Up Again Spain: Privacidad y datos personales

Intellectual Property and Technology

1. ¿Pueden las empresas realizar el control de la temperatura y otros controles sanitarios a los empleados y visitantes antes de entrar en el centro de trabajo?

La Agencia Española de Protección de Datos (AEPD) ha publicado un informe oficial (17/2020), unas Pregunta Frecuentes explicativas y un comunicado de prensa sobre estas cuestiones.

En su informe original y Preguntas Frecuentes, la AEPD había dado a entender que estos controles podrían fundamentarse en los artículos 9.2 a) del RGPD (consentimiento tanto de los visitantes como de los empleados), 9.2 h) del RGPD (medicina laboral y evaluación de la capacidad laboral), o 9.2 i) del RGPD (razones de salud pública, solo en el caso de los empleados).

Sin embargo, en su más reciente comunicado de prensa, la AEPD adoptó una postura diferente, según la cual el consentimiento podría no ser considerado de forma general como un fundamento jurídico aceptable para el tratamiento de datos, ya que no se daría libremente, ni por los empleados ni por los visitantes.

De manera similar, la AEPD ha cuestionado si España dispone de una legislación en materia de sanidad pública lo suficientemente específica como para que estos controles se puedan considerar legales en virtud de los artículos 9.2 h) y 9.2 i) del RGPD.

En el mercado español, se entiende comúnmente que la postura inicial de la AEPD podría estar mejor fundamentada, siempre que se respeten los principios de minimización de datos del artículo 5 del RGPD y se informe previamente y con detalle a los empleados y visitantes, de conformidad con lo dispuesto en los artículos 13 y 14 del RGPD y, en particular, en el artículo 11 de la Ley Orgánica 3/2018 de Protección de Datos. 

Los empleados tienen derecho a que esos controles los realicen sanitarios profesionales experimentados y a que los datos obtenidos solo se compartan parcialmente con la empresa. Además, pueden negarse a que les hagan dichos controles, pero su negativa puede ser ignorada si el Comité de Empresa emite un informe favorable a los mismos.

2. ¿Pueden las empresas pedir a los empleados y visitantes que respondan un cuestionario en el que se les pregunte si tienen síntomas de la COVID-19, si han estado en contacto con personas infectadas o si han viajado recientemente a países de alto riesgo?

De manera similar a lo que ocurre con los controles sanitarios, la AEPD ha publicado un informe oficial (17/2020), unas Preguntas Frecuentes explicativas y un comunicado de prensa sobre estas cuestiones.

En su informe original y Preguntas Frecuentes, la AEPD indicó explícitamente que la respuesta a estos cuestionarios se podía fundamentar, tanto en el caso de los visitantes como en el de los empleados , en el artículo 9.2 h) del RGPD (medicina laboral y evaluación de la capacidad laboral) o en el artículo 9.2 i) del RGPD (razones de salud pública). No obstante, en su más reciente comunicado de prensa, la AEPD se mostró algo más vacilante.

En el mercado español, se entiende comúnmente que la postura inicial de la AEPD podría estar mejor fundamentada, siempre que se respeten los principios de minimización de datos del artículo 5 del RGPD (no recabar información que no sea estrictamente necesaria para combatir la pandemia, centrándose exclusivamente en los verdaderos factores de riesgo) y se informe previamente y con detalle a los empleados y visitantes, de conformidad con los artículos 13 y 14 del RGPD y, en particular, el artículo 11 de la Ley Orgánica 3/2018 de Protección de Datos.

Los interesados tendrían derecho a que esa información sea obtenida por sanitarios profesionales experimentados, bajo estrictas obligaciones de confidencialidad. 

3. ¿Pueden las empresas requerir a sus empleados que les notifiquen si ellos o algún miembro de su unidad familiar han contraído la COVID-19 o si tienen el antígeno?

Sorprendentemente, de acuerdo con la Ley de Prevención de Riesgos Laborales y su interpretación por la AEPD, la empresa no puede pedir a los empleados que le notifiquen que han dado positivo en las pruebas de COVID-19, pero, en cambio, la empresa está obligada a comunicarlo. Esta interpretación ha sido confirmada explícitamente por la Agencia Española de Protección de Datos. Dicha obligación no existe para los miembros de la unidad familiar ni para los portadores del antígeno.

4. ¿Pueden las empresas comunicar a sus empleados que un compañero podría haberse contagiado de la COVID-19?

Sí, pero solo en términos generales, sin identificar a la persona.

5. ¿Pueden las empresas compartir información sobre casos de COVID-19 que conozcan con las autoridades sanitarias?

Depende del tipo de empresa y de la fase de «normalización» que haya alcanzado el territorio en el que se encuentre (existen cinco fases, numeradas del cero al cuatro). Para algunas actividades y fases es obligatorio que la empresa comunique la existencia de síntomas, mientras que, en otros casos, el hecho de hacerlo podría suponer una infracción grave de la legislación sobre privacidad.

6. ¿Pueden las empresas enviar información sanitaria de los empleados a alguna de sus filiales fuera del EEE o a otros países?

Sí, siempre que la empresa cumpla lo dispuesto en los artículos 44 a 49 del RGPD y 40 a 43 de la Ley Orgánica 3/2018 de Protección de Datos.

7. ¿Pueden las empresas controlar los movimientos de los empleados en el centro de trabajo para mantener las normas de distancia interpersonal?

Sí, siempre que las políticas sobre esa materia hayan sido elaboradas con la participación del Comité de Empresa o de los representantes de los trabajadores y se pueda demostrar que se les comunicaron previamente tanto a los trabajadores como a sus representantes. Los derechos constitucionales de los trabajadores tienen que ser plenamente respetados.

8. ¿Las empresas tienen que cumplir algún otro principio del RGPD u otras leyes locales sobre privacidad cuando obtengan información para fines de lucha contra la COVID-19?

Sí, particularmente la Ley Orgánica 3/2018 de Protección de Datos y los informes y directrices publicados por la Agencia Española de Protección de Datos.

9. ¿Qué riesgos se pueden correr en caso de incumplimiento del RGPD o de las leyes locales en materia de privacidad?

Multas de hasta 20 millones de euros o del 4% de la cifra total de negocios de la empresa del año anterior: aquella cantidad que fuera más elevada. Además de las multas, los interesados pueden pedir indemnizaciones por los perjuicios causados. Por otra parte, también podría repercutir negativamente sobre la reputación del responsable del tratamiento de datos.