Ayuda Ley Protección Datos

Coronavirus, desafíos para la Protección de datos

A medida que el brote de coronavirus continúa propagándose, las empresas están implementando un número creciente de medidas para prevenir contaminación de sus locales y entre su personal. Estas medidas a veces requieren que se recopile, analice y comparta información sobre individuos, para cumplir con las normas de Salud y Seguridad, pero plantea desafíos de protección de datos.

¿Qué tipos de datos personales se pueden recopilar y cómo? ¿Pueden ser compartidos con empresas del grupo y con entidades externas al grupo como proveedores de servicios y autoridades?

Estas preguntas surgen en la relación empleador-empleado, pero también surgen cuando se trata con otras partes interesadas que están en contacto con el lugar de trabajo, a saber. clientes, contratistas y otros visitantes.

Aquí describimos algunos de los pasos clave para mantener la contención de Coronavirus (Covid-19) cumpliendo con los requisitos de la LOPD GDD / RPGD (con respecto tanto a los empleados como a otras partes interesadas), y abordamos brevemente otras leyes de privacidad en diferentes regiones del mundo.

Por supuesto, no existe un enfoque válido de «talla única» según la ley de protección de datos, por lo que estos pasos deberían adaptarse a las especificidades de cada medida contemplada relacionada con el coronavirus.

Tratamiento de datos sensibles para contener el coronavirus

¿El RGPD permite a las empresas recopilar datos de viajes y salud para la contención de Coronavirus (por ejemplo, información sobre viajes recientes, exposición a individuos contaminados, síntomas)?

Los datos de viaje se pueden recopilar siempre que la empresa cumpla con los principios esenciales tales como transparencia, legalidad y seguridad.

La recopilación de datos de salud está prohibida, pero hay excepciones a esa regla como se explica a continuación. Naturalmente, en situaciones de crisis tales como la pandemia de Coronavirus, cumplir con los requisitos del RGPD será más fácil si continúas los procesos de cumplimiento que ya están establecidos.

¿Cómo recopilar legalmente dichos datos personales bajo el RGPD?

Antes de recopilar los datos, la empresa debe seguir los siguientes pasos:

Legalidad

La base legal para el uso de datos debe identificarse caso por caso. En el contexto de contención de Coronavirus, la base de «obligación legal» se cumple siempre que la recopilación de datos sea necesaria para cumplir con una ley europea local o de la UE. Los «intereses legítimos» probablemente se considerarán bases legales apropiadas. Por el contrario, las condiciones para usar «consentimiento» o «intereses vitales» como bases legales que probablemente no se cumplirían.

Datos confidenciales

El RGPD define ampliamente los datos de salud como cualquier información relacionada con la salud física o mental del individuo. Por lo tanto, los datos de salud no solo cubren información obviamente relacionada con la salud (como una descripción de los síntomas), también más información general. Antes de recoger cualquier información de salud, la compañía debe asegurarse de cumplir con una de las condiciones para manejar datos confidenciales, además de la base legal mencionada anteriormente. En particular:

Transparencia

Las personas sobre las que se recopilan datos personales deben recibir un Aviso de privacidad, antes o en el momento de la recolección, que detalla las características principales del uso de datos. La compañía puede:

Evaluación del impacto de la protección de datos

Dada la naturaleza de las actividades de procesamiento de datos relacionadas con el coronavirus, p. Ej. pueden involucrar datos confidenciales y evaluación de riesgos para la salud, es probable que se requiera un Evaluación de impacto en virtud del RGPD y, en en este contexto, las salvaguardas relacionadas tendrían que implementarse.

¿Qué datos personales se pueden recopilar?

Las empresas solo deben recopilar los datos personales necesarios. En el contexto de contención del coronavirus, esto significa recolectar la información mínima necesaria para evaluar el riesgo de que un individuo porte el virus y tome medidas proporcionales basadas en el riesgo.

Datos probablemente considerados necesarios:

No se consideran datos necesarios:

Por supuesto, lo que se considera información necesaria puede evolucionar a medida que los científicos aprenden más sobre el coronavirus.

¿Cómo deben recopilarse los datos personales?

En términos del método de recopilación de datos, debe elegirse la opción menos intrusiva. Esto puede requerir la adopción de un enfoque gradual basado en el riesgo, como:

Además, algunas organizaciones se preguntan si podrían implementar pruebas médicas (por ejemplo, escaneo de temperatura, análisis de sangre). Esto plantearía muchos problemas desde un punto de vista del RGPD (dada la intrusión de tales pruebas) y otras perspectivas (por ejemplo, derecho a la integridad corporal, confidencialidad médico-paciente).

¿El RGPD permite a las empresas subcontratar la recolección y análisis de datos personales relacionados con el Coronavirus?

Sí, siempre que esta externalización no reduzca el nivel de protección de datos. En en particular, la empresa debe comprometerse con proveedores de servicios que tengan la capacidad de cumplir con las obligaciones del RGPD, como lo demuestran los informes de auditoría y las etiquetas, y formalizar la relación con un acuerdo de protección de datos apropiado.

¿Puede una empresa compartir datos personales relacionados con el Coronavirus con otros?

Sí, si es absolutamente necesario (por ejemplo, la participación de un contratista o una empresa del grupo) para implementar suficientes medidas de salud y seguridad u obligatorio (por ejemplo, compartir
información con agencias gubernamentales).

En cualquier caso, dicho intercambio de datos debe cumplir con todos los requisitos del RGPD (por ejemplo, determinación de una base legal, información de las personas interesadas, minimización de datos, implementación de medidas de seguridad, etc.).

En aras de la transparencia, una empresa puede informar a su personal sobre la infección de otros (por ejemplo, empleados, visitantes), siempre que no se comunique información personal (por ejemplo, nombres, posición de las personas infectadas).

¿Cuáles son los requisitos legales más allá del RGPD?

Se están adoptando en todo momento leyes estrictas de protección de datos, algunas de ellas inspiradas en el RGPD.

Las compañías que toman medidas frente al Coronavirus en varias jurisdicciones deberían asegúrarse de que aborden los requisitos locales. Por ejemplo:

Leyes europeas locales

Los países europeos a menudo han adoptado requisitos más estrictos que el RGPD en los ámbitos del empleo y la salud. Una empresa no debe asumir que, al cumplir con el RGPD, cumple automáticamente con las leyes de privacidad europeas.

Asia

Vamos a analizar la situación en varios países asiáticos.

China

El gobierno de la República Popular de China (RPC) ha reforzado los requisitos de protección de datos durante el brote de COVID-19. En caso de que una empresa vaya a procesar los datos personales de un individuo (por ejemplo, información sobre si está infectado, ha estado en contacto directo con personas infectadas, recientemente viajó hacia o desde ciertas ciudades para prevenir y controlar la expansión del COVID-19), deberá obtener su consentimiento previo. Dicho esto, un simple consentimiento (es decir, pedirle a un individuo que brinde información relevante antes de ingresar al lugar de trabajo, y dicho individuo proporciona voluntariamente la información solicitada) puede satisfacer. Además, las empresas deberán cumplir con los principios de la ley de la RPC: legalidad, necesidad y minimización.

Hong Kong

Una empresa puede procesar la identidad, ubicación y datos relacionados con la salud sin recopilar su consentimiento, si se procesa la información relevante para evitar causar daños físicos o mentales graves a los individuos (este podría ser el caso en el contexto de Coronavirus).

Singapur

Una empresa puede recopilar, usar y divulgar datos personales de un individuo (por ejemplo, identidad, ubicación y datos relacionados con la salud) sin recopilar su consentimiento, siempre que el procesamiento contemplado sea necesario para responder a una emergencia que amenaza la vida, la salud o la seguridad de otras personas (esto podría sea ​​el caso en el contexto del Coronavirus). Además, la empresa debe asegurarse de que cuenta con medidas de seguridad para proteger los datos personales de accesos no autorizados o divulgación.

Australia

Según los Principios de privacidad de Australia (APP), la información confidencial (que incluye información de salud) generalmente ofrece un mayor nivel de privacidad que otros tipos de información personal. El consentimiento del individuo probablemente sería necesario si una empresa hace preguntas en relación con su salud, en el contexto del coronavirus. Además, se aplicarían obligaciones estrictas en respeto del uso y divulgación de esta información sensible (incluyendo cualquier divulgación a un destinatario extranjero).

Emiratos Árabes Unidos

El Centro Financiero Internacional de Dubai (DIFC) tiene sus propias normas de protección de datos que se aplican a las empresas incorporadas en esas zonas francas Los requisitos de protección de datos son similares a los previstos en el RGPD. Además, el consentimiento del individuo probablemente sería necesario si los datos relacionados con la salud fueran divulgados por una empresa a terceros.

Informe de la AEPD

La AEPD ha publicado un informe sobre cómo debe realizarse el tratamiento de datos personales en casos excepcionales como la pandemia del Coronavirus. En el RGPD ya se establecen unas reglas específicas sobre el tratamiento de datos en situaciones de emergencia sanitaria. Así, se impide que la normativa de Protección de datos pueda suponer un obstáculo para la eficacia de las medidas adoptadas por las autoridades sanitarias con el fin de reducir los contagios.

El artículo 9 del RGPD establece excepciones a la necesidad de consentimiento para tratar datos de salud. Entre esas excepciones están:

También debemos tener en cuenta la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública.

Por último, debe tenerse también en cuenta la normativa laboral y de prevención de riesgos, que permiten a las empresas el tratamiento de datos personales precisos para asegurar la protección de la salud de sus empleados.

No entres en pánico, sigue las recomendaciones sanitarias y todo va a ir bien.