Publicaciones

Al contrario que la mayoría de las entidades de control y otros países europeos, la Comisión Nacional de Protección de Datos (CNPD) todavía no se ha pronunciado sobre esta materia, aclarando apenas, a través de la Deliberación/2020/170 (que podrá consultar aquí), que los plazos de respuesta a proyectos de deliberación están interrumpidos hasta que se declare el fin del periodo excepcional que el país atraviesa debido a la Covid-19 (reiniciándose el nuevo plazo el día hábil siguiente al de la publicación de tal declaración).

Dado que urge responder a preguntas esenciales relacionadas con el tratamiento de datos personales realizado en el contexto de la lucha contra la pandemia, hemos decidido llevar a cabo una “mirada por Europa” y analizar la posición de otras autoridades de protección de datos sobre esta materia, ya que reflejan la forma en cómo están siendo interpretados los principios y bases legales del RGPD.

Con base en esta premisa y mientras esperamos las necesarias aclaraciones y medidas de las autoridades portuguesas, Garrigues ha decidido preparar y ofrecer un conjunto de respuestas a preguntas que nos han sido planteadas por algunos clientes y que son de extrema relevancia para el tejido empresarial.

En general, y como nota previa, es importante recordar que, de acuerdo con el RGPD, el tratamiento de datos personales por la entidad empleadora dependerá: (i) de la existencia de base legal para el tratamiento; (ii) de la existencia de una excepción que permita el tratamiento de datos sanitarios u otros especialmente protegidos (si la empresa pretendiese tratar tales categorías de datos) y (iii) de que el tratamiento sea efectivamente necesario, adecuado y proporcional (principio de minimización de datos).

También es importante recordar que, en todo caso, los trabajadores deberán ser informados del tratamiento de datos personales que la empresa pretenda realizar, y las empresas tendrán que aplicar medidas de seguridad adecuadas al riesgo de tales tratamientos.

1. ¿Puede la entidad empleadora exigir a sus trabajadores que realicen tests de diagnóstico de COVID-19 proporcionados por ella?

La imposición de la realización de dichos tests a todos los trabajadores, como implica el tratamiento de datos sanitarios, debería pasar no solo por el filtro de la exigencia de bases legales y excepciones para el tratamiento de datos sanitarios, sino también por el de la adecuación y necesidad de tal tratamiento (p.ej. la empresa tendría que probar que no sería posible alcanzar el objetivo pretendido de contención del virus con métodos menos intrusivos en la privacidad de los trabajadores).

Ahora bien, muchas autoridades de control europeas consideran que la recogida sistemática y generalizada de información relacionada con la infección o síntomas de COVID-19 no es proporcional y, por tanto, tampoco lo sería la realización de tests a todos los trabajadores. Sin embargo, otras autoridades más permisivas legitiman esta acción en la legislación nacional relativa a la protección de la seguridad y salud en el trabajo.

En Portugal habrá que verificar también la legislación laboral relacionada con la realización de exámenes médicos, ya que esta podrá servir para la definición de la base legal y excepción para el tratamiento de datos sanitarios aplicables. También habrá que ponderar si el tratamiento de datos personales derivado de la realización de los tests es necesario, adecuado y proporcional.

En general nos parece que la realización de tests a todos los trabajadores sea considerada, en muchos casos, excesiva. No obstante, y dependiendo de cada caso concreto, se podrá justificar la realización de tests solo a algunos trabajadores, dependiendo del criterio utilizado.

2. ¿Puede la entidad empleadora controlar sistemáticamente la temperatura corporal de sus trabajadores?

Pese a que tal medición parezca, a primera vista, menos intrusiva que la realización de tests de diagnóstico de COVID-19, es cierto que esta también incluye el tratamiento de datos sanitarios. Así que la respuesta a esta pregunta es similar a la dada anteriormente.

A nivel europeo, las autoridades de control belga, francesa, holandesa y luxemburguesa se han pronunciado sobre esta materia y consideran que no, que la entidad empleadora no puede controlar sistemáticamente la temperatura corporal de sus trabajadores, mientras que las autoridades de control alemana y española han decidido permitirlo, salvaguardando ciertos límites. Consideramos relevante destacar la posición italiana. país en el que se ha promulgado legislación y se han publicado directrices específicas de prever y autorizar expresamente, en el contexto de la actual pandemia, la realización de tales controles.

3. ¿Puede la entidad empleadora exigir a sus trabajadores que respondan periódicamente a cuestionarios relativos a síntomas de COVID-19? ¿Y a los cuestionarios relativos a los últimos viajes realizados por los trabajadores y fechas de salida y regreso al país? ¿Pueden incluir estos cuestionarios preguntas relativas a personas que convivan con el trabajador?

Respecto a los cuestionarios relativos a síntomas de COVID-19, hay que destacar que también estos implican la recogida de datos sanitarios, por lo que la licitud de este tratamiento dependería, en primer lugar, de la aplicación de una de las excepciones que permiten el tratamiento de datos especialmente protegidos. Respecto a los cuestionarios relativos a viajes realizados, dado que no implica el tratamiento de datos especialmente protegidos, dependerá de la existencia de base legal que permita el tratamiento. Sin embargo, en cualquiera de los casos, estamos ante una recopilación sistemática y generalizada de información, que deberá obedecer a los principios de adecuación, necesidad y proporcionalidad.

A nivel europeo, autoridades de control como la belga, francesa y luxemburguesa se han pronunciado sobre esta materia y han considerado que tales controles sistemáticos no deberían realizarse. La autoridad española presenta una postura más permisiva, admitiendo dichos cuestionarios, siempre que se respeten ciertos límites. En Italia también se permiten, al amparo de las medidas excepcionales aprobadas en el contexto de la pandemia actual.

En Portugal, apuntamos que una vez más podría ser difícil encontrar una base legal que permita el tratamiento, y también justificar su necesidad, adecuación y proporcionalidad, incluso en el marco de la legislación relativa a salud y seguridad en el trabajo.

La respuesta, en lo que respecta a cuestionarios relativos a familiares, es semejante, con el matiz de que, en este caso, puede ser más difícil invocar que el tratamiento es necesario para la protección de la seguridad y salud de los trabajadores.

4. ¿Puede la entidad empleadora exigir a sus trabajadores que indiquen si pertenecen o no a grupos de riesgo?

En esta materia se aplica todo lo dicho hasta ahora.

Únicamente hacemos notar que es diferente preguntar a un trabajador si pertenece a los grupos de riesgo (explicándole, obviamente, cuáles son las morbilidades comprendidas) que pedirle que señale las morbilidades que padece presentándole una lista al efecto, calificándolo, consecuentemente, como grupo de riesgo. Entendemos que deberá darse preferencia a la primera hipótesis, y siempre en el marco de las actividades y servicios de medicina en el trabajo, ya que parece menos intrusiva en la privacidad de los trabajadores.

No obstante, el empleador deberá identificar la base legal que utiliza para esta calificación, ya que tendrá que conseguir demostrar que necesita efectivamente esta información (p.ej. para decidir qué trabajadores serán asignados a funciones de atención al público), por lo que la respuesta variará en cada caso.

5. ¿Puede una empresa exigir a las personas que visiten sus instalaciones que indiquen si tienen síntomas de COVID-19 y/o los destinos adonde han viajado recientemente, así como las fechas de ida y regreso?

La autoridad de control inglesa admite tales controles, advirtiendo, sin embargo, que ello no debe conducir a una excesiva recogida de información. En el mismo sentido se han pronunciado las autoridades de control española e italiana, ya que en todos los casos esa posición está apoyada en la obligación legal del empleador de proteger la salud de sus trabajadores.

En Portugal no existen todavía pautas relativas a esta materia, por lo que las empresas tendrán que realizar el ejercicio de verificación de los supuestos citados en las preguntas anteriores. Adviértase que, con el fin de mitigar los riesgos relacionados con el tratamiento, las empresas deberán procurar siempre recoger el mínimo de información indispensable y avisar al visitante, en el momento de acordar la visita, de los controles que serán realizados, con el propósito de gestionar las expectativas de los visitantes respecto a los tratamientos de sus datos personales que serán realizados.

6. ¿Puede la entidad empleadora informar a los restantes trabajadores cuando identifica a un trabajador de la empresa infectado con COVID-19? 

El European Data Protection Board ha aclarado en esta materia que al informar a los restantes trabajadores de la existencia de un trabajador infectado, la entidad empleadora deberá tener especial cuidado con relación a la información dada, es decir, dando solo la información necesaria (principio de minimización de datos). En este sentido, y a título de ejemplo, la autoridad de control belga considera que la entidad empleadora, de acuerdo con los principios de confidencialidad y de minimización de datos previstos en el RGPD, no deberá revelar el nombre del trabajador infectado al informar a los restantes trabajadores. O sea, solo deberá informar de la ocurrencia de la situación, sin mencionar la identidad del titular de los datos. El nombre de la persona infectada únicamente podrá ser comunicado al médico de empresa o a las autoridades competentes.

En Portugal, la Dirección General de Sanidad (en la Orientación n.º 006/2020, de 26 de febrero) recomienda que, ante un caso sospechoso validado (aunque a la espera de los resultados de los tests de laboratorio), la entidad empleadora informe a los restantes trabajadores de la existencia de tal caso. Sin embargo, no menciona si la comunicación debe incluir el nombre del trabajador.

De este modo, si es suficiente informar a los trabajadores de la existencia de un caso, sin identificar al trabajador en cuestión, entonces la comunicación deberá limitarse a eso.

7. ¿Puedo pedir a un trabajador que sospeche que está infectado con COVID-19 que indique los nombre de los trabajadores con quienes ha estado en contacto recientemente? 

De acuerdo con la mencionada Orientación n.º 006/2020, se recomienda que la entidad empleadora colabore con la autoridad sanitaria local en la identificación de los contactos próximos del enfermo tras la verificación del caso sospechoso validado por los profesionales de la línea SNS 24.

No obstante, el empleador también deberá en este caso garantizar la verificación de la base legal que permita el tratamiento y, desde luego, la existencia de razones que evidencien la necesidad, adecuación y proporcionalidad del tratamiento, documentándolas, e involucrar en cualquier actuación a los servicios de medicina de empresa.

8. ¿Puedo compartir con las autoridades sanitarias datos relativos a trabajadores que sospechen estar infectados con COVID-19? 

En línea con las respuestas anteriores, ello dependerá, desde luego, de la existencia de base legal que lo permita (siendo en este contexto especialmente relevante la existencia de disposiciones legales que obliguen o permitan tal comunicación). A continuación, el empleador deberá evaluar si el tratamiento es necesario y adecuado.

Nótese que la citada Orientación n.º 006/2020 prevé que cualquier trabajador que desempeñe sus funciones en las instalaciones de la entidad empleadora y comunique a esta la existencia de síntomas de COVID-19 deberá dirigirse a un área de “aislamiento” preparada por la entidad empleadora, correspondiendo al trabajador realizar después los contactos con la línea SNS 24. Por tanto, y por precaución, las desviaciones de estas orientaciones (como sería el caso de que el citado contacto con la línea SNS 24 sea hecho directamente por el empleador), deberán estar justificadas.

En cuanto a la comunicación a las autoridades sanitarias de la identidad de trabajadores que hayan estado en contacto con un trabajador que es un caso sospechoso validado, se aplicará lo mencionado en la respuesta a la pregunta anterior.