La AEPD advierte a empresas y trabajadores sobre el hecho compartir información de salud con motivo de la crisis del COVID-19

La AEPD advierte a empresas y trabajadores sobre el hecho compartir información de salud con motivo de la crisis del COVID-19

En fechas recientes estamos asistiendo a un nuevo reto en materia de protección de datos suscitado al hilo de la crisis sanitaria provocada por el virus denominado COVID19.

Tanto empresas como candidatos a puestos de trabajo han anunciado, entre las condiciones para acceder a un determinado puesto o bien entre las virtudes de un candidato propuesto a una vacante, el hecho de haber superado el proceso vírico del COVID19.

Esta circunstancia ha obligado a la Agencia Española de Protección de datos a emitir un comunicado de prensa alertando precisamente sobre estas circunstancias.

Libertad en el consentimiento

Concretamente, y al hilo de estas prácticas, la Agencia Española de Protección de Datos recuerda que el hecho de facilitar información relativa a haber desarrollado esta patología médica y facilitar igualmente información sobre haber desarrollado anticuerpos con motivo del COVID19, forma parte de lo que el Reglamento General de Protección de Datos califica como categorías especiales de datos. Denominados bajo la anterior normativa como datos de carácter sensible y que se regulan en el actual Reglamento General de Protección de datos en su artículo 9.

De acuerdo con lo anterior, es preciso tener en cuenta que el tratamiento de esta categoría especial de datos precisa de una base de legitimación para poder llevar a cabo dicho tratamiento.

En este sentido, una de las bases de legitimación que podría articularse por parte de la organización empleadora para poder llevar a cabo el tratamiento de categorías especiales de datos sería el consentimiento del interesado. Si bien este consentimiento debe estar reforzado, conforme a lo previsto por el Comité Europeo de Protección de Datos en su Guía sobre el consentimiento (anteriormente denominado Grupo de Trabajo del Artículo 29).

Es decir, pasaríamos de un consentimiento expreso o “regular cosent”, a un consentimiento explícito.

Riesgos del tratamiento

Asimismo, es necesario tener en cuenta que el requisito de libertad en el otorgamiento para todo consentimiento prestado por el interesado. No podría operar en este contexto de una contratación, y ello puesto que la relación de dependencia que surgiría en esta relación empresa-trabajador, derivaría en un riesgo en no ser contratado por parte de la empresa en caso de negarse a comunicar esta información relativa a haber superado el COVID19.

Si ponemos el foco en otra de las bases de legitimación para el tratamiento como la ejecución de un contrato o la puesta en marcha de medidas precontractuales, tampoco sería válida. Puesto que el hecho de haber superado el COVID19 no sería necesaria para la contratación del trabajador.

Asimismo, el hecho de solicitar información sobre haber superado el COVID19 por parte de la empresa sería considerado como excesivo y desproporcionado para la finalidad de tratamiento, y no cumpliría con los requisitos de objetividad y tratamiento mínimo de datos.

Tampoco se estaría cumpliendo con el principio de licitud, al no encontrarnos ante un consentimiento libre.

De igual modo, las excepciones previstas en el artículo 9.2 del Reglamento General de Protección de Datos no operarían. Puesto que este tipo de información no protegería especialmente al resto de empleados de la empresa. El interesado no formaría parte activa de la plantilla y las medidas de protección para el personal de la empresa se aplican por igual a todos los trabajadores.

Por parte del candidato al puesto tampoco debería de incluirse esta información en el Curriculum Vitae remitido a la empresa. En consideración a los argumentos anteriormente señalados.

Letslaw es un despacho de abogados especializado en derecho digital y privacidad para el asesoramiento a empresas y particulares.