Comparte este artículo en tus redes sociales

La irrupción del coronavirus en nuestro país y su rápida expansión ha provocado que hayan cambiado nuestros hábitos y nuestra forma de trabajar de forma totalmente brusca: Hemos pasado de una rutina donde pasábamos muchas horas en nuestro centro de trabajo y después volvíamos a casa a tener que intentar llevar a cabo todo el trabajo desde casa.

Esto ha supuesto que se alteren por completo los procesos de trabajo habituales y ha afectado en muchos ámbitos, uno de ellos, en la privacidad y protección de los datos de carácter personal que se manejan en las empresas, siendo conscientes que, nuestros propios datos personales y privacidad también se ven afectados por nuestra condición de trabajadores.

A continuación, os relacionamos algunos aspectos en los que los derechos de los interesados pueden estar viéndose afectados y algunas situaciones que pueden estar afectando a la integridad, disponibilidad y confidencialidad de los datos:

1.- Derecho a la privacidad en el ámbito laboral:

En el entorno laboral nos encontramos con protocolos de protección y de prevención de riesgos laborales en los que la empresa trata de proteger a sus trabajadores y a sus clientes de posibles contagios. En este contexto, ¿Cómo ha de actuar la empresa?

Debemos tener en cuenta que aquí entran en juego diferente normativa y diferentes derechos que buscan ser protegidos: Por una parte, nos encontramos con el deber del empresario de velar por la salud de sus trabajadores en el entorno laboral. Por otra parte, nos encontramos con la protección de la privacidad de los datos de los trabajadores, lo que incluye sus propios datos de salud. Por último, nos encontramos ante una situación de estado de alarma donde se intenta controlar y mitigar una pandemia con efectos globales.

Los datos de salud están considerados como datos personales de carácter especialmente sensible y con un refuerzo en su protección respecto otro tipo de datos (como los meramente identificativos, como el nombre, DNI, dirección, teléfono, etc).

Así lo establece el Reglamento Europeo de Protección de Datos Personales 679/2016 en su artículo 9, que expresamente indica que los tratamientos de datos de salud quedan expresamente prohibidos salvo que se den unas circunstancias y garantías concretas, dejando abierto a los estados que estas circunstancias.

De esta manera, a priori, se está realizando una valoración inicial en la que los datos de salud tienen un “plus” de protección.

¿Este derecho a la privacidad sobre los datos de salud ha de prevalecer también en la situación en la que nos encontramos?

La solución nos la aporta el propio RGPD y la interpretación del mismo que acaba de facilitar la Agencia Española de Protección de Datos Personales (AEPD) en el informe 17/2020 de su Gabinete Jurídico:

El propio artículo 9 establece una serie de situaciones ante las cuales sí que tendría amparo legal el tratamiento de datos de salud:

  1. El propio consentimiento expreso del interesado, salvo que una norma de la UE ni siquiera permita que se pueda tratar aún con el consentimiento del interesado.
  2. Cuando el tratamiento es necesario para el cumplimiento de obligaciones del responsable del tratamiento: En este caso, el empresario está obligado a cumplir con sus obligaciones legales, como son cumplir con la normativa de prevención de riesgos laborales (Ley 31/1995 de 8 de noviembre) , para evitar contagios a los trabajadores o clientes
  3. El tratamiento es necesario por razones de un interés público esencial,
  4. El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud

Todo ello sobre la base del Derecho de la Unión o de sus Estados y teniendo en cuenta que el tratamiento ha de ser lícito (es decir, ponerlo en relación con el artículo 6 del RGPD, ya sea en su apartado c) (cumplimiento de una responsabilidad legal del responsable) o d (protección de un interés vital del interesado u otra persona física).

Así, la clave la podemos encontrar en la normativa de prevención de riesgos laborales:

Artículo 29. Obligaciones de los trabajadores en materia de prevención de riesgos.

1. Corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario.

2. Los trabajadores, con arreglo a su formación y siguiendo las instrucciones del empresario, deberán en particular:

4.º Informar de inmediato a su superior jerárquico directo, y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores.

5.º Contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo.

6.º Cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores.

Parece evidente que es una obligación legal del trabajador la de informar de su posible contagio para que la empresa pueda proteger al propio trabajador y a su entorno.

Y para proteger a su entorno……¿puede comunicar esta situación?

La comunicación de datos, aún cuando el trabajador no estuviera conforme, podría estar amparada en la misma normativa anteriormente citada, ya que, para proteger la salud de las personas físicas, en este caso de pandemia hay que conocer con qué personas se ha tenido contacto y comunicárselo, para que tomen acciones preventivas frente así y frente a su propio entorno.

Ahora bien, es diferente “comunicar” a su entorno que “divulgar” o difundir públicamente

Debemos tener muy en cuenta el principio de MINIMIZACIÓN y CALIDAD en el tratamiento de datos, es decir, tratarlos con la finalidad exclusiva para la que fueron recabados y sólo aquellos indispensables para poder llevar a cabo dicha finalidad, por lo que, la comunicación fuera de aquel entorno más cercano ya no quedaría amparada por la normativa (Ej: publicarlo en un tablón, comunicado en intranet, en nota de prensa, etc).

Por último, recordar que el empresario ha de actuar conforme le indican las autoridades sanitarias, que actúan en base a una normativa legal y son las competentes en la materia (pandemia) lo cual no obsta para que siga siendo de aplicación la normativa de protección de datos personales, como hemos visto anteriormente.

2.- Transformación digital poco controlada:

De repente nos encontramos con que a gran parte de la población trabajadora la están enviando de manera más o menos controlada (por no decir, precipitada) a sus casas a continuar con su trabajo, en modo “teletrabajo”.

Algunas empresas sí que se encontraban preparadas para contingencias como la que nos encontramos, y sus aplicaciones de trabajo y sus sistemas informáticos estaban estructurados de manera que era posible llevar a cabo gran parte de las tareas cotidianas fuera del centro de trabajo. Pero la mayoría de empresas no estaba preparada para esto, ya que supone en la práctica una serie de complicaciones técnicas y organizativas que no tienen resueltas y que también afectan a la privacidad de los datos que tratan, como por ejemplo:

Extraer datos del centro de trabajo para trabajar desde casa: Aquellas empresas que no puedan disponer de un sistema centralizado de acceso a datos que permita el acceso en remoto han tenido que dejar que los trabajadores extraigan información (en discos duros, pen drives, etc) para poder trabajar desde casa.

Falta de control sobre los datos que se han extraído o sobre los que se pueda tener acceso y tratar posteriormente: En caso de que el trabajador tenga que extraer los datos, si no se toman medidas, no se sabrá qué tipo de datos sale exactamente. También se pierde el control sobre los nuevos datos que se tratan en el domicilio del trabajador, si se trabaja en local, o incluso trabajando en remoto contra servidor, sobre los datos que se puedan copiar en local posteriormente.

Llevar/portar datos personales de la empresa desde el centro de trabajo a casa: En el caso anterior, el traslado de la información no habrá observado las medidas de seguridad necesarias para evitar riesgos sobre la integridad, disponibilidad o confidencialidad de los datos que se portaban (ej: Dispositivos que no cifran el contenido, que no disponen de clave para acceder a la información, etc)

Uso de dispositivos personales: Los dispositivos personales suelen disponer de sistemas de seguridad más básicos que los establecidos en las empresas (antivirus desfasados o sólo la versión de prueba de los mismos, uso de redes domésticas poco seguras, sin cambiar la contraseña del wifi, no se suelen hacer copias de seguridad, y en caso de hacerlas, la periodicidad es demasiado larga en el tiempo, etc)

Falta de control sobre los datos personales al dejar el centro de trabajo Si no se puede trabajar contra un servidor en remoto, los trabajadores han de trabajar en modo local con sus propios equipos domésticos y después tendrán que llevarlos de nuevo a la empresa, volviendo a pasar por los mismos riesgos anteriores. La empresa pierde el control sobre los datos que ha permitido su salida, así como sobre su posible tratamiento posterior, modificación, alteración, enriquecimiento de las bases de datos, etc.

Para aquellas empresas que vayan a establecer el teletrabajo de manera inminente, hacerles una serie de recomendaciones:

1.- Disponer de una política y procedimientos de salida de soportes informáticos y datos personales que albergan: Identificar y documentar quién se lleva qué y cuál es su contenido.

2.- Disponer de un protocolo que implemente medidas de seguridad sobre los dispositivos que deben salir del entorno de la empresa (que establezca medidas que impidan el acceso a los datos, de manera que, en caso de pérdida, robo o intento intencionado de acceso, no sea posible acceder al contenido del soporte, y en caso de que se pueda acceder al contenido, impedir que éste sea legible por terceros, mediante sistemas de cifrado).

3.- Facilitar a los trabajadores pautas de trabajo seguro en sus propios hogares y respecto al uso de sus dispositivos o sistemas informáticos (relativo a renovación de contraseñas de wifi, copias de seguridad del contenido de los dispositivos que se han facilitado o que se puedan trabajar en el hogar, etc).

4.- Disponer de una política de formación e información al trabajador que incluya el conocimiento de sus derechos y deberes en materia de protección de datos de carácter personal. Si no se disponía hasta la fecha, al menos que se pueda elaborar algún tipo de documento o declaración responsable que incluya las pautas básicas de trabajo y el compromiso de cumplimiento por parte del trabajador.

Recordemos que con estas medidas se intenta no sólo cumplir con la normativa sino también garantizar la integridad, confidencialidad y disponibilidad de los datos. De ello depende también la continuidad del negocio.

Álvaro Orts Ferrer

Abogado ICAV | Privacidad y Legaltech | ACP APEP

alvaro.orts@ortsconsultores.es