adoptar las medidas necesarias previstas por la ley. En este sentido, el tratamiento de datos personales de la salud y la protección de los intereses vitales de las personas físicas corresponderán a las autoridades sanitarias.

Por último, el informe de la AEPD recuerda que, a pesar de ser una situación de emergencia sanitaria, los tratamientos de datos personales deben ser tratados conforme a las normativas de protección de datos personales (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

*Considerando 46 del Reglamento General de Protección de Datos:

“El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

Descubre más noticias sobre protección de datos en este blog de Conversia.