La Protección de Datos en tiempos del Coronavirus

A estas alturas no necesitamos hacer una introducción para presentar al COVID-19.

Todos sabemos los síntomas, conocemos las medidas de las autoridades sanitarias y estamos pendientes del número de infectados. En solo unos días se ha convertido en nuestro único tema de conversación y preocupación. Estamos viviendo una situación excepcional de emergencia sanitaria, que además de temor, nos provoca muchas dudas respecto a cómo actuar, ya que las medidas, cada vez más restrictivas, parecen cambiar de un día para otro, y especialmente en el entorno laboral.

Hemos de recordar que la normativa de protección de datos sigue vigente, ya que no se ha declarado el estado de excepción ni se han suspendido los derechos fundamentales de los ciudadanos, por lo que seguimos estando sujetos a ella y obligados todos a su cumplimiento.

En este sentido, el RGPD y la LOPDGDD deben de continuar aplicándose con normalidad, eso sí, ahora teniendo también en cuenta la normativa en materia de salud pública, para no obstaculizar las medidas que adopten las autoridades sanitarias en su lucha contra la pandemia.

La propia normativa de Protección de Datos, en su redacción, ya tiene prevista su aplicación en situaciones de emergencia, estableciendo que se podrán tratar datos sensibles y especialmente protegidos, como los datos de salud, sin necesidad de legitimar su tratamiento a través del consentimiento expreso y previo.

El tratamiento de estos datos será lícito siempre que nos basemos en otras legitimaciones, como la protección del interés público, el cumplimiento de una obligación legal, o el interés vital de las personas. En este caso concreto, el tratamiento de estos datos es necesario para la protección de la salud pública, evitándose así la propagación de la enfermedad. A este respecto, el jueves 12 de Marzo la propia Agencia Española de Protección de Datos emitió un informe aclaratorio sobre el tratamiento de datos personales en relación con el coronavirus.

Volviendo al entorno laboral, tanto el empresario como los trabajadores están sujetos, además, a la Ley de Prevención de Riesgos Laborales, que por un lado, obliga al empleador a garantizar la seguridad y la salud de sus empleados en el lugar de trabajo; y por otro, requiere que éstos adopten las medidas que el empresario les indique por su propia protección y la de sus compañeros.

Con todo este panorama normativo, vamos a intentar aclarar las dudas que se nos pueden plantear.

¿Cómo puede saber el empresario si un trabajador está infectado?

Como hemos comentado, es lícito el tratamiento de datos de salud por parte del empleador, siempre y cuando se haga un tratamiento limitado a los datos estrictamente necesarios para cumplir con su finalidad: frenar la pandemia.

Teniendo esto en cuenta, es responsabilidad del trabajador evaluarse, por su propia seguridad y la de todos, y si tiene síntomas o sospecha que puede estar infectado, debe ponerse en contacto con el teléfono de atención sanitaria de su Comunidad Autónoma para que lo guíen y le recomienden qué debe hacer en su caso concreto.

Pero además, es su deber notificar cuanto antes este hecho a las personas que han tenido contacto con él, incluyendo a su empleador, ya que, aunque los responsables del tratamiento de los datos de salud son las autoridades sanitarias, ante una situación de emergencia como la que vivimos prima la protección de la salud pública, y notificarlo al empresario es vital para que pueda tomar las medidas necesarias garantizando unas condiciones de trabajo seguras para todo el personal.

No obstante, hay que recordar que, aunque informar sea el deber cívico del trabajador, si no lo hace, el empleador está legitimado a preguntar pero nunca a coaccionar.

Además, existe un procedimiento por el que igualmente va a ser alertado. Según el protocolo publicado por el Ministerio de Sanidad, los centros de salud pública son los encargados de comunicar los datos de los infectados tanto al propio Ministerio como al centro de trabajo afectado, al que informarán también de las medidas de prevención y contención que sea necesario tomar.

¿El empresario puede obligar a un trabajador a tomar vacaciones o teletrabajar?

El empresario puede tomar las decisiones que considere necesarias dentro de los límites previstos por las leyes, y cumpliendo siempre las instrucciones dadas por las autoridades sanitarias competentes, bajo los criterios de proporcionalidad y minimización de los datos.

Según esto, el empresario no puede obligar a sus trabajadores a agotar sus vacaciones, pero si se ve en la necesidad, sí podría aplicar un ERTE (expediente de regulación de empleo de carácter temporal) o establecer acuerdos con su personal en los que, por ejemplo, por falta de actividad se descansen unas semanas, pero posteriormente se recuperen los días, una vez haya pasado la situación de emergencia.

En cuanto al teletrabajo, el empleador puede establecerlo siempre que la actividad lo permita, ya que es una buena medida de protección que ayuda a reducir los contagios. Para ello, se deben de cumplir una serie de garantías en materia de Protección de Datos:

• Si eres un autónomo o empresario y cumples con la normativa, ya sabrás que desde el día en que contratas a un trabajador, éste ha de firmar un documento de compromiso de confidencialidad para la protección de los datos que va a tratar en el desempeño de sus funciones.
• Además, deberás informarle que va a estar sujeto a una serie de obligaciones, por ejemplo, que el tratamiento de los datos se hará siguiendo estrictamente las instrucciones recibidas en su proceso de formación, la cual es indispensable y necesaria para que pueda trabajar con garantías.
• Es sumamente importante, que el empleado trabaje en una “oficina” en su casa, para evitar que se den situaciones en la que los datos puedan ser directamente vistos en pantalla por personas ajenas, o robados por terceros que usen la misma red no segura a la que está conectado en ese momento el trabajador. Esto puede darse con facilidad al trabajar, por ejemplo, desde un portátil en una cafetería, conectado a su red de wifi libre. Por esto mismo, lo mejor es que el equipo sea aportado por el empresario y disponga ya de las medidas de seguridad necesarias como cifrado de datos o cortafuegos.
• También, y no menos importante, es establecer protocolos de comunicación eficaz con la oficina central, para que el trabajador no se encuentre perdido ante situaciones que le desborden o pongan en peligro el tratamiento de los datos.
• Evitar el uso de pendrives o discos duros externos, que en caso de pérdida o robo darían lugar a una brecha de seguridad.
• Que la empresa tenga firmados los contratos de terceros con acceso a datos con los proveedores.
• Tomar las medidas de ciberseguridad necesarias como tener instalados programas con licencias activas, antivirus, claves seguras de acceso al sistema, etc.

¿Se pueden establecer medidas que limiten el acceso al centro de trabajo?

Sí, ya que el empresario siempre debe velar por la seguridad y salubridad del lugar protegiendo a sus empleados. Las medidas que puede tomar serán válidas siempre que no sean arbitrarias y puedan considerarse razonables, proporcionadas y adecuadas a su finalidad, sin atentar contra los derechos de los visitantes o clientes. Por ejemplo, mediante una persona de seguridad que pregunte a la persona que va a entrar si ha estado en zonas de riesgo, o en contacto con personas afectadas, o presenta alguno de los síntomas (dificultad para respirar, fiebre, tos…).

También puede poner un cartel de aviso en la entrada, en el que notifique que para poder acceder hay que usar guantes y mascarilla, o facilitar un dispensador de gel antibacteriano en la puerta del recinto invitando a usarlo para la seguridad de todos.

¿Qué se nos puede exigir a todos?

Actuar con sentido común.

Cumplir con las órdenes que nos den las autoridades sanitarias (reclusión, cierre de negocios, cuarentena…), seguir a rajatabla las medidas de higiene necesarias, no inducir al pánico, y en definitiva, actuar con responsabilidad. Entre todos saldremos de esta.