Llevamos ya más de un mes viendo como la regulación en materia de protección de datos se está “adaptando” a la situación extraordinaria provocada por el Covid-19. Una de las dudas más presentes es la del consentimiento: qué pasa con el consentimiento previo que tenemos que dar de manera expresa para el tratamiento de nuestros datos. Con la desescalada paulatina que se va a empezar a realizar en las próximas semanas, sobre todo en el ámbito laboral, están surgiendo muchas dudas respecto al tratamiento de datos a la hora de efectuar los test en las distintas empresas, con la finalidad de realizar el diagnóstico respecto al virus: SARS-COV-2
Como hemos mencionado en artículos previos, el pasado 19 de marzo de 2020, se publicaba bajo el título de “Statement on the processing of personal data in the context of the COVID-19 outbreak”, un informe del Comité Europeo de Protección de Datos, según el cual estaba permitida la restricción de ciertos derechos del ciudadano, con motivo de la crisis sanitaria, y anteponiendo el bien general.
Hace apenas una semana, el mismo Organismo compartía una guía contemplando las “Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19”, y en lo que respecta al consentimiento recordaba que: “El consentimiento del interesado, recogido con arreglo al apartado a) del párrafo 1 del artículo 6 y al apartado a) del párrafo 2 del artículo 9 del RGPD , puede constituir una base jurídica para el tratamiento de los datos relativos a la salud en el contexto de COVID-19. Sin embargo, hay que señalar que deben cumplirse todas las condiciones para el consentimiento expreso, en particular las que figuran en el párrafo 11 del artículo 4, el apartado a) del párrafo 1 del artículo 6, el artículo 7 y el apartado a) del párrafo 2 del artículo 9 del RGPD. En particular, el consentimiento debe ser dado libremente, específico, informado e inequívoco, y debe hacerse mediante una declaración o «acción afirmativa clara».
Este tema es más complicado de lo que parece, ya que, por un lado estamos tratando con datos de categorías especialmente protegidos, y por otro toca varios “palos” a la vez: protección de datos del sujeto, protección del interés general, derecho de autonomía del paciente, obligación en materia de información, e incluso, prevención de riesgos laborales.
La Ley 14/2007, de 3 julio, de Investigación Biomédica, establece como obligación el requerimiento del consentimiento expreso, específico y escrito de la persona sobre la que se la que se realice una investigación (o de su representante legal), de acuerdo con los principios generales establecidos en la propia Ley.
Dichos principios garantizan que se respetará la libre autonomía a la hora de que las personas puedan participar en una investigación biomédica, estableciendo como requisito, el consentimiento expreso y escrito, una vez recibida la información adecuada, que deberá proporcionarse por escrito, comprendiendo la naturaleza, importancia, implicaciones y riesgos de la investigación. Asimismo, cualquier persona podrá revocar su consentimiento en cualquier momento. Del mismo modo, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establece que “Toda actuación en el ámbito de la sanidad requiere, con carácter general, el previo consentimiento de los pacientes o usuarios. El consentimiento, que debe obtenerse después de que el paciente reciba una información adecuada, se hará por escrito en los supuestos previstos en la Ley.”
El Reglamento General de Protección de Datos identifica, como tratamiento legítimo de datos, y en base al artículo 9.2, aquél en el que el interesado haya dado su consentimiento. Sin embargo, el artículo 89 del mencionado Reglamento dispone que cuando se traten datos personales con fines de investigación científica o histórica o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones.
Nos toca recordar en este punto, que estamos frente a una situación extraordinaria de pandemia, y que el propio RGPD contempla una serie de excepciones, entre ellas:
-
- Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, siempre y cuando esté autorizado por el Derecho de la Unión y se establezcan las garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
- El tratamiento sea necesario para fines de medicina preventiva o laboral
Es decir, el RGPD prevé la posibilidad de “trastocar” ese consentimiento requerido, otorgando mayor libertad a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea.
El Considerando 46 del RGPD establece que “el tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física.”
En esta línea, la Agencia Española de Protección de Datos (en adelante AEPD) afirma que “En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.”
En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación y el empleador deberá adoptar las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (art. 32 RGPD).
Dentro del ámbito laboral, contamos con el reciente informe del Gabinete Jurídico de la AEPD, informe 0017/2020, el cual dispone que “como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).” Es decir, los intereses vitales de “otras personas” también son protegidos y sirven de base legítima del tratamiento del dato.
No podemos olvidarnos tampoco del artículo 14.2 de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, cuando establece “En cumplimiento del deber de protección, el empresario deberá garantizar la seguridad y la salud de los trabajadores a su servicio en todos los aspectos relacionados con el trabajo.”
En esta línea, el informe 0017/2020 de la AEPD establece que “… los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo.”
El informe concluye recalcando que “Ahora bien, los tratamientos de datos personales en estas situaciones de emergencia sanitaria, como se ha mencionado al principio de este informe, siguen siendo tratados de conformidad con la normativa de protección de datos personales… Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida…”
Conclusión, ¿qué ocurre si en el trabajo quieren hacer test médicos con el fin de ir retomando poco a poco la actividad laboral presencial?
A día de hoy, el empleado está en su derecho a negarse en lo que respecta a la práctica de pruebas médicas catalogadas como invasivas, a partir de la cuales, además, se van a tratar datos categorizados como especialmente sensibles. Ahora bien, una cosa es que los interesados estén en su derecho a negarse en este punto en concreto, y otra distinta, como mencionaba la AEPD, que los responsables estén legitimados a tomar las medidas pertinentes en el ámbito laboral anteponiendo el interés general (que también hay que tenerlo presente).
Así pues, hay que ser responsables, que cuanto más se colabore, antes retomaremos nuestra añorada normalidad.
Ana Perez Vázquez, Consultora Legal de protección de datos y Privacidad