A medida que el brote de coronavirus continúa propagándose, las empresas están implementando un número creciente de medidas para prevenir contaminación de sus locales y entre su personal. Estas medidas a veces requieren que se recopile, analice y comparta información sobre individuos, para cumplir con las normas de Salud y Seguridad, pero plantea desafíos de protección de datos.
¿Qué tipos de datos personales se pueden recopilar y cómo? ¿Pueden ser compartidos con empresas del grupo y con entidades externas al grupo como proveedores de servicios y autoridades?
Estas preguntas surgen en la relación empleador-empleado, pero también surgen cuando se trata con otras partes interesadas que están en contacto con el lugar de trabajo, a saber. clientes, contratistas y otros visitantes.
Aquí describimos algunos de los pasos clave para mantener la contención de Coronavirus (Covid-19) cumpliendo con los requisitos de la LOPD GDD / RPGD (con respecto tanto a los empleados como a otras partes interesadas), y abordamos brevemente otras leyes de privacidad en diferentes regiones del mundo.
Por supuesto, no existe un enfoque válido de «talla única» según la ley de protección de datos, por lo que estos pasos deberían adaptarse a las especificidades de cada medida contemplada relacionada con el coronavirus.
¿El RGPD permite a las empresas recopilar datos de viajes y salud para la contención de Coronavirus (por ejemplo, información sobre viajes recientes, exposición a individuos contaminados, síntomas)?
Los datos de viaje se pueden recopilar siempre que la empresa cumpla con los principios esenciales tales como transparencia, legalidad y seguridad.
La recopilación de datos de salud está prohibida, pero hay excepciones a esa regla como se explica a continuación. Naturalmente, en situaciones de crisis tales como la pandemia de Coronavirus, cumplir con los requisitos del RGPD será más fácil si continúas los procesos de cumplimiento que ya están establecidos.
¿Cómo recopilar legalmente dichos datos personales bajo el RGPD?
Antes de recopilar los datos, la empresa debe seguir los siguientes pasos:
Legalidad
La base legal para el uso de datos debe identificarse caso por caso. En el contexto de contención de Coronavirus, la base de «obligación legal» se cumple siempre que la recopilación de datos sea necesaria para cumplir con una ley europea local o de la UE. Los «intereses legítimos» probablemente se considerarán bases legales apropiadas. Por el contrario, las condiciones para usar «consentimiento» o «intereses vitales» como bases legales que probablemente no se cumplirían.
Datos confidenciales
El RGPD define ampliamente los datos de salud como cualquier información relacionada con la salud física o mental del individuo. Por lo tanto, los datos de salud no solo cubren información obviamente relacionada con la salud (como una descripción de los síntomas), también más información general. Antes de recoger cualquier información de salud, la compañía debe asegurarse de cumplir con una de las condiciones para manejar datos confidenciales, además de la base legal mencionada anteriormente. En particular:
- En un entorno de trabajo, la empresa debe identificar la legislación europea o local europea en el campo del empleo o la salud pública, que permite la recopilación de datos de salud. Por ejemplo, esa ley puede consistir en la obligación legal del empleador de garantizar la salud y seguridad de los trabajadores, que justifica medidas para limitar la propagación del virus.
- En ciertas circunstancias (lo cual sería raro), el consentimiento explícito puede funcionar.
Transparencia
Las personas sobre las que se recopilan datos personales deben recibir un Aviso de privacidad, antes o en el momento de la recolección, que detalla las características principales del uso de datos. La compañía puede:
- actualizar los avisos de privacidad existentes para cubrir la contención de enfermedades o
- crear un nuevo aviso de privacidad dedicado al Coronavirus.
Evaluación del impacto de la protección de datos
Dada la naturaleza de las actividades de procesamiento de datos relacionadas con el coronavirus, p. Ej. pueden involucrar datos confidenciales y evaluación de riesgos para la salud, es probable que se requiera un Evaluación de impacto en virtud del RGPD y, en en este contexto, las salvaguardas relacionadas tendrían que implementarse.
¿Qué datos personales se pueden recopilar?
Las empresas solo deben recopilar los datos personales necesarios. En el contexto de contención del coronavirus, esto significa recolectar la información mínima necesaria para evaluar el riesgo de que un individuo porte el virus y tome medidas proporcionales basadas en el riesgo.
Datos probablemente considerados necesarios:
- Presencia de síntomas de coronavirus.
- Confirmación de si la persona viajó recientemente a «zonas calientes», que actualmente incluye China y otros países como Italia, Corea del Sur, Japón e Irán. La información puede cubrir tanto viajes profesionales como no profesionales
- Contacto cercano con personas que han estado recientemente en «zonas calientes» y / o mostrando síntomas de coronavirus.
No se consideran datos necesarios:
- La nacionalidad de la persona.
- La identidad de las personas a quienes esa persona ha sido expuesta
- Países visitados que no están considerados “zonas calientes» o países visitados antes del periodo de incubación.
Por supuesto, lo que se considera información necesaria puede evolucionar a medida que los científicos aprenden más sobre el coronavirus.
¿Cómo deben recopilarse los datos personales?
En términos del método de recopilación de datos, debe elegirse la opción menos intrusiva. Esto puede requerir la adopción de un enfoque gradual basado en el riesgo, como:
- Proporcionar cuestionarios con preguntas específicas de sí / no para realizar una primera detección de coronavirus de individuos. Revisa los cuestionarios para asegurarte de recopilar solo la información requerida. Sobre la base de los resultados de la evaluación inicial, notifica a individuos que presentan un alto riesgo de contaminación las medidas que deberán tomar para limitar sus interacciones con el lugar de trabajo.
- Solicitar a los individuos que proporcionaron cuestionarios incompletos o completados incorrectamente para confirmar la información.
Además, algunas organizaciones se preguntan si podrían implementar pruebas médicas (por ejemplo, escaneo de temperatura, análisis de sangre). Esto plantearía muchos problemas desde un punto de vista del RGPD (dada la intrusión de tales pruebas) y otras perspectivas (por ejemplo, derecho a la integridad corporal, confidencialidad médico-paciente).
Sí, siempre que esta externalización no reduzca el nivel de protección de datos. En en particular, la empresa debe comprometerse con proveedores de servicios que tengan la capacidad de cumplir con las obligaciones del RGPD, como lo demuestran los informes de auditoría y las etiquetas, y formalizar la relación con un acuerdo de protección de datos apropiado.
Sí, si es absolutamente necesario (por ejemplo, la participación de un contratista o una empresa del grupo) para implementar suficientes medidas de salud y seguridad u obligatorio (por ejemplo, compartir
información con agencias gubernamentales).
En cualquier caso, dicho intercambio de datos debe cumplir con todos los requisitos del RGPD (por ejemplo, determinación de una base legal, información de las personas interesadas, minimización de datos, implementación de medidas de seguridad, etc.).
En aras de la transparencia, una empresa puede informar a su personal sobre la infección de otros (por ejemplo, empleados, visitantes), siempre que no se comunique información personal (por ejemplo, nombres, posición de las personas infectadas).
¿Cuáles son los requisitos legales más allá del RGPD?
Se están adoptando en todo momento leyes estrictas de protección de datos, algunas de ellas inspiradas en el RGPD.
Las compañías que toman medidas frente al Coronavirus en varias jurisdicciones deberían asegúrarse de que aborden los requisitos locales. Por ejemplo:
Leyes europeas locales
Los países europeos a menudo han adoptado requisitos más estrictos que el RGPD en los ámbitos del empleo y la salud. Una empresa no debe asumir que, al cumplir con el RGPD, cumple automáticamente con las leyes de privacidad europeas.
Asia
Vamos a analizar la situación en varios países asiáticos.
China
El gobierno de la República Popular de China (RPC) ha reforzado los requisitos de protección de datos durante el brote de COVID-19. En caso de que una empresa vaya a procesar los datos personales de un individuo (por ejemplo, información sobre si está infectado, ha estado en contacto directo con personas infectadas, recientemente viajó hacia o desde ciertas ciudades para prevenir y controlar la expansión del COVID-19), deberá obtener su consentimiento previo. Dicho esto, un simple consentimiento (es decir, pedirle a un individuo que brinde información relevante antes de ingresar al lugar de trabajo, y dicho individuo proporciona voluntariamente la información solicitada) puede satisfacer. Además, las empresas deberán cumplir con los principios de la ley de la RPC: legalidad, necesidad y minimización.
Hong Kong
Una empresa puede procesar la identidad, ubicación y datos relacionados con la salud sin recopilar su consentimiento, si se procesa la información relevante para evitar causar daños físicos o mentales graves a los individuos (este podría ser el caso en el contexto de Coronavirus).
Singapur
Una empresa puede recopilar, usar y divulgar datos personales de un individuo (por ejemplo, identidad, ubicación y datos relacionados con la salud) sin recopilar su consentimiento, siempre que el procesamiento contemplado sea necesario para responder a una emergencia que amenaza la vida, la salud o la seguridad de otras personas (esto podría sea el caso en el contexto del Coronavirus). Además, la empresa debe asegurarse de que cuenta con medidas de seguridad para proteger los datos personales de accesos no autorizados o divulgación.
Australia
Según los Principios de privacidad de Australia (APP), la información confidencial (que incluye información de salud) generalmente ofrece un mayor nivel de privacidad que otros tipos de información personal. El consentimiento del individuo probablemente sería necesario si una empresa hace preguntas en relación con su salud, en el contexto del coronavirus. Además, se aplicarían obligaciones estrictas en respeto del uso y divulgación de esta información sensible (incluyendo cualquier divulgación a un destinatario extranjero).
Emiratos Árabes Unidos
El Centro Financiero Internacional de Dubai (DIFC) tiene sus propias normas de protección de datos que se aplican a las empresas incorporadas en esas zonas francas Los requisitos de protección de datos son similares a los previstos en el RGPD. Además, el consentimiento del individuo probablemente sería necesario si los datos relacionados con la salud fueran divulgados por una empresa a terceros.
Informe de la AEPD
La AEPD ha publicado un informe sobre cómo debe realizarse el tratamiento de datos personales en casos excepcionales como la pandemia del Coronavirus. En el RGPD ya se establecen unas reglas específicas sobre el tratamiento de datos en situaciones de emergencia sanitaria. Así, se impide que la normativa de Protección de datos pueda suponer un obstáculo para la eficacia de las medidas adoptadas por las autoridades sanitarias con el fin de reducir los contagios.
El artículo 9 del RGPD establece excepciones a la necesidad de consentimiento para tratar datos de salud. Entre esas excepciones están:
- el interés público en el sector de la sanidad pública,
- cuando sea preciso para efectuar un diagnóstico médico o
- si es necesario para proteger intereses vitales del interesado o de terceros.
También debemos tener en cuenta la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública.
Por último, debe tenerse también en cuenta la normativa laboral y de prevención de riesgos, que permiten a las empresas el tratamiento de datos personales precisos para asegurar la protección de la salud de sus empleados.
No entres en pánico, sigue las recomendaciones sanitarias y todo va a ir bien.