Noticias
Jornada sobre implicaciones de la nueva normativa de protección de datos en la materia de prevención de blanqueo de capitales y financiación del terrorismo
AULA DGE, la división de servicios de formación de DGE Bryxelles Consulting Group, ha organizado este miércoles, 05 de junio de 2019, una jornad…

Experto LOPD
La licitud de las medidas para la desescalada del confinamiento por el Covid-19 que afectan al tratamiento de los datos de empleados y clientes
Como sabe, se ha iniciado en España el proceso de desescalada gradual de las medidas de restricción de la movilidad y del contacto social adop…

Home Área de Negocio DGE-Qualitae

La licitud de las medidas para la desescalada del confinamiento por el Covid-19 que afectan al tratamiento de los datos de empleados y clientes

Noticias - Experto LOPD
Como sabe, se ha iniciado en España el proceso de desescalada gradual de las medidas de restricción de la movilidad y del contacto social adoptadas hasta la fecha, razón por la cual el Consejo de Ministros aprobó el denominado Plan para la transición hacia una “nueva normalidad” y que tiene como objetivo principal la recuperación progresiva de la vida cotidiana y la actividad económica, todo ello intentado minimizar los riesgos para la salud de la población, tratando de evitar así posible recaídas o picos de contagio.
 
Dentro de este proceso, son muchas las preguntas que surgen con respecto a las medidas que pueden, o deben, tomar las empresas y los profesionales para salvaguardar su salud, la de sus empleados e incluso de sus clientes y usuarios de los establecimientos. A continuación, intentaremos aportar claridad a dichas cuestiones, siempre desde el punto de vista de la normativa vigente de protección de datos. Con respecto a la parte de la idoneidad de medidas sanitarias, recomendamos encarecidamente que las empresas soliciten información a sus servicios de prevención de riesgos laborales o incluso, directamente, a las Autoridades Sanitarias.
 

  ¿Puedo tratar datos de mis trabajadores, incluyendo datos de salud, con el fin de tomar medidas preventivas para la propagación de Covid-19?

 A efectos prácticos, esta situación está causando incertidumbre a la hora de establecer hojas de ruta por parte de las empresas. Por ello, nos gustaría intentar proporcionar un contexto claro para que sepa usted en qué situaciones y como podrá tratar los datos de carácter personal de los diferentes colectivos afectados.
 
·         Diferenciar entre trabajadores pertenecientes a grupos vulnerables y los trabajadores que no pertenece a grupos vulnerables.
Con respecto a los trabajadores, y con la finalidad de evitar la propagación del COVID podríamos distinguir entre trabajadores pertenecientes a grupos vulnerables y los trabajadores que no pertenece a grupos vulnerables.
 
Con respecto a los trabajadores pertenecientes a grupos vulnerables, en las recomendaciones emitidas por el Ministerio de Sanidad se establece que es responsabilidad de los Servicios de Prevención el determinar qué trabajadores pertenecen a un grupo vulnerable para el COVID 19 en el desarrollo de su actividad laboral.
 
Asimismo, en la GUÍA PARA LA ACTUACIÓN EN EL ÁMBITO LABORAL EN RELACIÓN CON EL NUEVO CORONAVIRUS, se establece la obligación del empresario de adoptar, en su caso, medidas específicas para las personas trabajadoras especialmente sensibles.
 
Esto a su vez ya se encontraba regulado con anterioridad al estado de alarma en la Ley de Prevención de Riesgos Laborales en su artículo 25 donde se impone al empresario la obligación de dispensar una protección especial a los trabajadores sensibles a determinados riesgos.
 
Por todo ello, la empresa estaría legitimada a tratar datos de los trabajadores, eso sí cumpliendo siempre con los principios de minimización y limitación del dato contenido en la normativa vigente en materia de protección de datos.
 

 ·         Potestad de empresario de exigir la realización de test a sus empleados.

Asimismo y con respecto a las preguntas que se están planteando con respecto a la “legalidad” de la inclusión en los protocolos de las empresas de la realización de test a sus empleados con la finalidad de detección y evitar la propagación del COVID19, una vez más encontraríamos la justificación de este tratamiento de datos de carácter personal en la normativa de Prevención de Riesgos Laborales, la cual establece que “Los trabajadores tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo”. Asimismo, dispone la normativa que las empresas deberán adoptar medidas que antepongan la protección colectiva a la individual”.
 
La realización de prueba-tests, como PCR, con el fin de que el retorno laboral se haga en las mejores condiciones de salud para toda la plantilla atenderían a la recomendación que viene lanzadas en los últimos días por la Organización Mundial de la Salud (OMS) sobre la necesidad de hacer estas pruebas con el fin de combatir lo antes posible la pandemia.
 
El tratamiento de los datos de los trabajadores a través de la realización de estas pruebas-tests encontraría igualmente justificación en la normativa de PRL, donde se establece que "el empresario deberá garantizar la seguridad y la salud de los trabajadores a su servicio. A estos efectos, adoptará cuantas medidas sean necesarias".
 
Parece lógico pensar que la realización de los test podría considerarse como una medida preventiva, en tanto en cuanto, a día de hoy es una de las pocas vías que nos permiten saber con certeza si una persona es portadora de COVID o no, lo que legitimaría a las empresas a realizar estas pruebas para verificar si el estado de salud del empleado, en ese momento, puede constituir un peligro para sí mismo, sus compañeros de trabajo u otras personas relacionadas con la empresa y con las que pudiera estar en contacto. En cualquier caso, la realización del test requeriría la prescripción médica por parte de un facultativo.
 
En cuanto a qué datos se podrán tratar, habrá que cumplir con el principio de minimización del dato. En este sentido la propia ley de prevención de riesgos ya lo tiene en cuenta al regular que el acceso a la información médica será exclusivo del personal sanitario que realice esos análisis, transmitiendo al empleador tan sólo las conclusiones para que adopte las medidas preventivas necesarias. Es decir, el resultado positivo o negativo del test.
 
No se consideraría oportuna la realización del test a aquellos empleados que pueden teletrabajar. Sin perjuicio de que se realizaran los correspondientes tests una vez que el empleado se incorporara a su puesto de trabajo ubicado en la empresa.
 
Igualmente encontraríamos legitimación en el tratamiento de datos de salud por parte de la empresa en la actual normativa en materia de protección de datos, donde se establece que el tratamiento de datos personales debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación.
 

  ·         Obligaciones del propio trabajador.

La normativa de Prevención de Riesgos Laborales también establece obligaciones a los trabajadores. En este sentido, señala la ley que corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario.

En otras palabras, el trabajador que presente síntomas relacionados con el Covid-19 (tos seca, fiebre, dificultad respiratoria…), deberá informar inmediatamente a la empresa y/o delegados de prevención para que se puedan llevar a cabo las medidas de prevención y protección que se consideren más oportunas con la finalidad de proteger la seguridad y la salud del resto de trabajadores. En el caso de que el trabajador no presentara síntomas, pero haya estado en contacto directo con una persona contagiada, deberá comunicarlo igualmente para que la empresa adopte las medidas necesarias, realizar el test y/o ordenar el aislamiento para prevenir al resto de trabajadores.
 

·         Minimización y limitación del tratamiento de los datos.

En todos los casos anteriormente expuestos, la empresa solo podría tratar aquellos datos necesarios para llevar a cabo la finalidad perseguida, esto es, evitar la propagación del COVID19 mediante el diseño a través de su servicio de prevención de los planes de contingencia que sean necesarios, o que hayan sido previstos por las Autoridades Sanitarias, proteger intereses vitales del interesado y funciones preventivas, adaptación de puestos de trabajo, así como cualquier otra medida que la empresa estime necesaria para cumplir con la finalidad. Igualmente, y en relación con el principio de limitación de datos, la información de los trabajadores estará solamente accesible por las personas estrictamente necesarias para llevar a cabo este cometido.
 
Con respecto al periodo de conservación de dichos datos, la empresa podrá conservarlo el tiempo mínimo necesario para cumplir con la finalidad con la que fueron recabados, es decir, para garantizar la seguridad en el trabajo.
 

 ¿Puedo exigir a los empleados de mis subcontratas las mismas medidas que a mis propios empleados?

Dentro del proceso de coordinación de actividades empresariales en el marco de Prevención de Riesgos Laborales se establece que el empresario debe velar por  la seguridad de todo personal que se encuentra en sus instalaciones y en consecuencia todas medidas descritas en este artículo serán de aplicación a sus trabajadores, subcontratas y a todas aquellas empresas que accedan a los locales de la empresa. Es evidente que, ciertas medidas exigirán la coordinación y colaboración con la empresa del empleado de subcontratista toda vez que, por ejemplo, el empresario no podría exigir directamente al empleado de un servicio ajeno que visite a modo periódico sus instalaciones la realización de un test sobre Covid-19, etc.
 

 ¿Puedo tratar datos de mis clientes?

Con respecto a las medidas que se puedan tomar para clientes de establecimientos, la normativa de PRL no recoge directamente estos supuestos por lo que habrá que hacer una ponderación para delimitar qué acciones podría tomar la empresa para, de un lado, garantizar la integridad de sus trabajadores y la continuidad de su negocio y, de otro, no menoscabar los derechos fundamentales de los usuarios y o clientes. 
 
No obstante, la posible base jurídica que como hemos visto anteriormente obliga a los empresarios a garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo, podría operar a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento de los datos relativos a clientes y usuarios de locales y centros comerciales, ya que posibles casos de contagio entre estos grupos de personas podría afectar también a los empleados del establecimiento.
 
Con motivo del proceso de “desescalada” se está detectado la progresiva implementación en diversos entornos de aparatos para la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, etc.
 
Actualmente, no hay ninguna norma que prohíba el uso de estos medios. Sin embargo, en un comunicado reciente, la Agencia Española de Protección de Datos considera necesario destacar su preocupación por este tipo de actuaciones, que se están realizando sin el criterio previo y necesario de las Autoridades Sanitarias.
 

·         Necesidad de garantías sobre el tratamiento de datos de salud de los clientes/usuarios de los establecimientos.

Este tipo de casuística implica el tratamiento de datos de carácter personal de los colectivos afectado y, por ello, se deberían de ofrecer unas garantías para poder cumplir con la normativa vigente en materia de protección de datos de carácter personal. Asimismo, el tratamiento de estos datos debería garantizar la protección del derecho fundamental a la protección de datos en sí misma.
 
La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la Autoridad Sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.
 
En ese sentido, debe tenerse en cuenta, entre otras cuestiones, que, según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.
 
Es por ello por lo que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las Autoridades Sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.
  

·         Sustitución con medidas de igual eficacia y menos intrusivas para los derechos de las personas.

Para garantizar la protección de datos de los coletivos afectados se podrían aplicar medidas alternativas que sean menos invasivas y que, a día de hoy, se encuentran recogidas en la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado.
 
A efectos meramente enunciativos podríamos destacar las siguientes:
 
  • Uso obligatorio de mascarillas para acceso a locales.
  • Sistema de cita previa que garantice la permanencia en el interior del establecimiento o local en un mismo momento de un único cliente por cada trabajador, sin que se puedan habilitar zonas de espera.
  • Atención individualizada al cliente con la debida separación física o la instalación de mostradores o mamparas.
  • Horario de atención preferente para mayores de 65 años, que deberá coincidir con las franjas horarias establecidas para sus paseos y actividad física.
  • El tiempo de permanencia en los establecimientos y locales será el estrictamente necesario para que los clientes puedan realizar sus compras o recibir la prestación del servicio.
  • Deberá señalarse de forma clara la distancia de seguridad interpersonal de dos metros entre clientes, con marcas en el suelo o mediante balizas, cartelería y señalización.
  • Deberá ponerse a disposición del público dispensadores de geles hidroalcohólicos en la entrada del local.
  • En las zonas de autoservicio deberá prestar el servicio un trabajador del establecimiento, con el fin de evitar la manipulación directa de los productos por parte de los clientes.
  • En los establecimientos del sector textil y de arreglos de ropa los probadores deberán utilizarse por una única persona y después de su uso se limpiarán y desinfectarán. La prenda probada que finalmente no se adquiera deberá ser higienizada antes de facilitarse a otros clientes.
 
En cualquier caso, habrá que estar atentos a la evolución de las fases de la desescalada y la “nueva normalidad” y las posibles recomendaciones y medidas adoptadas por las Autoridades Sanitarias.
 
 
 
Carolina Hidalgo
Consultora Sr DGE Compliance