Ante el actual escenario de emergencia sanitaria provocada por el COVID-19, el derecho a la protección de datos de los empleados no debe ser un impedimento para que las empresas, y en concreto, los técnicos responsables de prevención de riesgos laborales, actúen en defensa de la salud de sus empleados.
Nos encontramos ante dos derechos legítimos, y en este concreto caso, contrapuestos: el derecho a la protección de la vida y la salud, y el derecho a la protección de datos; debiendo prevalecer el primer derecho fundamental sobre el segundo, con ciertos matices. De la mencionada prevalencia se desprende que las empresas pueden requerir a sus propios trabajadores y a terceros para que informen sobre sintomatología relacionada con el Coronavirus o la existencia de factores de riesgo. Dicho tratamiento, aunque se trate de los especialmente protegidos por el Reglamento 679/2016 General de Protección de Datos (RGPD), es legítimo para preservar la vida y salud del resto de empleados en el marco de la situación de epidemia, y el trabajador no se ha de negar a otorgar dicha información. Normalmente, cualquier persona que se encontrase en una situación de baja por enfermedad no tendría por qué informar de las razones de su baja o enfermedad; sin embargo, este derecho del trabajador debe limitarse ante el contexto actual por un evidente interés público y la necesidad de que se proteja la salud del resto del personal de la empresa u organización.
Ante la pregunta de si resulta necesario requerir el consentimiento del trabajador contagiado, ha de responderse negativamente; es decir, no resulta necesario que el trabajador otorgue su consentimiento expreso. Las bases que legitiman dicho tratamiento se derivan de la necesaria protección de los intereses vitales del resto de empleados, e incluso del interés público.
Más dificultades encontramos para responder a una segunda cuestión: ¿puede una entidad comunicar a sus trabajadores que existe un empleado que ha dado positivo o con sintomatología relacionada con esta enfermedad? La respuesta ha de ser afirmativa, pero con limitaciones. Dicha comunicación ha de hacerse, si fuese posible, sin especificar la identidad de la persona contagiada. Si no resulta objetivamente posible o las autoridades sanitarias lo indicasen expresamente, se podría proporcionar la identificación del contagiado.
No nos podemos olvidar que, en el tratamiento de datos de salud, ha de estarse siempre a los principios de minimización, limitación de la finalidad y minimización establecidos en el RGPD. La Agencia Española de Protección de Datos, sobre este particular, señala que los datos que son objeto de tratamiento con ocasión del Covid-19, han de quedar limitados a los estrictamente necesarios para la finalidad pretendida -esto es, que se propague la enfermedad- sin que puedan recabarse datos que no resulten adecuados a tal fin.
En definitiva, la aplicación e interpretación de la normativa en protección de datos, no puede suponer un obstáculo que limite la efectividad de las medidas que resulten necesarias para la protección de la salud. El derecho fundamental a la protección de datos, cede en favor de la necesaria protección de la vida; pero en el tratamiento de los datos de salud se han de respetar los principios establecidos tanto en el RGPD como en la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales.
Santiago Cruz Roldán, Director del Departamento de Privacidad y Protección de Datos,