La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19
En un momento en que el estado de alarma sitúa en un escenario de medidas que limitan o restringen el ejercicio de los derechos (como excepción a la normalidad constitucional fruto o consecuencia de la gravedad de la situación), parece más temerario que razonable que las autoridades de protección de datos de los países europeos a la cabeza de contagios (Italia, España, Alemania y Francia) estén emitiendo una doctrina confusa y obstaculizadora para las empresas y entidades públicas en relación con la recogida y tratamiento de datos de salud para detectar los casos de coronavirus o prevenir contagios.
Sin ir más lejos, el garante para la Protección de Datos de Carácter Personal (Autoridad italiana) publicó la pasada semana, en pleno auge de la enfermedad, una nota de prensa bajo el título “No do-it-yourself (DIY) data collection, says the Italian DPA” para dejar sin palabas a cualquiera.
Esta autoridad de control, ante las “numerosas preguntas de entidades públicas y privadas respecto de la posibilidad de recoger datos sobre síntomas de coronavirus de visitantes y trabajadores como medida preventiva del contagio”, determinó que los empleadores deben abstenerse de recopilar, a priori y de manera sistemática y generalizada, información sobre la presencia de cualquier síntoma de gripe del trabajador y sus contactos más cercanos, incluso a través de solicitudes de información específicas a los trabajadores de forma individual o a través de investigaciones no autorizadas, bajo la justificación de que solo los trabajadores de la salud y el sistema activado por la protección civil son los organismos responsables de garantizar el cumplimiento de las normas de salud pública y por tanto, quienes pueden determinar y recopilar información relacionada con los síntomas típicos del coronavirus e información sobre los movimientos recientes de cada individuo.
En una línea similar, la autoridad francesa de protección de datos (CNIL), ante la igualmente numerosa recepción de solicitudes de profesionales sobre la posibilidad de recopilar, además de cualquier tratamiento médico, datos sobre empleados y visitantes para determinar si las personas tienen síntomas de coronavirus o datos relacionados con viajes y eventos, indicó a través de un artículo denominado “Covid-19, Les rappels de la CNIL sur la collecte de données personnelles” que los empleadores no pueden tomar medidas que puedan violar la privacidad de las personas, dado que estos datos están sujetos a una protección muy especial, tanto por el Reglamento General de Protección de Datos como por las disposiciones del Código de Salud Pública. Y dio un paso más allá, explicando que no es posible implementar, por ejemplo, sistemas de lectura obligatoria de la temperatura corporal de cada empleado o visitante de un centro o establecimiento, concluyendo que si la situación de salud requiere que todas las partes interesadas estén particularmente atentas, “la CNIL invita a las personas y profesionales a seguir las recomendaciones de las autoridades sanitarias y a recopilar solo datos sobre la salud de las personas que tienen han sido solicitados por las autoridades competentes”.
Menos restrictivo aparentemente resulta el informe emitido por la Autoridad alemana de protección de datos (BFDI), en su artículo Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, publicado igualmente, como en los casos anteriores, tras la masiva consulta elevada por los empleadores sobre el mismo hecho, la posible recogida de datos de salud por los empleadores respecto de la infección de sus trabajadores por coronavirus. No obstante, el informe no profundiza acerca de la licitud o no de la recogida de datos de temperatura corporal de los trabajadores y visitantes a centros de trabajo.
Llegados a este punto, nuestra autoridad de control, la Agencia Española de Protección de Datos, publicó el pasado 12 de marzo un informe sobre los tratamientos de datos en relación con el Covid19, donde parecía que, ante tanta insensatez, nuestra autoridad ofrecía un criterio acorde con las circunstancias dentro de las garantías del Reglamento General de Protección de Datos, explicando que “en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”.
Pero en paralelo a este informe, la misma autoridad ha publicado unas preguntas frecuentes sobre el tratamiento de datos en relación con el coronavirus, donde a la vez que avala que “verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador” sin embargo argumenta que esta verificación debería ser realizada por “personal sanitario”.
Esto supone que, a criterio de nuestra autoridad de control, resulta obligatorio para todos los empleadores verificar si el estado de salud de su personal puede poner en riesgo la salud de toda la plantilla u otras personas, pero eso sí, solo a través del personal sanitario.
Sorprendente conclusión a la que llega nuestra autoridad de control en un momento donde es prioritaria la salud de la población y donde la cordura nos dice que la protección de datos no debería utilizarse para obstaculizar ni limitar la efectividad de las medidas que adopten, no solo las autoridades, sino también los agentes privados en la lucha contra la epidemia.
En esta línea, el Considerando (46) del Reglamento General de Protección de Datos reconoce que ciertos tipos de tratamientos de datos pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria.
Y como apunta el profesor Ricard Martínez en su brillante informe sobre el tema “A la muerte por protección de datos”, nuestro ordenamiento jurídico nos proporciona un marco regulador en salud pública y vigilancia epidemiológica que son suficientes garantías para poder llevar a cabo el tratamiento de datos personales aplicando la razón última en la protección de las categorías especiales de datos (como los de salud), cuestión que ya tuvo en cuenta el Convenio 108/1981, del Consejo de Europa, que no es otra que evitar la discriminación.
Tomando las palabras de Ricard Martínez, “tratar datos de salud con la función de prevenir y luchar en un escenario epidémico o pandémico se alinea con el valor constitucional fundamental la garantía de la vida, la salud y la dignidad humanas”, por lo que, haciendo un llamamiento a las autoridades de control de protección de datos europeas, y especialmente a la española, estas deberían reelaborar sus informes, proporcionando a los empleadores y entidades, tanto públicas como privadas, y a la ciudadanía en general, un escenario acorde con la normativa de privacidad, diseñando en todo caso un protocolo a seguir para la recogida de datos personales con el fin de contener la propagación del coronavirus y evitar riesgos a las personas, bien se trate del personal de plantilla, bien de visitas.
Y ello sin descartar el uso y aprovechamiento de la tecnología existente, como por ejemplo uso de cámaras térmicas en manos del personal de seguridad privada, todo ello, lógicamente en un escenario de cumplimiento de los principios de protección de datos que nos obligan a garantizar la privacidad desde el diseño y por defecto, la limitación de la finalidad del tratamiento, la minimización de los datos, un marco temporal de tratamiento y conservación de los datos, la exigencia del deber de secreto de las personas que deban tratar los datos (aunque no sea estrictamente personal sanitario) y las debidas medidas de seguridad, todo ello para que los destinatarios de dicha información sean las autoridades sanitarias y aquellos terceros que en su caso el Ordenamiento Jurídico prevea.
Pero no pongamos el derecho a la protección de datos como obstáculo ni sometamos a las empresas ni a nuestras administraciones abiertas al público a la contradicción de tener que aplicar medidas para garantizar la salud y evitar los contagios, solo si determinados tratamientos de datos para ello los lleva a cabo el personal sanitario. El personal sanitario “está donde está” y “bastante tiene con lo que tiene”.
Volviendo a la pregunta planteada por la Agencia Española de Protección de Datos en su documento de preguntas y respuestas acerca de si el personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus cuando esté en riesgo tanto su salud como la de otras personas y cuya respuesta de la citada Agencia es que, de acuerdo con la normativa de prevención de riesgos laborales, ello resulta obligatorio para el empleador, si bien debería ser realizado por personal sanitario, me atrevo a realizar la siguiente reflexión:
La derogada Directiva Europea 95/46/CE de protección de datos, establecía en su artículo 8 la prohibición de los Estados miembros de llevar a cabo el tratamiento de datos personales relativos a la salud con, entre otras, la siguiente excepción: cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos siempre que dicho tratamiento de datos fuera realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o por otra persona sujeta asimismo a una obligación equivalente de secreto.
En la misma línea, la derogada Ley Orgánica 15/1999 de protección de datos de carácter personal, establecía en su artículo 7, apartado 6, que podrán ser objeto de tratamiento los datos de carácter personal de salud cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
En mi opinión, el Reglamento General de Protección de Datos ha mantenido el mismo régimen en su artículo 9, apartados 1, 2.h) y 3 al determinar que queda prohibido el tratamiento de datos personales relativos a la salud, salvo que dicho tratamiento sea necesario para fines de medicina preventiva o laboral, prestación de asistencia o tratamiento de tipo sanitario o social, sobre la base del Derecho de la Unión o de sus Estados miembros, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros, o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de sus Estados miembros o de las normas establecidas por los organismos nacionales competentes.
En definitiva, no existe una prohibición absoluta a que personal distinto al sanitario lleve a cabo el tratamiento de dichos datos, siempre y cuando dicho personal no sanitario esté sujeto a un deber de confidencialidad y a un deber de secreto.
En este punto traigo a colación la Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada, cuya actuación está sujeta, entre otros principios básicos, según lo establecido en su artículo 31, a la guarda de una “rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones, especialmente de las informaciones que reciba en materia de seguridad y de los datos de carácter personal que deba tratar, investigar o custodiar, y no podrá facilitar datos sobre dichos hechos más que a las personas que les hayan contratado y a los órganos judiciales y policiales competentes para el ejercicio de sus funciones”.
En definitiva, y volviendo a la posibilidad de que los empleadores puedan tratar datos personales de salud en el marco de la prevención de riesgos de sus trabajadores procedentes de la toma de temperatura a través de tecnologías como cámaras térmicas gestionadas por personal del sector de la seguridad privada, creo que queda acreditado en nuestro Derecho que dicho personal de seguridad privada está sujeto a un estatuto de reserva y sigilo profesional, como mínimo, similar al de cualquier profesional sanitario.
En todo caso, parece que las autoridades de control europeas y, en particular, la Agencia Española de Protección de Datos, no están teniendo en cuenta el conjunto del Ordenamiento Jurídico al analizar la situación epidemiológica en que nos encontramos al llevar a cabo sus conclusiones desde el punto de vista de la normativa de protección de datos, lo cual nos lleva a un recorte jurídico inaceptable en la situación en que nos encontramos.
Mi conclusión es que las reflexiones jurídicas de la Agencia Española de Protección de Datos han sido elaboradas partiendo de la base de un “marco de normalidad en protección de datos” en el cual obviamente los datos de salud, solo y exclusivamente deben ser tratados por las autoridades y medios sanitarios.
Pero, la cuestión es que no nos encontramos en una situación de normalidad en salud pública, ni tampoco en protección de datos, por lo que la interpretación que se debe hacer de la normativa de protección de datos debe ser en un marco de interpretación sistemática del Ordenamiento Jurídico que sirva para anteponer unos bienes constitucionales ante otros: la salud pública y la vida de las personas ante el derecho a la protección de datos personales.
No es posible interpretar la normativa desde la óptica del poder de control empresarial derivado del artículo 20 del Estatuto de los Trabajadores “sin más”, sino que debemos ir más allá, o dicho en otras palabras, debemos valorar la situación desde la óptica de la protección de la salud en el entorno laboral y para cualquier persona. No podemos analizar la aplicación del derecho de prevención de riesgos laborales atendiendo a la situación exclusiva de lo que “ocurre en una oficina”, cuando lo que ocurre es una epidemia que traspasa los límites y las paredes de una oficina.
La Ley 33/2011, de 4 de octubre, General de Salud Pública, en su artículo 9 “Deber de comunicación” exige a cualquier persona que conozca hechos, datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de la población, ponerlos en conocimiento de las autoridades sanitarias, quienes velarán por la protección debida a los datos de carácter personal y en su apartado segundo advierte de que, “lo anterior se entiende sin perjuicio de las obligaciones de comunicación e información que las leyes imponen a los profesionales sanitarios”.
El artículo 21, apartado c) de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales “Riesgo grave e inminente”, establece que cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo, para su seguridad, la de otros trabajadores o la de terceros, el empresario estará obligado a disponer lo necesario para que el trabajador que no pudiera ponerse en contacto con su superior jerárquico, ante dicha situación, esté en condiciones, habida cuenta de sus conocimientos y de los medios técnicos puestos a su disposición, de adoptar las medidas necesarias para evitar las consecuencias de dicho peligro.
Otro ejemplo de “grandes declaraciones y poca concreción para las entidades responsables” es la del Comité Europeo de Protección de Datos, el cual ha publicado una reciente nota de prensa sobre tratamiento de datos personales en el contexto del Covid19 en el cual nos recuerda que el GDPR establece los fundamentos legales para permitir que los empleadores y las autoridades competentes de salud pública traten datos personales en el contexto de epidemias, sin la necesidad de obtener el consentimiento del interesado y ello se aplica, por ejemplo, cuando el tratamiento es necesario para los empleadores por razones de interés público en el área de la salud pública o para proteger intereses vitales (Art. 6 y 9 del GDPR) o para cumplir con otra obligación legal. Poca explicación para tan gran problema de salud pública como tenemos.
Para ir concluyendo, es preciso que las autoridades de control sean socialmente responsables y no se escurran en “arenas movedizas” con discursos o informes “diciendo sin decir”.
Tienen el deber de informar de manera clara e inequívoca sobre las pautas de tratamiento de datos personales que deben seguir los empleadores “en tiempos del coronavirus”, es decir, en un contexto excepcional y de alarma, haciendo una interpretación sistemática de las normas del Ordenamiento Jurídico que afectan tanto a salud pública como a protección de las personas y protección de datos, emitiendo medidas y protocolos concretos que los responsables de tratamiento puedan seguir en el tratamiento de datos de salud, con el fin de garantizar la salud de su personal y terceros y así evitar los contagios, sopesando la situación y sin amenazas de multa, en un momento donde la tecnología y otros medios bien utilizados pueden ser de tanta ayuda. No basta con “una nota de prensa, un informe, unas “FAQs” y que el resto opine”.
En definitiva, vivimos una situación de excepcionalidad, y el estado de necesidad justificante prevalece. Las autoridades de control europeas deben emitir informes que tengan una aplicación práctica, dado que el problema y la situación son comunes, apartando su condición de “expertos solo en protección de datos” y explorando el Derecho con una verdadera visión holística, balanceando los derechos fundamentales en juego para garantizar que los empleadores (con independencia de su condición pública o privada) puedan llevar a cabo los tratamientos de datos personales necesarios y justificados para contener la propagación del coronavirus y evitar riesgos a las personas, tanto del personal de plantilla como de visitas, eso sí, con las debidas garantías que el Reglamento Europeo de Protección de Datos exige.
Las autoridades de protección de datos tienen una oportunidad de oro para hacer un buen trabajo atendiendo, como indica el Reglamento Europeo de Protección de Datos, al hecho de que el tratamiento de los datos de carácter personal debe estar concebido para servir a la humanidad y que el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.
Puede que merezca la pena ahora arriesgar en los criterios que en un futuro tener que aprender de los errores.