COVID-19: La Agencia Española de Protección de Datos emite un informe sobre el tratamiento de datos de salud
Alerta
La Agencia Española de Protección de Datos (AEPD) ha publicado, con fecha de 12 de marzo, un informe (accesible aquí) en el que analiza el tratamiento de datos de salud en relación con la crisis provocada por la epidemia del Coronavirus COVID-19. En dicho informe, establece que el tratamiento de datos de salud en distintos ámbitos puede considerarse lícito, sometido al cumplimiento de los principios y obligaciones establecidos en el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
Para que el tratamiento de los datos de salud sea lícito, dicho tratamiento debe realizarse en virtud de alguna de las bases legitimadoras del artículo 6 del RGPD como, por ejemplo, el cumplimiento de una obligación legal o la defensa de intereses vitales. Además, tratándose de datos especialmente protegidos, según indica la AEPD, los responsables del tratamiento, entre los que se encuentran las empresas, deberán amparar el tratamiento de datos de salud en alguna de las siguientes bases legitimadoras del artículo 9 del RGPD:
- Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (artículo 9.2.b del RGPD).
Para poder amparar el tratamiento de datos de salud en esta base legitimadora, dicho tratamiento debe estar establecido en la normativa española. En este sentido, la AEPD indica que las empresas pueden tratar los datos de salud de los trabajadores si estos datos son necesarios para el cumplimiento de la normativa de prevención de riesgos laborales.
Sin perjuicio de lo anterior, la AEPD no aclara si la empresa puede solicitar esta información directamente a los trabajadores (actuación activa) o si la empresa sólo puede tratar los datos personales de salud si los trabajadores los proporcionan voluntariamente (actuación reactiva). - Que el tratamiento sea necesario por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública (artículo 9.2. g) e i) del RGPD).
Para poder amparar el tratamiento de datos de salud en esta base legitimadora, dicho tratamiento debe estar establecido en la normativa española. En este sentido, la AEPD aclara que, en la legislación española, las responsabilidades en defensa del interés público esencial o en el ámbito de la salud pública corresponden a las autoridades sanitarias y a los centros de salud.
Por este motivo, tal y como indica la AEPD, las empresas sólo pueden amparar el tratamiento de datos personales de salud en esta base legitimadora, si el tratamiento de los datos personales de salud es realizando siguiendo las instrucciones de las autoridades competentes (por ejemplo, para informar a una persona de que ha estado en contacto con un compañero de trabajo contagiado de coronavirus –si bien, en nuestra opinión, no se debería informar al resto de trabajadores de la identidad del empleado contagiado-). - Que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social (artículo 9.2.h del RGPD).
En este caso, los datos de salud deben ser tratados por un profesional de la salud. Por este motivo, (aunque la AEPD no lo indica expresamente), cabe interpretar que el tratamiento de datos de salud amparado en esta base legitimadora, sólo puede ser realizado por el servicio médico de las empresas, además de los profesionales médicos en centros de salud y hospitalarios. - Que el tratamiento de los datos de salud sea necesario para proteger el interés vital del interesado o de otra persona física cuando el interesado se encuentra física o jurídicamente incapacitado (artículo 9.2.c del RGPD).
Asimismo, en el citado informe, la AEPD indica que (i) cada responsable del tratamiento (entre ellos, las empresas) debe analizar cuál de las citadas bases legitimadoras les resultaría de aplicación, (ii) los datos sobre la salud deben tratarse única y exclusivamente para la finalidad recabada, en este caso concreto, la gestión de la crisis del coronavirus.
Finalmente, la AEPD recuerda que el tratamiento de datos de salud debe respetar el resto de principios establecidos en el RGPD, como el principio de limitación del tratamiento o el principio de minimización de datos, de forma que no se recaben más datos personales que los estrictamente necesarios ni se utilicen para otras finalidades o más allá del tiempo más corto posible.
Las agencias de protección de datos de Reino Unido y de Francia, entre otros países, se han pronunciado también al respecto de esta situación, siendo elemento común a ambas la necesidad de limitar al máximo el tipo de datos que se recaban y las finalidades, recomendando que, en la medida de lo posible, no se recaben datos personales de salud si existen otros medios menos invasivos para la misma finalidad (por ejemplo, que en lugar de preguntar síntomas a los trabajadores, se informe a estos de que si han estado en zonas de riesgo o presentan síntomas deben acudir a un servicio médico).
Profesionales de contacto