La AEPD recomienda cómo tratar datos de salud en relación con el COVID-19
16-03-2020 — AR/2020/037
La Agencia Española de Protección de Datos (AEPD) publicó, el 12-3-2020, un informe en el que analiza el tratamiento de datos personales en la situación derivada de la extensión del virus COVID-19, y un documento sobre “preguntas frecuentes” con ciertas pautas y recomendaciones para los tratamientos de datos personales que tengan por finalidad garantizar la salud de los interesados y evitar posibles contagios.
- Compartir
- Correo electrónico
Los aspectos más importantes de estos documentos publicados por la AEPD ante la situación originada por el brote de enfermedad del virus COVID-19, son:
Informe sobre el tratamiento de datos
El informe de la AEPD recoge que el tratamiento de datos personales cuya finalidad sea la salvaguardia de intereses esenciales en el ámbito de salud (por ejemplo: si un interesado ha estado en un zona de riesgo) está legitimado tanto por motivos de interés público como por la protección de los intereses vitales del interesado u otras personas físicas (artículos 6.1 e) y d) del Reglamento General de Protección de Datos).
Igualmente, y en referencia al ámbito laboral:
- se alude a las obligaciones de empleadores y de su personal sobre prevención de riesgos laborales,
- recuerda que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo.
Enlace al informe: https://www.aepd.es/es/documento/2020-0017.pdf
Recomendaciones y aclaraciones derivadas de las FAQs:
Se resaltan las siguientes:
- Las empresas podrán tratar datos relativos a infecciones y contagios, de sus empleados y de otros interesados (como visitantes), con el objetivo de diseñar e implementar los planes de prevención y contingencia que consideren necesarios.
- Para ello, la compañía, en su condición de responsable del tratamiento, deberá aplicar las medidas de seguridad adecuadas para garantizar la seguridad de los datos recabados, de acuerdo con su responsabilidad proactiva.
- Sobre la información que se recabe en el que caso que los trabajadores hayan estado en países de riesgo o presenten alguna sintomatología relacionada con el COVID-19, debería:
- responder al principio de proporcionalidad, y
- limitarse exclusivamente a preguntar por:
- visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o
- si se tiene alguno de los síntomas de la enfermedad.
- Resulta contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
- Sobre el motivo de una baja por enfermedad, si bien no existe una obligación de informar por parte del empleado acerca de él, este derecho individual puede ceder frente a la defensa del derecho a la protección de la salud de otros trabajadores y, en general, de la población.
- En estas situaciones de emergencia sanitaria, los datos personales deben seguir siendo tratados de conformidad con la normativa de protección de datos personales, ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos:
- tratar los datos personales con licitud, lealtad y transparencia,
- limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia),
- principio de exactitud, y
- principio de minimización de datos.