La Agencia Española de Protección de Datos, en el contexto de la emergencia de salud pública derivada de la extensión del coronavirus, hizo público un informe en el que se analiza el tratamiento de datos personales en relación con la situación actual, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.
Debemos tener claro que la propia normativa de protección de datos personales (RGPD) ya contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones como la presente en que existe una emergencia sanitaria de alcance general, por ello, tras el Real Decreto 463/2020 por el que se declaró el estado de alarma, no se ha suspendido el derecho a la protección de datos y su ejercicio.
El RGPD establece explícitamente, tanto en su Considerando 46 como en el artículo 6, distintas bases jurídicas que legitimarían el tratamiento de datos personales para proteger un interés esencial, para la vida del interesado o de otra persona f ísica. El tratamiento puede responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, incluyendo este último el control de epidemias y su propagación.
Además, los empleadores tienen la obligación legal, en virtud de la normativa de prevención de riesgos laborales, de proteger la salud de sus trabajadores y mantener el lugar de trabajo libre de riesgos sanitarios. En este sentido, estaría justif icada la solicitud de información a los empleados y visitantes externos y podrán conocer si la persona está infectada o presenta sintomatología relacionada con la enfermedad, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias. Esta información debería proporcionarse al personal de la empresa sin identif icar a la persona afectada a f in de mantener su privacidad, salvo que deba transmitirse la identif icación de la persona a requerimiento de las autoridades competentes.
Igualmente, los empleados que pudieran estar afectados por el virus o presenten síntomas deberán informar de tal circunstancia a su empleador y al servicio de prevención o a los delegados de prevención.
Llegado a este punto, el tratamiento de estos datos deberá seguir realizándose con plena observancia de la normativa, así como aplicando los principios que se recogen en el RGPD, en particular los de minimización, limitación de la f inalidad y minimización de la conservación.
Por otra parte, toda esta situación ha dado lugar a promover las iniciativas de teletrabajo y conviene tener en cuenta que los ciberdelincuentes aprovechan situaciones de alarma colectiva para llevar a cabo multitud de ataques de phishing a través de los servicios de mensajería instantánea, correos electrónicos y otros medios.
Es importante que sea cual sea el tipo de negocio se sigan unas pautas para que los trabajadores puedan realizar sus tareas desde casa con unos niveles adecuados de ciberseguridad, y con todas las garantías que el RGPD establece, previa f irma por estos de las cláusulas de conf idencialidad en las que se comprometen a tratar los datos personales con la máxima diligencia y atendiendo a las indicaciones de seguridad facilitadas por el responsable del tratamiento.
Por ello, es fundamental que las empresas hayan implantado las medidas de seguridad técnicas que permitan la continuidad del negocio con todas las garantías para la privacidad de los interesados. La creación de una VPN para la conexión a los sistemas de la empresa, así como la concienciación de los empleados, para evitar conexiones a wif is públicas o la utilización de sus propios dispositivos, exentos de medidas de seguridad, son algunas medidas básicas a tener en cuenta.
