El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. Blog
  3. Protección de Datos
  4. Emergencias sanitarias y protección de datos

Emergencias sanitarias y protección de datos

La emergencia sanitaria auspiciada por la virulenta irrupción del coronavirus SARS-CoV-2 se está convirtiendo en una crisis de salud pública sin precedentes. La aprobación del Real Decreto 463/2020, que declara el estado de alarma, permite vislumbrar la verdadera entidad de la situación y tomar conciencia de la multitud de sectores afectados por las medidas y restricciones. Y, como no podría ser de otra forma, el mundo jurídico y el de la abogacía, en todas sus esferas, también se encuentra sumido en la excepcionalidad.

Y no es para menos. Se ha decretado la suspensión de los plazos procesales, de los plazos administrativos y de los plazos de prescripción y caducidad; pero, además, la urgencia de la situación ha obligado a «desempolvar» figuras olvidadas y o poco extendidas como los ERTEs por fuerza mayor o el trabajo a distancia (en relación con esto último, hemos elaborado un modelo de contrato de teletrabajo que puede descargarse y utilizarse gratuitamente).

En esta ocasión, no obstante, nos centraremos en discernir qué ocurre con el tratamiento de datos personales relativos a la salud (que son datos sensibles o especialmente protegidos) en situaciones de emergencia sanitaria, protección de salud pública y vigilancia epidemiológica como la que nos atañe.

En este sentido, lo primero que hay que aclarar, tal y como sostiene la Agencia Española de Protección de Datos en un reciente informe, es que la declaración del estado de alarma no afecta al derecho fundamental a la intimidad ni a la protección de datos. Por tanto, tales derechos siguen plenamente vigentes. Sin embargo, esta vigencia no implica prevalencia, por lo que será preciso ponderarlos con los demás derechos o intereses que se encuentran en liza en la situación actual (derecho a la salud, integridad física y moral, interés público, tutela de la salud pública…).

Así pues, para realizar esta ponderación basta acudir a los criterios y preceptos previstos por la propia normativa de protección de datos (principalmente, RGPD y LOPDyGDD) junto con la normativa sectorial aplicable en materia sanitaria. Esto significa que, en principio, la licitud de un tratamiento de datos personales deberá valorarse caso por caso, atendiendo a las finalidades, la magnitud o las diversas vicisitudes o características que pueda entrañar. No obstante, como bien sostiene la AEPD, la normativa de protección de datos no debe ser contemplada como una rémora a la efectividad de las medidas de vigilancia y control epidemiológico ni como una merma de las facultades de tutela de la salud pública.

Consecuentemente, cabe realizar unas consideraciones generalmente aplicables a los tratamientos de datos personales, sin perjuicio de que, como hemos aseverado, deba valorarse en última instancia las características particulares del tratamiento en cuestión:

Si nos encontramos ante datos personales «no sensibles» podremos tratarlos, incluso sin consentimiento del interesado:

  • Cuando el tratamiento de los datos sea necesario para cumplir con una obligación legal. Por ejemplo, cuando un Responsable del Tratamiento (empresario) trate los datos para cumplir deberes y obligaciones legales inherentes a la prevención de riesgos laborales de sus empleados (protección de la seguridad y salud del personal a su servicio).
  • Cuando el tratamiento sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos. Esto es, cuando el Responsable trate los datos, por ejemplo, en el ejercicio de sus competencias o poderes de vigilancia y control de epidemias, salud pública o emergencias humanitarias (siempre que haya una norma que le confiera tales facultades).
  • Cuando el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física. Incluso aunque no haya una norma u obligación legal, podremos tratar los datos personales cuando sea imprescindible para proteger la vida o integridad física del propio interesado o incluso de otras personas físicas. Por ejemplo, para prevenir que un trabajador ya contagiado pueda transmitir el virus al resto de la plantilla.

No obstante, por la propia naturaleza que implican los tratamientos en tiempos de crisis sanitarias o epidemias, en la mayoría de casos nos encontraremos ante datos «sensibles» (v.g. datos genéticos o datos relativos a la salud). Por ejemplo, una información que identifica a un determinado empleado como contagiado es un dato, a todas luces, relativo a su estado de salud y, por ende, merece una especial protección. Así pues, en estos supuestos necesitamos una legitimación reforzada, que se producirá en casos como los siguientes:

  • Cuando sea necesario tratar los datos para cumplir con las obligaciones legales de derecho laboral, seguridad y protección social. Por tanto, el empresario, en el ejercicio de sus obligaciones de prevención de riesgos laborales también podrá tratar datos de salud de sus trabajadores. Esto incluye también la obligación del trabajador de informar, motu proprio, al empleador de circunstancias que pudieran afectar a su salud y a las de sus compañeros y compañeras (por ejemplo, síntomas, sospechas o contacto con otros infectados).
  • Cuando sea necesario tratar los datos para fines de medicina preventiva o laboral o evaluación de la capacidad laboral del trabajador o diagnóstico médico. Por ejemplo, cuando el médico o personal de seguridad de la empresa o externos realizan una evaluación o chequeo de un trabajador o toma su temperatura para comprobar su estado de salud y de dicha prueba se derivan tratamientos de datos personales.
  • Cuando sea necesario tratar los datos por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública. Por ejemplo, cuando las autoridades sanitarias o laborales traten datos personales de salud para proteger a la población frente amenazas transfronterizas graves para la salud (por ejemplo, una epidemia).
  • Por último, cuando sea necesario tratar los datos de salud para proteger los intereses vitales del interesado o de otra persona física. Sin embargo, en este caso, será preciso que el interesado no esté física o jurídicamente capacitado para otorgar su consentimiento. Podríamos pues, acudir a esta legitimación como ultima ratio en caso de que no procedieran las anteriores. Por ejemplo, podríamos trasladar los datos sobre el contagio de una persona que se encontrase en estado crítico a los familiares o a personas que hubieran tenido contacto con la misma; pero únicamente para advertirles sobre la posibilidad de que también hubieran podido contraer la enfermedad y los riesgos para su salud e integridad.

En síntesis, la normativa de protección de datos ha previsto numerosos cauces para que podamos tratar datos personales en situaciones de emergencia sanitaria como la presente. Sin embargo, la habilitación legal para tratar los datos (sean sensibles o no sensibles) no implica una «carta blanca» para los Responsables, que deberán utilizar exclusivamente los datos estrictamente necesarios (minimización) y con la rigurosa finalidad de proteger la salud pública y la de los trabajadores con motivo de la epidemia (limitación de finalidad). De igual forma, será imprescindible controlar que no se realicen usos ulteriores de esos datos con finalidades incompatibles; sin perjuicio de que podrían llegar a utilizarse posteriormente con fines de investigación científica y de salud para, precisamente, evitar y prevenir nuevas situaciones como la que, desgraciadamente, hoy en día nos concierne.

¿Te ha resultado interesante?
Estamos especializados en adecuar la operativa de las empresas al nuevo Reglamento General de Protección de Datos de la Unión Europea.

Deja una respuesta

Todos los campos son obligatorios. Trataremos tus datos únicamente para gestionar la publicación de tu comentario y responder a las sugerencias o peticiones que, en su caso, nos realices. Tu dirección de email no será publicada. Puedes, en todo momento, retirar el consentimiento para el tratamiento de tus datos, así como ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, escribiéndonos a . Más información en nuestra política de privacidad.

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales.