Índice de temas
¿Puede la empresa tratar datos de salud de sus trabajadores?
La Agencia Española de Protección de Datos ha establecido que las empresas podrán tratar datos de carácter especialmente protegidos (datos de salud), siempre y cuando, además de una de las bases legitimadoras del artículo 6 del Reglamento General de Protección de Datos de la Unión Europea (RGPD) exista alguna de las siguientes bases legitimadoras:
• Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (artículo 9.2.b del RGPD).
En la situación de alerta sanitaria en la que nos encontramos, esto se traduce en que sea necesario tratar estos datos personales para el cumplimiento de la normativa de prevención de riesgos laborales.
• Que el tratamiento sea necesario por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública (artículo 9.2. h y g del RGPD).
La AEPD aclara que, en la legislación española, las responsabilidades en defensa del interés público esencial o en el ámbito de la salud pública corresponden a las autoridades sanitarias.
Por este motivo, las empresas solo pueden amparar el tratamiento de datos personales de salud en esta base legitimadora, si el tratamiento de estos datos se realiza siguiendo las instrucciones de las autoridades competentes, en este caso, las sanitarias.
• Que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social (artículo 9.2.h del RGPD).
En este caso, los datos de salud deben ser tratados por un profesional de la salud. Por este motivo, (aunque la AEPD no lo indica expresamente), cabe interpretar que el tratamiento de datos de salud amparado en esta base legitimadora solo puede ser realizado por el servicio médico.
• Que el tratamiento de los datos de salud sea necesario para proteger el interés vital del interesado o de otra persona física cuando el interesado se encuentra física o jurídicamente incapacitado (artículo 9.2.c del RGPD).
¿Puedo enviar un cuestionario a mis empleados para valorar los posibles riesgos de contagio?
Según la AEPD se podrán enviar cuestionarios para obtener información sobre la salud o viajes a lugares de riesgo (tanto personales como profesionales) realizados por los empleados.
No obstante, el cuestionario debe limitarse a la información mínima e imprescindible relacionada con la gestión de la crisis sanitaria del Covid-19. Es decir, no se podrán enviar cuestionarios preguntando por cualquier aspecto de la salud no vinculado al Covid-19.
Si detecto un caso de Covid-19 en mi empresa, ¿puedo informar al resto de la plantilla de este contagio?
No solo se puede informar de este hecho, sino que se debe informar para cumplir con las medidas oportunas de aislamiento por un posible contagio. No obstante, debería evitarse identificar al resto de empleados quién ha sido el concreto empleado que ha dado positivo.
¿Qué obligaciones debo tener en cuenta para cumplir con la normativa de protección de datos para el tratamiento de datos de salud?
Tal y como ha indicado la AEPD, el tratamiento de datos de salud en este estado de alerta sanitaria estaría permitido, siempre y cuando se cuente con alguna de las bases legitimadoras indicadas y, además se respeten el resto de los principios establecidos por el RGPD, por ello, las empresas deben:
• Informar tanto a los empleados, visitantes o personal de las contratistas del tratamiento que se realizará de sus datos personales, siendo especialmente relevante informar de la finalidad para la que se tratarán estos datos personales, tal y como se indica en la primera pregunta de este bloque.
• Incorporar este nuevo tratamiento de datos de salud en el Registro de Actividades del Tratamiento, salvo que pueda encajar en alguno de los ya establecidos, por ejemplo, la prevención de riesgos laborales.
• Analizar la necesidad de elaborar una Evaluación de Impacto en la Privacidad, por ejemplo, si se va a utilizar tecnología que permita la captación de datos de salud de forma masiva, al cumplirse dos de los requisitos establecidos en el listado de tratamientos que necesitan la elaboración de una Evaluación de Impacto den la Privacidad de la AEPD, sería conveniente realizar dicha Evaluación de Impacto en la Privacidad.
• Establecer las medidas de seguridad técnicas y organizativas necesarias para la correcta protección de esta información.
• Conservar esta información única y exclusivamente durante el tiempo necesario para la gestión de la crisis sanitaria, procediendo a su destrucción en el momento en que dejen de ser necesarios. En caso de que se quiera anonimizar esta información para su uso con fines de investigación médica, deberá informarse debidamente a los titulares de los datos.
• No utilizar los datos obtenidos para ninguna otra finalidad diferente de la gestión de la crisis sanitaria.
• Cumplir con el resto de los principios establecidos en el RGPD, por ejemplo, el de minimización del tratamientoo cali dad de los datos tratados.
Medidas de seguridad aplicables al teletrabajo
La situación actual ha obligado a muchas entidades a adoptar medidas para favorecer el teletrabajo. Consciente de ello, el Centro Criptológico Nacional (CCN-CERT) publicó el pasado 14 de marzo, unas directrices para favorecer la seguridad del trabajo en remoto, bajo el título de “Medidas de seguridad para Acceso Remoto”. El documento en cuestión explica las distintas formas de acceso remoto a los recursos de la empresa u organización, buscando minimizar el impacto en los recursos IT y optimizando el tiempo para su puesta en producción.
¿Cómo se puede lograr que el teletrabajo sea más seguro?
• Independientemente de que el dispositivo que utilice el trabajador para realizar su teletrabajo haya sido entregado por la empresa o sea propio, es importante dotarlo de un buen antivirus, en particular si es propio, pues desconocemos el uso particular que puede darle el trabajador.
• Asegurarnos de que las actualizaciones automáticas de los sistemas operativos están activadas.
• Redactar una Política de Teletrabajo y una de B.Y.O.D. (Bring Your Own Device) cuando se permita al trabajador utilizar sus dispositivos personales para teletrabajar.
• Si nuestra infraestructura no ha previsto el trabajo a distancia y no disponemos de VPN, escoger soluciones cloud que garanticen un mínimo de seguridad.
• Utilizar contraseñas seguras para el acceso a la información de la organización.
• Siempre que sea posible, habilitar la verificación en dos pasos.
• Si no llegamos a redactar el registro de entrega de dispositivos al trabajador en su día, elaborar un registro de activos indicando el o los dispositivos asignados a los trabajadores.
• Asistir al trabajador al momento de configurar de forma segura el router de su hogar.
• Aplicar una política para realizar copias de seguridad que se adecue al caso concreto de la organización.
¿Ante qué ataques tengo que estar alerta?
• Correos citando supuestas noticias, con adjuntos (office y pdf) que supuestamente incluyen instrucciones sobre el COVID-19 y/o enlaces a sitios donde descargarnos más detalles o comprar material médico.
• Apps para dispositivos móviles que prometen que van a proporcionarnos información detallada sobre la crisis.
• Llamadas fraudulentas (en inglés, o en cualquier otro idioma), haciéndose pasar por servicios técnicos (Microsoft, por ejemplo), en las que nos pedirán credenciales o que instalemos software sospechoso en nuestros equipos.
• SMS (mensajes de texto), a través del cual se le comunica a la víctima del inicio del ERTE por parte de su empresa, indicando a continuación que carecen de datos, como la cuenta bancaria a la cual el SEPE ingresará el dinero.
