En una actualidad en la que estamos sufriendo una pandemia por el #COVID19, que nos está haciendo ver comportamientos de histeria, algunos, muy pocos, apasionados de lo que hacemos, nos preguntamos ¿Y qué pasa con el tratamiento de los datos, especialmente los referidos a los resultados de #COVID19? Es por ello, que en este artículo trataremos de explicar ciertas cuestiones relacionadas con la protección de los datos relativos a la salud, que nos sirven ahora y nos servirán en el futuro.
En primerísimo lugar tenemos que tener en cuenta que los resultados sobre test de detección de #COVID19 son datos que se refieren a la salud de las personas y por lo tanto datos de categorías especiales de los que se recogen en el artículo 9 del Reglamento General de Protección de Datos –Reg. UE 2016/679– (en adelante, “RGPD”).
Lo primero ¿Qué son datos de categorías especiales?
La definición que nos ofrece el RGPD de datos categorías especiales es la siguiente: “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.
Hasta aquí parece que las cosas están claras, pero profundicemos un poco más para no caer en confusiones al señalar qué son y qué no son datos de categorías especiales:
👉 Datos genéticos: “datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona”
👉 Datos biométricos: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
👉 Datos relativos a la salud: “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.
Los que ahora nos interesan para este post son sobre todo los datos relativos a la salud, con los que hay que extremar las precauciones en el tratamiento, y por supuesto reforzar la base de legitimación en la que nos fundemos para tratarlos, ya que una mala elección de la base de legitimación puede suponer que tras la tormenta, no venga la calma, si no una tormenta en forma de reclamación por uno de nuestros trabajadores o colaboradores ante la Agencia Española de Protección de Datos (en adelante, “AEPD”).
¿Qué tenemos que tener en cuenta cuando tratamos datos relativos a la salud, o datos referentes al #COVID19?
Una vez que sabemos lo que son los datos relativos a la salud, ahora pasamos a exponer qué debemos de tener en cuenta si en nuestra startup, proyecto o empresa vamos a proceder a tratar datos relativos al coronavirus:
En primer lugar, deberemos de concebir los datos relativos a la salud en su concepto más amplio, tal y como hace la AEPD en su Informe 0337/2008 que, en línea con el TJUE, concibe que cualquier dato referido a la salud de un trabajador, incluido un diagnostico o las fechas de alta o baja asociadas a un código constituyen datos de categorías especiales. Por lo que, cualquier dato que identifique o permita identificar datos sobre la salud de un trabajador o colaborador, ya sea por métodos directos o más indirectos como es el caso de los códigos de enfermedades que se utilizan en los partes de baja, será dato relativo a la salud sobre el que deberemos de aplicar medidas más restrictivas y garantistas.
Por otro lado, el que un emprendedor o compañía procese información relativa no es algo sólo propio de esta situación de seudo histeria y pandemia que estamos viviendo a causa del #COVID19. En toda empresa, de nueva creación o ya con recorrido, en algún punto de la actividad se tratan datos relativos a la salud.
Algunos, incluso pueden preguntarse ¿Ah sí? Sí, cuando se transmite a la Seguridad Social o al asesor laboral un parte de baja, en una gran parte de los casos estamos tratando datos relativos a la salud sobre el trabajador o colaborador en cuestión.
El tratamiento de los datos relativos a la salud está de primeras prohibido, salvo que se apliquen alguna de las bases de legitimación que se encuentran en el apartado 9.2. del RGPD y que ya de entrada os decimos que no son exactamente iguales a las del artículo 6. En este sentido las bases que podríamos utilizar en una situación como la que vivimos son:
🔹 el interesado proporcione su consentimiento explícito, con uno o más de los fines especificados -por supuesto observando las condiciones para el consentimiento que se recogen en el artículo 7.
🔹 el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social; pero ¡ACHTUNG! (o en español ¡CUIDADO!), aplicará esta base en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo.
Por suerte, o por desgracia -no se sabe-, en España tenemos la Ley de Prevención de Riesgos Laborales (en adelante, “LPRL”) que establece que la vigilancia de la salud es un deber del empresario ya que es éste el responsable de garantizar la vigilancia de su estado de salud en el trabajo.
Sin embargo, no podemos, ni debemos, tratar los datos relativos a la salud o al #COVID19 basándonos en:
🔹 proteger intereses vitales del interesado o de otra persona física (art. 9.2.c). Porque para ello es necesario que el interesado no pueda prestar directamente su consentimiento -situación de inconsciencia o incapacidad-;
🔹 es necesario por razones de un interés público esencial (art. 9.2.g), ya que no hay una base en Derecho nacional o de la UE que permita el tratamiento de estos datos sin consentimiento para la situación por el #COVID19.
🔹 el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, puesto que también tiene que ser sobre la base de una norma nacional o europea.
En definitiva, tanto a la hora de tratar los datos relativos al coronavirus, como a la hora de tratar datos relativos a la salud en general deberíamos contar, en los casos comunes, con el consentimiento del interesado; al que si bien es cierto que podemos solicitarle los datos sobre la presencia de #COVID19 en base a la LPRL y el art. 9.2.h RGPD, no podemos sancionar o “castigar” si se niega a facilitarnos dicha información si no es para el cumplimiento de las obligaciones inherentes a la prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
Hasta aquí hemos tratado cuestiones relacionadas con el artículo 5 RGDP -principios básicos y fundamentales en el tratamiento de los datos de carácter personal-, pero…
¿Y ahora qué?
Hemos hablado de legitimidad, sin embargo, sigo sin saber cuáles son mis obligaciones.
Tiempo al tiempo, en este apartado final vamos a tratar cuáles son esas obligaciones inherentes al responsable en caso de tratar datos relativos a la salud.
A muchos se os vendrá a la cabeza automáticamente las obligaciones de: (i) llevar un registro de actividades de tratamiento; (ii) realizar una evaluación de impacto de protección de datos (en adelante, “EIPD”); y (iii) nombrar un delegado de protección de datos (en adelante e indistintamente, “DPD” o “DPO”).
Sin embargo, debemos de preguntarnos:
¿Realmente son exigibles estas obligaciones aunque el tratamiento de datos relativos a la salud o de categorías especiales no sea mi actividad?
En respuesta, el artículo 35 y 37 del RGPD nos dice que deberemos cumplir sí o sí con estas dos obligaciones cuando:
se realice un tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1 […] (art. 35.3.b)
las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 […] (art. 37.1.c)
Por lo que, de no encontrarnos en una de estas situaciones no deberemos de cumplir con estas obligaciones, lo que no quita que sea recomendable si se tiene la capacidad. En el mismo sentido se pronuncia el considerando 97 y el antiguo Grupo de Trabajo del Artículo 29 (Guidelines on Data Protection Officers (‘DPOs’) – WP 243) al definir lo que implican actividades principales, de donde se excluyen actividades auxiliares que no son esenciales para la consecución de los fines y objetivos del responsable, dentro de las cuales entrarían las actividades relacionadas con la prevención y control de la salud laboral y la gestión de los servicios sociales y sanitarios, que recordemos, vienen impuestos por la LPRL.
Y hasta aquí nuestra publicación sobre cuestiones básicas a tener en cuenta en el tratamiento de datos relativos a la salud y el #COVID19 ¡No dudéis en contactar si necesitáis algo” ¡STAY SAFE!
Pablo Viedma
Tech & Privacy
