Actualmente nos encontramos en un desafío en la lucha por contener el coronavirus (COVID-19). Varios países están implementando medidas de emergencia para contener la pandemia, y los países europeos se encuentran actualmente en el epicentro del brote.
Las empresas buscan adoptar medidas que apoyen la continuidad del negocio, al tiempo que proteger adecuadamente la salud y la seguridad de los trabajadores, clientes, etc. y cumplir con protocolos más amplios de salud pública. El ritmo de respuesta se mueve rápidamente, ya que el impacto de la pandemia se propaga rápidamente.
A medida que las organizaciones implementan medidas de emergencia, es importante tener en cuenta las implicaciones de privacidad de cualquier medida que se tome. En la Unión Europea, cualquier medida que implique el tratamiento de datos personales puede dar lugar a problemas de cumplimiento de protección de datos que deberán gestionarse de conformidad con el Reglamento General de Protección de Datos («RGPD»).
Durante la última semana, hemos podido comprobar que la inmensa mayoría de las autoridades de control han emitido orientaciones y directrices sobre este tema. Generalmente explican que las normas RGPD todavía se aplican durante toda la pandemia y señalan las disposiciones clave que deben abordarse para alentar a las empresas a pensar en la recopilación de datos excesivos y garantizar que los datos de salud en particular no se recopilen a menos que se cumpla una condición especial. La mayoría reconoce mayores presiones derivadas de la pandemia y, en algunos casos, indica que cualquier déficit en el cumplimiento durante el período actual se considerará de manera apropiada cuando se considere la aplicación.
Este artículo es una recopilación de las distintas pautas de actuación de las autoridades de control, con un breve resumen de cada una de ellas y focalizando el análisis en las estipulaciones publicadas por la AEPD. Además, al final del mismo, se encuentra una recopilación de legislación específica para varios sectores como, por ejemplo: seguridad de la información, regulación financiera, bancaria, mercado de seguros, laborales, etc.
La AEPD publicó un informe acerca de los tratamientos de datos personales resultantes de la actual situación derivada de la extensión de la enfermedad COVID-19. Tomando como referencia el Considerando 46 del RGPD, en el que se establece que el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física, incluido el control de epidemias y su propagación. Como base legitimadora para el tratamiento de datos personales, el RGPD reconoce explícitamente: la misión realizada en interés público (artículo 6.1.e) o los intereses vitales del interesado u otras personas físicas (artículo 6.1.d), sin perjuicio de otras posibles. No obstante, para el tratamiento de datos de salud no basta con que exista una base legitimadora, sino que además debe concurrir una circunstancia habilitante del artículo 9 que levante la prohibición de tratamiento de dicha categoría especial de datos (letras b, g, i y h).
La normativa de protección de datos permitiría adoptar al responsable de tratamiento las decisiones que las autoridades competentes establezcan con el objetivo de salvaguardar los intereses esenciales esgrimidos. La normativa española establece medidas para enfrentarse a situaciones de riesgo sanitario en la Ley General de Salud Pública y la LO 3/1986. Además, en el ámbito del derecho laboral, la normativa de prevención de riesgos laborales establece que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional. Ello se concreta en que deberán informar, de inmediato, a su superior jerárquico directo y a los trabajadores designados para realizar actividades de protección y de prevención acerca de cualquier situación que entrañe un riesgo para la seguridad y la salud de los trabajadores
Por último, se destaca que, en estos tratamientos de datos, siguen vigentes la totalidad de principios y reglas generales de protección de datos con especial atención al principio de licitud y transparencia, limitación de la finalidad y exactitud y que no puede confundirse conveniencia con necesidad.
Además, la AEPD publica unas FAQs sobre tratamientos de datos de salud derivados de la situación generada por la expansión de la enfermedad COVID-19 orientadas, sobre todo, al ámbito empresarial. El documento intenta responder a seis consultas frecuentes.
Por su parte la Agencia Catalana de Protección de Datos ha publicado sus directrices y de las mismas destaca lo siguiente:
Autoridad de control italiana, nuevas medidas provenientes del protocolo firmado con el Gobierno y los sindicatos:
https://www.cisl.it/attachments/article/15466/Protocollo.pdf
Il Garante (autoridad de control italiana:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117
Autoridad de control belga:
Autoridad de control húngara:
https://www.naih.hu/files/NAIH_2020_2586_EN.pdf
Declaración del Presidente del EDPB:
Autoridad de control noruega:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/koronasmitte-og-personvern/
Autoridad de control irlandesa:
https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19
CNIL:
ICO:
https://ico.org.uk/coronavirus
Autoridad de control croata:
Como resumen de lo anterior, se desprende que en general, las autoridades de protección de datos europeas, recomiendan que se cumplan los siguientes puntos al considerar el riesgo de privacidad asociado a cualquier actividad adicional de procesamiento de datos con motivo de las actividades de gestión y prevención de contagio de COVID-19:
No solo se han producido guías en lo relativo a la privacidad, la situación excepcional que se atraviesa hace que distintas autoridades den pautas de actuación en sus respectivos sectores. En este apartado recogemos las recomendaciones de distintas organizaciones respecto a sus ámbitos de control.
Seguridad de la información:
Regulación financiera:
Regulación del mercado de seguros:
Regulación bancaria:
Autoridades laborales:
Seguridad y salud en el trabajo:
Órganos jurisdiccionales:
Paseo de la Castellana, 52.
28046 Madrid
(+34) 91 001 67 67
C/Zurita 10, entresuelo dcha.
50001 Zaragoza
(+34) 976 11 37 57
Avenida Diagonal, 468.
08029 Barcelona
(+34) 93 807 48 50
C/ Pedro de Valdivia, 10.
28006 Madrid
(+34) 91 001 67 67
Contamos con la certificación
ISO/IEC 27001 de Seguridad
de la Información