jueves, 21 enero, 2021

Luces y sombras ante la protección de datos en tiempos de COVID-19




Por Lorea Roncal, asociada del área de Protección de Datos y Seguridad de la Información de ECIJA.

En una situación de emergencia mundial, con consecuencias devastadoras a nivel de salud pública, situación económica y laboral, era imposible predecir cómo se iba a reaccionar ante los cambios que han sobrevenido.

En este articulo pretendemos realizar un breve acercamiento a ciertas situaciones y a las medidas aplicadas en tales situaciones, a la ponderación de derechos como la protección de datos y la privacidad de las personas, y la prevención y protección de la salud de los ciudadanos.

El deseo de evitar contagios, extensión de virus y proteger la vida de los interesados, nos ha hecho plantearnos si, a nivel ético y legal, era lícito la toma y anotación de  temperaturas en centros de trabajo, la obligatoriedad de comunicar el estado de salud a uno u otro departamento en la empresa o a la escuela correspondiente, el teletrabajo, o la posibilidad de geolocalizar personas contagiadas mediante Apps al efecto e incluso a emitir certificados de vacunación que doten de mayores derechos de movilidad a  los ciudadanos, provocando, en mayor o menor medida, posturas discriminatorias y diferencias de derechos entre unos y otros

Analizaremos por partes ciertas situaciones y trataremos de dar o recordar las respuestas a éstas:

¿Es lícita la toma de temperaturas a la entrada de edificios: centro de trabajo, centros de estudios?

La salida del estado de alarma con las restricciones más fuerte a nivel de movilidad trajo consigo la vuelta a la vida socio económica y al puesto de trabajo con dudas cobre la seguridad y las medidas empresariales y personales a tener en cuenta.

La reincorporación a los centros de trabajo reduciendo en la mayor medida posible el riesgo de exposición al COVID-19 llevó al Ministerio de Sanidad a publicar una “Guía de buenas prácticas en centros de trabajo para prevenir los contagios del COVID-19” en la que se integran las medidas más esenciales de higiene y distancia interpersonal a aplicar antes, durante y después de la asistencia al trabajo.

La toma de temperaturas, siempre y cuando de forma sistemática no se alinee con los datos personales de identificación de las personales es una medida del todo licita para evitar contactos con posibles positivos y extensión del propio virus, apliquemos siempre el principio de minimización y proporcionalidad en la recogida y tratamiento de datos personales; ahora bien, recordemos que desde un principio hablamos de ponderación, teniendo siempre presente que es obligación de la empresa garantizar la seguridad y la salud de las personas trabajadoras a su servicio.

En caso de la existencia a de una persona con temperatura superior a la que el estado estimó “adecuada” será esta misma persona la que deberá comunicárselo al departamento correspondiente, y responsable de Salud laboral, teniendo como posible consecuencia desde la ausencia al puesto de trabajo a la elaboración de una prueba PCR y el confinamiento domiciliario durante un mayor o menor tiempo atendiendo a los resultados de la prueba antedicha.

¿Y en espacios públicos?

A este respecto la Agencia hace una manifestación clara y contundente, diferenciándolo del supuesto anterior, ya que la toma de temperaturas en espacios y lugares públicos de forma sistemática puede suponer una vulneración ilegitima de la protección de nuestros datos personales y nuestra privacidad.

La AEPD establece que “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.

Por otro lado, los controles de temperatura en espacios públicos pueden suponer la eventual denegación de acceso a una persona, desvelando a terceros que no tienen ninguna justificación para conocerlo, que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.

¿Podemos negarnos a que se nos realice una PCR?

La realización de esta prueba u otra de análoga finalidad no solo es un ejercicio de responsabilidad personal, sino también social y legal, por cuanto el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, es claro en este aspecto, dado que en su artículo 24 recoge la obligación de los sistemas de salud de  todas las CCAA de realizar una prueba diagnóstica por PCR u otra técnica de diagnóstico similar, tan pronto como sea posible desde el conocimiento de los síntomas a todo caso sospechoso de COVID-19.

¿He de informar a la empresa en caso de estar en cuarentena por COVID?

  1. El derecho a no informar sobre el motivo concreto de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en particular y de la población en general, en situaciones tan particulares como la pandemia.

Es más, la empresa debe saber la existencia  del motivo concreto de baja por COVID porque de ahí debe diseñar planes de contingencia que en otras situaciones no diseñaría; Si es posible, y en orden al  respeto a la privacidad, debería saber la empresa el caso de un positivo SIN  identificar la persona afectada, si bien esto es mera teoría, dado que la información parcial puede suponer la puesta en peligro de otros empleados, y en la mayoría d ellos casos conocer los datos del afectado lleva a la aplicación de medidas más concretas, planes de contingencia más individualizados y adaptados al caso concreto.

Llegado este momento, e independientemente del resultado, el confinamiento domiciliario temporal puede llevarnos, cuando sea posible a teletrabajar (Siempre y en la medida en que la empresa así lo permita -recordemos que no es una obligación para las empresas-, y cumpliendo unos protocolos de medios y de seguridad previamente establecido), de ahí nuestra siguiente cuestión:

¿Puedo obligar a la empresa a facilitarme el teletrabajo? ¿Puede obligarme la empresa a teletrabajar?

La respuesta es clara, NO. Pese a que se fomente el teletrabajo en la situación que vivimos actualmente, ningún trabajador puede “obligar” a su empleador a permitirle el teletrabajo. Esta “prohibición” es bidireccional, en tanto en cuanto un trabajador puede ejercer la negativa a teletrabajar, y la empresa tampoco puede obligarle a ello.

Estas modificaciones han de venir reguladas por la negociación colectiva y así se recoge en el propio Estatuto del trabajador, en el artículo 34.8 según el cual Las personas trabajadoras tienen derecho a solicitar las adaptaciones de la duración y distribución de la jornada de trabajo, en la ordenación del tiempo de trabajo y en la forma de prestación, incluida la prestación de su trabajo a distancia , si bien será en negociación colectiva donde se pactarán los términos de su ejercicio, siendo así que la empresa abrirá un proceso de negociación con la persona trabajadora durante un periodo máximo de 30 días.

¿Qué vinculaciones con la privacidad tiene el teletrabajo?

Con el fin de reducir la probabilidad de exposición y contagio por COVID-19, garantizando al mismo tiempo la continuidad de la actividad empresarial y las relaciones laborales, se han de crear protocolos a seguir en casos de trabajo deslocalizado o teletrabajo, priorizando esta situación frente a frente al cese de la relación laboral, de la prestación de servicios, reducciones de jornada o cesación temporal de la relación laboral. Esos protocolos han de reflejar la incidencia del teletrabajo en distintas materias:

En materia de protección de datos, la empresa hará hincapié en la información al trabajador deslocalizado de cualquier limitación en la utilización del equipo o de herramientas informáticas, régimen de responsabilidad, y sanciones, en caso de incumplimiento.

En materia de seguridad informática, la empresa informará sobre las medidas a seguir a fin de cumplir con unos estándares mínimos de seguridad en el tratamiento de la información: Control de accesos, password, sistema de doble verificación, copias de seguridad, accesos en remoto a servidores empresariales, veto de uso ocioso o personal de ciertos dispositivos, monitorización etc.

En materia de propiedad intelectual, definir claramente el alcance de la información confidencial (con especial énfasis en los secretos empresariales) control de accesos, así como el recordatorio de titularidad y autoría en caso de creaciones en régimen laboral con medios empresariales.

En materia laboral, el acuerdo deja claro que a este tipo de trabajadores no se les modifican sus derechos ni obligaciones, sino que tienen los mismos que cualquier trabajador que presta sus servicios en el centro de trabajo de la empresa (salvo aquéllos inherentes a la realización de la prestación laboral de manera presencial); la desconexión digital, el control de la jornada podrá valerse de aplicaciones informáticas siempre y cuando ello no vulnere derechos fundamentales de la persona. Recordemos derechos como la inviolabilidad del domicilio y el control del ejercicio laboral a distancia mediante la comprobación de la conexión del trabajador a la intranet empresarial y de su actividad en la red, no supone en principio, invasión del espacio protegido bajo el concepto de domicilio, siendo además susceptible de inspección y control por la Administración laboral.

Conclusiones: ¿Dónde queda el derecho a la protección de datos personales y nuestra privacidad en la situación de pandemia?

Bien, la protección de datos personales nunca había sido un tema más populista hasta el surgir de la pandemia, si bien hay un detalle que hemos de tener presente: LA protección de datos es un derecho fundamental, pero no absoluto.

La seguridad y salud de las personas entran en colisión con la privacidad y la protección de datos desde el mismo momento de detección de un positivo, y de la obligación del estado, en aras a proteger la salud pública, de “rastrear” los contactos de ese positivo.

La finalidad es evitar la propagación del virus, y ello implica la intromisión en mayor o menor medida en la privacidad de las personas, tanto de aquel obligado a dar la información como de aquellas personas que reciben la llamada del rastreador porque alguien ha dado sus nombre y teléfonos.

En estos casos prevalece, sin lugar a duda, el interés colectivo.

Ante la multitud de cuestiones formuladas al respecto la Agencia Española de Protección de Datos (AEPD) emitió un informe con la finalidad de aclarar algunos de estos puntos. El RGPD (Artículo 6.1.d) reconoce como lícitos los tratamientos de datos cuando estos sean necesarios para proteger intereses vitales del interesado o de otra persona física, es decir en situaciones excepcionales cuando se fundamenten en el propio interés público,

En consecuencia, cuando ponderamos los derechos individuales frente a los colectivos, cuando esgrimimos los derechos fundamentales como absolutos, no hacemos más que ir en contra del interés colectivo, y en consecuencia, del nuestro propio.


Compartir