Riesgos penales de las medidas para detectar el COVID-19 en el centro de trabajo

Con la desescalada y el repliegue del confinamiento, las empresas están adoptando o valorando implementar distintas medidas para detectar qué empleados están o han podido estar expuestos al SAR-Cov-2 con el objetivo de procurar que su actividad social se desarrolle en unas condiciones mínimas de seguridad, salud e higiene. Algunas, incluso, lo hicieron en pleno auge epidémico para responder a necesidades básicas. Estas medidas van desde la reorganización operativa y espacial del centro de trabajo y el aprovisionamiento de equipos de protección individual (EPIs), hasta la realización de encuestas en materia de salud, la ejecución de pruebas y test (rápidos, PCR o serológicos) o la toma de temperatura corporal en los centros de trabajo. No obstante, la gestión indebida de la recopilación y el tratamiento de los datos obtenidos por estas actuaciones pueden desembocar en responsabilidades de distinta índole, las cuales pueden alcanzar el ámbito penal e incluso afectar a la propia empresa. 

El amparo de este tipo de medidas empresariales radicaría en los deberes genéricos del empresario de proteger a los trabajadores frente a los riesgos laborales y garantizar la vigilancia de la salud (artículos 14, 22 y correlativos de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales). Asimismo, aquellas que además impliquen la recopilación, el tratamiento y el almacenamiento de datos relativos a la salud de los empleados deben regirse por los principios y las disposiciones en materia de protección de datos, básicamente recogidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como en el Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Todo, por supuesto, bajo el marco normativo (reales decretos, órdenes ministeriales, instrucciones, etc.) que se ha desarrollado desde la publicación del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19.

Así, el registro relativo a si una persona ha padecido o no la enfermedad epidémica COVID-19 o la captación de su temperatura corporal, por ejemplo, constituyen datos de carácter personal que obligan a considerar las normas señaladas. Pero al mismo tiempo, no puede perderse de vista que el Código Penal penaliza un compendio amplio de conductas que abarcan comportamientos no deseables respecto del apoderamiento, el uso y/o la revelación de este tipo de datos, de tal modo que su observancia es de crucial importancia para la debida adopción e implementación de estas medidas.

Concretamente, el artículo 197.2 del Código Penal, tal y como apunta la sentencia del Tribunal Supremo número 319/2018 de 28 de junio, "sanciona a quien, sin estar autorizado, se apodere, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Así como a quien simplemente acceda a ellos por cualquier medio sin estar autorizado y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero".

Incluso, si se actúa con la finalidad de favorecer lo anterior, el Código Penal llega a considerar delictivo facilitar a terceros una contraseña de ordenador o un código de acceso que permita acceder al sistema de información en el que se recopilen estos datos (artículo 197.ter).

Por su parte, el artículo 197.3 del Código Penal castiga a quienes difunden, revelan o ceden a terceros estos datos, hayan participado o no en su descubrimiento (hito que sirve, tan solo, para determinar la pena a imponer). Este delito, en palabras del propio Tribunal Supremo (sentencia número 1219/2004 de 10 de diciembre), "tiene su fundamento en que dichas acciones suponen incrementar la vulneración de la intimidad del sujeto pasivo", de tal manera que la norma "equipara difusión, revelación y cesión a terceros, aun cuando la primera suponga una mayor publicidad".

Dicho lo cual, si a la vista queda que el abanico de conductas punibles es amplio (lo anterior es solo una muestra no exhaustiva), lo mismo puede decirse de las penas correlativamente previstas por el Código Penal, que van desde la multa hasta, en algunos supuestos, los siete años de prisión.

Obviamente, estos delitos abarcan las actuaciones desplegadas por el responsable de tratamiento o el encargado de tratamiento, en cuyo caso las penas a imponer puede verse agravadas en algunos casos. Sin embargo, las disposiciones del Código Penal no se limitan a ellos: cualquier empleado o persona puede incurrir en responsabilidad penal por estos ilícitos, incluida la propia empresa u organización en el que se hayan cometido. En efecto, las personas jurídicas pueden ser declaradas penalmente responsables por estos delitos. En estos casos, pueden ser castigadas con una multa, así como con sanciones más severas como la suspensión de actividades, clausura de establecimientos, prohibición de actividades o, en casos extremos, la disolución (artículos 31.bis, 33, 66 bis y 197.ter del Código Penal).

Así las cosas, es constitutivo de delito el apoderamiento, alteración, utilización, difusión, revelación o difusión, sin autorización del titular y en su perjuicio, de los datos relativos a la salud de los empleados que las sociedades están recopilando con ocasión de sus medidas anti COVID-19. En consecuencia, las empresas que estén almacenando y tratando este tipo de datos deberán tomar todas las precauciones para evitar que sus empleados puedan verse sometidos a la vulneración de su derecho fundamental a la intimidad. Con ello, también mitigarán el riesgo de que alguno de sus empleados, directivos, o incluso ellas mismas, sea vean involucrados en un procedimiento como presuntos autores de un delito contra la intimidad.