El tratamiento de datos personales y otras consideraciones normativas derivadas de COVID-19

Actualmente nos encontramos en un desafío en la lucha por contener el coronavirus (COVID-19). Varios países están implementando medidas de emergencia para contener la pandemia, y los países europeos se encuentran actualmente en el epicentro del brote.

Las empresas buscan adoptar medidas que apoyen la continuidad del negocio, al tiempo que proteger adecuadamente la salud y la seguridad de los trabajadores, clientes, etc. y cumplir con protocolos más amplios de salud pública. El ritmo de respuesta se mueve rápidamente, ya que el impacto de la pandemia se propaga rápidamente.

A medida que las organizaciones implementan medidas de emergencia, es importante tener en cuenta las implicaciones de privacidad de cualquier medida que se tome. En la Unión Europea, cualquier medida que implique el tratamiento de datos personales puede dar lugar a problemas de cumplimiento de protección de datos que deberán gestionarse de conformidad con el Reglamento General de Protección de Datos («RGPD»).

Durante la última semana, hemos podido comprobar que la inmensa mayoría de las autoridades de control han emitido orientaciones y directrices sobre este tema. Generalmente explican que las normas RGPD todavía se aplican durante toda la pandemia y señalan las disposiciones clave que deben abordarse para alentar a las empresas a pensar en la recopilación de datos excesivos y garantizar que los datos de salud en particular no se recopilen a menos que se cumpla una condición especial. La mayoría reconoce mayores presiones derivadas de la pandemia y, en algunos casos, indica que cualquier déficit en el cumplimiento durante el período actual se considerará de manera apropiada cuando se considere la aplicación.

Este artículo es una recopilación de las distintas pautas de actuación de las autoridades de control, con un breve resumen de cada una de ellas y focalizando el análisis en las estipulaciones publicadas por la AEPD. Además, al final del mismo, se encuentra una recopilación de legislación específica para varios sectores como, por ejemplo: seguridad de la información, regulación financiera, bancaria, mercado de seguros, laborales, etc.

Agencia Española de Protección de Datos (AEPD)

La AEPD publicó un informe acerca de los tratamientos de datos personales resultantes de la actual situación derivada de la extensión de la enfermedad COVID-19. Tomando como referencia el Considerando 46 del RGPD, en el que se establece que el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física, incluido el control de epidemias y su propagación. Como base legitimadora para el tratamiento de datos personales, el RGPD reconoce explícitamente: la misión realizada en interés público (artículo 6.1.e) o los intereses vitales del interesado u otras personas físicas (artículo 6.1.d), sin perjuicio de otras posibles. No obstante, para el tratamiento de datos de salud no basta con que exista una base legitimadora, sino que además debe concurrir una circunstancia habilitante del artículo 9 que levante la prohibición de tratamiento de dicha categoría especial de datos (letras b, g, i y h).

La normativa de protección de datos permitiría adoptar al responsable de tratamiento las decisiones que las autoridades competentes establezcan con el objetivo de salvaguardar los intereses esenciales esgrimidos. La normativa española establece medidas para enfrentarse a situaciones de riesgo sanitario en la Ley General de Salud Pública y la LO 3/1986. Además, en el ámbito del derecho laboral, la normativa de prevención de riesgos laborales establece que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional. Ello se concreta en que deberán informar, de inmediato, a su superior jerárquico directo y a los trabajadores designados para realizar actividades de protección y de prevención acerca de cualquier situación que entrañe un riesgo para la seguridad y la salud de los trabajadores

Por último, se destaca que, en estos tratamientos de datos, siguen vigentes la totalidad de principios y reglas generales de protección de datos con especial atención al principio de licitud y transparencia, limitación de la finalidad y exactitud y que no puede confundirse conveniencia con necesidad.

Además, la AEPD publica unas FAQs sobre tratamientos de datos de salud derivados de la situación generada por la expansión de la enfermedad COVID-19 orientadas, sobre todo, al ámbito empresarial. El documento intenta responder a seis consultas frecuentes.

Se puede tratar si es necesario para preservar y proteger la salud de los trabajadores, con especial respeto al principio de minimización de datos.
Sin datos identificativos, salvo que las autoridades sanitarias estimen conveniente la identificación del afectado.
A expensas de lo que decidan las autoridades sanitarias. No obstante, podría considerarse necesario como medida de prevención de riesgos en el centro de trabajo. Debe respetarse el principio de proporcionalidad y minimización de datos.
A expensas de lo que decidan las autoridades sanitarias.
Sí, deben informar al empresario y/o al servicio de prevención. Si el empleado está de baja no tiene por qué indicar la razón de la baja, salvo que prevalezca el derecho a la protección de la salud del colectivo de trabajadores.
Conforme a PRL si lo hace personal sanitario y se limita la finalidad y el plazo de conservación.

Agencia Catalana de Protección de Datos

Por su parte la Agencia Catalana de Protección de Datos ha publicado sus directrices y de las mismas destaca lo siguiente:

Se habilitan el tratamiento de datos personales, incluidas categorías especiales de datos tales como los datos de salud, por parte de las autoridades en materia de salud pública.
Los ciudadanos que conozcan hechos, datos o circunstancias que puedan constituir un riesgo o peligro grave para la salud de la población deben comunicárselo a las autoridades en materia de salud pública y que estas puedan recoger y tratar.
Se pueden adoptar medidas para el control de las personas que estén o hayan estado en contacto con los enfermos o los portadores. Estas medidas deben adoptarse en el marco de la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública.

Tratamiento de datos personales por otras Autoridades de Control Europeas

Autoridad de control italiana, nuevas medidas provenientes del protocolo firmado con el Gobierno y los sindicatos:

https://www.cisl.it/attachments/article/15466/Protocollo.pdf

La temperatura corporal solo se mide en tiempo real, y no se registra a menos que sea necesario para documentar que un empleado no fue permitido en las instalaciones debido a que su temperatura es superior a 37.5 °.
Los empleados reciben un aviso de privacidad apropiado, que debe especificar, entre otras cosas, que: (i) el propósito del procesamiento es limitar el contagio de COVID-19; (ii) la base legal para el tratamiento es el cumplimiento de las medidas contra el contagio adoptadas por el Gobierno italiano; y (iii) los datos posiblemente puedan conservarse durante el estado de emergencia. Tal aviso también se puede proporcionar oralmente.
Adoptan medidas de seguridad apropiadas e identifican y proporcionan instrucciones adecuadas al personal a cargo del tratamiento.
Los datos que recopilan se tratan exclusivamente con el fin de limitar la propagación del virus y no se comunican a terceros que no sean las autoridades públicas competentes u otras entidades autorizadas.
La información sobre las personas infectadas por COVID-19 o que experimentan sus síntomas se trata de forma confidencial. Esto también se aplica a la información proporcionada por el empleado sobre si se ha visitado un «área de riesgo» o ha estado en contacto con personas infectadas.

Il Garante (autoridad de control italiana:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117

Los empleadores deben abstenerse de recopilar de manera sistemática y generalizada, también a través de solicitudes específicas al trabajador individual o investigaciones no autorizadas, información sobre la presencia de cualquier síntoma de gripe del trabajador y sus contactos más cercanos.
Los trabajadores de la salud y el sistema de protección civil son responsables de determinar y recopilar información relacionada con los síntomas típicos del coronavirus e información sobre los movimientos recientes de cada individuo.
Si durante la actividad laboral, el empleado que realiza tareas en contacto con el público (por ejemplo, servicios de mostrador) y se está en contacto con un caso sospechoso de Coronavirus, él mismo, también a través del empleador, comunicará la circunstancia a los servicios de salud competentes y cumplirá con las indicaciones de prevención proporcionadas por los trabajadores de salud consultados.

Autoridad de control belga:

https://www.autoriteprotectiondonnees.be/covid-19-et-traitement-de-donn%C3%A9es-%C3%A0-caract%C3%A8re-personnel-sur-le-lieu-de-travail

Teniendo en cuenta la información más reciente emitida por las autoridades de salud pública, las empresas y los empleadores no pueden basarse en el Artículo 6.1 d) RGPD («tratamiento necesario para salvaguardar los intereses vitales del interesado u otra persona física»). Las empresas no deben evaluar los riesgos para la salud de los empleados. Esa tarea pertenece a los médicos ocupacionales, es decir, un médico especializado en la salud.
Se debe informar a los empleados y visitantes sobre los fines para los que se procesan sus datos y el período durante el cual se conservarán sus datos personales.
No se pueden realizar verificaciones generalizadas y sistemáticas de los empleados (p. Ej., Temperaturas). Los controles serán realizados por el médico del trabajo. No se puede exigir a un empleado que complete un formulario sobre la situación de salud de ese empleado o sus viajes recientes.

Autoridad de control húngara:

https://www.naih.hu/files/NAIH_2020_2586_EN.pdf

La recopilación y el tratamiento de datos personales solo pueden considerarse necesarios si el propósito no puede lograrse por otros medios. La recopilación, el tratamiento y el almacenamiento de los datos deben ser proporcionales. El responsable debe proporcionar al interesado la información requerida en virtud del artículo 13 del RGPD.
Los empleadores deben asegurarse de proporcionar un entorno de trabajo seguro, que incluye la planificación y el funcionamiento de los procedimientos de protección de datos. Este plan debe constar de un plan de continuidad comercial, proporcionar información detallada sobre el coronavirus, se deben cancelar o posponer los viajes de negocios y eventos e informar cualquier contacto sospechoso con el coronavirus.
Los proveedores de atención médica y los profesionales médicos deben seguir las normas de protección de datos que les sean aplicables, incluidas las obligaciones establecidas en el Artículo 6.1 c) y el Artículo 9.2 RGPD.
Los empleados deben cooperar y, de acuerdo con los principios de buena fe e integridad, informar a sus empleadores si tienen conocimiento de cualquier riesgo de infección que pueda afectar su lugar de trabajo, sus colegas o terceros.
La guía señala que es un delito no seguir la legislación relativa a la propagación de enfermedades infecciosas, y quienes infectan a otros a propósito pueden ser declarados culpables de causar daños corporales graves o daños corporales graves que causan la muerte.
La guía señala que es un delito no seguir la legislación relativa a la propagación de enfermedades infecciosas, y quienes infectan a otros a propósito pueden ser declarados culpables de causar daños corporales graves o daños corporales graves que causan la muerte.

Declaración del Presidente del EDPB:

https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

Las reglas de protección de datos (como RGPD) no obstaculizan las medidas tomadas en la lucha contra la pandemia de coronavirus. Sin embargo, me gustaría subrayar que, incluso en estos momentos excepcionales, el responsable de datos debe garantizar la protección de los datos personales de los interesados.
Se permite que los empleadores y las autoridades competentes de salud pública procesen datos personales en el contexto de epidemias, sin la necesidad de obtener el consentimiento del interesado.
Se establece el principio de que los datos de ubicación solo pueden ser utilizados por el operador cuando se hacen anónimos, o con el consentimiento de las personas. Esto podría permitir generar informes sobre la concentración de dispositivos móviles en una determinada ubicación («geolocalización»).
Si no es posible procesar solo datos anónimos, el art. 15 de la Directiva sobre privacidad electrónica permite a los Estados miembros introducir medidas legislativas que persiguen la seguridad nacional y la seguridad pública. Esta legislación de emergencia es posible bajo la condición de que constituya una medida necesaria, apropiada y proporcionada.

Autoridad de control noruega:

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/koronasmitte-og-personvern/

La información sobre si alguien está infectado por COVID-19 califica como datos de salud;
La información sobre si un individuo ha regresado de un «área de riesgo» no califica como datos de salud;
La información sobre si un individuo ha sido puesto en cuarentena (sin mencionar la razón específica) es de hecho dato personal, pero no califica como dato de salud.
El empleador puede revelar dentro de su organización que un empleado ha sido infectado por el virus o puesto en cuarentena, si esto es necesario para garantizar un ambiente de trabajo seguro y se realiza de acuerdo con el «sentido común».

Autoridad de control irlandesa:

https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19

Cuando las organizaciones actúan bajo la guía o instrucciones de las autoridades públicas competentes, es probable que el tratamiento de datos relevante se considere legal sobre la base de que es «necesario por razones de interés público en el área de salud pública” según el Artículo 9.2 RGPD.
Se deben implementar medidas de seguridad como limitaciones en el acceso a los datos, límites de tiempo estrictos para el borrado y otras medidas, como la capacitación adecuada del personal para proteger los derechos de protección de datos de las personas.
Las empresas pueden utilizar la base el Artículo 9.2 b) RGPD para tratar los datos personales de sus empleados, ya que los empleadores tienen la obligación legal de proteger a sus empleados bajo laLey irlandesa de seguridad, salud y bienestar en el trabajo de 2005. Sin embargo, los empleadores deben basarse en esta base legal solo cuando se considere necesario y proporcionado para hacerlo, y deben asegurarse de que cualquier información sea tratada de manera confidencial.

CNIL:

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles

El empleador es responsable de la salud y seguridad de los empleados / agentes de acuerdo con el Código Laboral y los textos que rigen el servicio público(particularmente el artículo L. 4121-1 del Código Laboral).
Un empleador puede registrar la fecha e identidad de la persona sospechosa de haber sido expuesta y las medidas organizativas tomadas (encierro, teletrabajo, orientación y contacto con el médico del trabajo, etc.).
Los datos de salud pueden ser recopilados por autoridades sanitarias, calificadas para tomar las medidas apropiadas a la situación. La evaluación y recopilación de información relacionada con los síntomas del coronavirus y la información sobre los movimientos recientes de ciertas personas es responsabilidad de estas autoridades públicas.

ICO:

https://ico.org.uk/coronavirus

Las leyes de protección de datos y comunicación electrónica no impiden que el Gobierno, el NHS o cualquier otro profesional de la salud envíe mensajes de salud pública a las personas, ya sea por teléfono, mensaje de texto o correo electrónico, ya que estos mensajes no son marketing directo.
Los organismos públicos pueden requerir la recopilación y el intercambio adicional de datos personales para proteger contra amenazas graves a la salud pública.
Se debe mantener informado al personal sobre los casos en su organización. Sin nombrar individuos y sin proporcionar más información de la necesaria. Existe la obligación de garantizar la salud y la seguridad de los empleados.
Es razonable pedir a las personas que le digan si han visitado un país en particular o si están experimentando síntomas de COVID-19.

Autoridad de control croata:

https://azop.hr/aktualno/detaljnije/obrada-osobnih-podataka-o-zdravlju-u-kontekstu-izvanredne-situacije-izazvanhttps://azop.hr/aktualno/detaljnije/obrada-osobnih-podataka-o-zdravlju-u-kontekstu-izvanredne-situacije-izazvan

El tratamiento de datos tiene que fundamentarse en una de las bases legitimadoras establecidas en el art.6 del RGPD y, en caso del tratamiento de datos de saludo, en las excepciones establecidas en el art.9.2. del RGPD
Tanto la ley local de trabajo como la de protección de riesgos laborales establecen la obligación para el empresario de implementar las medidas necesarias para la seguridad y salud de los trabajadores
La agencia indica que las bases legitimadoras del tratamiento en el actual contexto del brote del coronavirus son el cumplimiento de obligaciones legales y la protección de intereses vitales (art.6.1.c y d del RGPD) y, en lo que respecta a los datos de salud en el entorno laboral, el art.9.2. b), es decir, el tratamiento necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social
Por ultimo, la agencia indica que el tratamiento ha de ser necesario y proporcional y siempre sujeto al principio de minimización de datos

Decálogo de actuación

Como resumen de lo anterior, se desprende que en general, las autoridades de protección de datos europeas, recomiendan que se cumplan los siguientes puntos al considerar el riesgo de privacidad asociado a cualquier actividad adicional de procesamiento de datos con motivo de las actividades de gestión y prevención de contagio de COVID-19:

Asegurar que las medidas implementadas sean consistentes con los consejos de salud pública actuales (y en rápida evolución).
Limitar la naturaleza y el volumen de la actividad adicional de procesamiento de datos personales a lo absolutamente necesario para llevar a cabo la medida de respuesta relevante. Siempre que sea posible, evite tratar información específica relacionada con la salud que pueda vincularse a un individuo.
Asegurar que las medidas tengan un tiempo estrictamente limitado para hacer frente a la pandemia actual y se reduzcan una vez que ya no sean necesarias.
Intentar que todas las medidas adicionales sean supervisadas y aprobadas por un profesional de la salud / profesional de la salud laboral, en particular si se están tratando datos de salud.
Mostrar un aviso para explicar qué datos se recopilan, por quién y para qué fines y (según corresponda) actualizar las políticas de privacidad.
Mantener un registro de la base legal para el tratamiento.
Cumplir con los otros principios relevantes del RGPD sobre retención, seguridad, etc.
Registrar la toma de decisiones en una evaluación de impacto de protección de datos.
Al tratar con datos del ámbito laboral y decisiones relacionadas, también considerar el cumplimiento de las leyes laborales y comprender el impacto en los derechos laborales de los interesados.

Normativa Sectorial

No solo se han producido guías en lo relativo a la privacidad, la situación excepcional que se atraviesa hace que distintas autoridades den pautas de actuación en sus respectivos sectores. En este apartado recogemos las recomendaciones de distintas organizaciones respecto a sus ámbitos de control.

Seguridad de la información:

Cómo teletrabajar de forma segura (https://www.incibe.es/protege-tu-empresa/blog/tu-casa-tambien-tu-oficina-protegela)
CCN-CERT. Recomendaciones ante las campañas de malware y de desinformación CiberCOVID19 (https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9662-recomendaciones-ante-las-campanas-de-malware-y-de-desinformacion-cibercovid19.html)
CCN-CERT. Medidas de seguridad para acceso remoto (https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/abstract/191-abstract-politica-de-acceso-remoto-seguro/file)
Agencia de la Unión Europea para la Ciberseguridad (ENISA).Top Tips for Cybersecurity when Working Remotely (https://www.enisa.europa.eu/news/executive-news/top-tips-for-cybersecurity-when-working-remotely)
Agencia de la Unión Europea para la Ciberseguridad (ENISA).Prevention is the cyberdefence for hospitals (https://www.enisa.europa.eu/news/enisa-news/prevention-is-the-cyberdefence-for-hospitals)

Regulación financiera:

ESMA: Recomendaciones de ESMA a los participantes del mercado ante el impacto del COVID-19 (https://www.cnmv.es/portal/verDoc.axd?t=%7b8eb101cf-39ed-4858-8b17-b09c1f8c5ec6%7d)
Claves: todos los participantes en el mercado deben estar preparados para aplicar sus planes de contingencia. Los emisores de valores deben comunicar información significativa sobre impacto del COVID-19 en la organización.
CNMV: Consideraciones de la CNMV sobre las juntas generales de las sociedades cotizadas (https://www.cnmv.es/portal/verDoc.axd?t=%7b3802886d-7418-4765-9f9c-50877abccdd4%7d)
Claves: preferencia de asistencia a las juntas generales por representación, en vez de presencialmente. Se admite celebración de la junta por videoconferencia aunque no esté recogido en los estatutos de la sociedad si se garantiza el derecho a la información, asistencia y voto de todos los accionistas.

Regulación del mercado de seguros:

Autoridad Europea de Seguros y Planes de Pensiones (EIOPA).EIOPA statement on actions to mitigate the impact of Coronavirus/COVID-19 on the EU insurance sector (https://www.eiopa.europa.eu/content/eiopa-statement-actions-mitigate-impact-coronaviruscovid-19-eu-insurance-sector_en)
Claves: debe primar la continuidad de negocio. Se paralizan los requerimientos de información. Se posponen los test de solvencia de 2019. La deadline para el Holistic Impact Assessment de 2020 se pospone al 1 de junio.

Regulación bancaria:

Autoridad bancaria europea (EBA). EBA statement on actions to mitigate the impact of COVID-19 on the EU banking sector (https://eba.europa.eu/eba-statement-actions-mitigate-impact-covid-19-eu-banking-sector)
Claves: Los bancos deben priorizar la continuidad de las operaciones. Los test de estrés de las entidades se posponen para 2021. Las autoridades nacionales pueden flexibilizar la regulación local (dentro del marco legal).
Banco Central Europeo (BCE). La supervisión bancaria del BCE relaja temporalmente los requerimientos de capital y operativos en respuesta al coronavirus (https://www.bde.es/f/webbde/GAP/Secciones/SalaPrensa/ComunicadosBCE/DecisionesPoliticaMonetaria/20/presbce2020_45.pdf).

Autoridades laborales:

Ministerio de Trabajo y Economía Social. Guía para la actuación en el ámbito laboral en relación al nuevo coronavirus (http://www.mitramiss.gob.es/itss/ITSS/ITSS_Descargas/Documentos_varios/Guia_Trabajo_Coronavirus.pdf).

Seguridad y salud en el trabajo:

Agencia Europea para la Seguridad y Salud laboral (EASHW).COVID-19: guidance for the workplace (https://oshwiki.eu/wiki/COVID-19:_guidance_for_the_workplace#See).
Ministerio de Sanidad. Procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al nuevo coronavirus (http://www.mitramiss.gob.es/itss/ITSS/ITSS_Descargas/Documentos_varios/Preven_Riesgos_Laborales_COVID_19.pdf).

Órganos jurisdiccionales:

Consejo General del Poder Judicial (CGPJ). El CGPJ acuerda la suspensión de las actuaciones judiciales y de los plazos procesales en todo el territorio nacional, garantizando los servicios esenciales (http://www.poderjudicial.es/cgpj/es/Poder-Judicial/En-Portada/El-CGPJ-acuerda-la-suspension-de-las-actuaciones-judiciales-y-de-los-plazos-procesales-en-todo-el-territorio-nacional–garantizando-los-servicios-esenciales-).

El tratamiento de datos personales y otras consideraciones normativas derivadas de COVID-19

Agencia Española de Protección de Datos (AEPD)

Agencia Catalana de Protección de Datos

Tratamiento de datos personales por otras Autoridades de Control Europeas

Decálogo de actuación

Normativa Sectorial

Compartir

Expertos en gestión de riesgos empresariales

Ecix Madrid

Ecix Aragón

Ecix Cataluña

ElixRegtech