La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española, que ya en el año 1978 previó que el uso la informática podría entrar en conflicto con la intimidad de las personas cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
A nivel legislativo, la concreción y desarrollo de este derecho fundamental tuvo lugar en sus orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales (LORTAD). Esta fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales (LOPD).
A nivel europeo, en los últimos años de la pasada década se intensificaron los impulsos tendentes a lograr una regulación más uniforme y garantista del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada. Dichos impulsos desembocaron en la publicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGPD), que entró en vigor en mayo de 2018. Aunque no era necesario un mayor desarrollo legislativo, pues los reglamentos europeos producen efecto directo en los ordenamientos jurídicos de los países miembro desde su publicación en el Diario Oficial de la Unión Europea, en España se quisieron precisar algunos aspectos del RGPD a través de la Ley Orgánica 3/2018, que el 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
La pandemia del COVID-19 ha traído aparejada la adopción de nueva normativa estatal en distintas materias que nos obliga a tomar una serie de medidas extraordinarias de prevención y protección en el desarrollo de nuestra actividad, medidas que nos plantean ciertas dudas respecto a la protección de datos. Pero antes de entrar a profundizar en estas cuestiones, debemos conocer algunos conceptos que nos ayudarán a dar luz a las mismas.
¿Qué entendemos por dato personal?
Es esencial conocer qué se entiende por dato personal, como base para definir nuestra actuación respecto a su tratamiento. Según el artículo 4.1 de la RGPD, un dato personal es “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
¿“Isabel” es un dato personal? No, pues hay muchas personas con ese nombre. Sin embargo, si decimos “Isabel Preysler” o “Isabel Pantoja” ya estamos identificando a personas concretas. ¿Y una foto de mi pie? Tampoco, porque a no ser que tenga un signo distintivo característico, será difícil que revele mi identidad. Sin embargo, mi huella dactilar es única en el mundo, por lo que es considerada dato personal.
En el manejo de un dato personal, entran en juego varias figuras. Un trabajador en plantilla o un usuario de nuestras entidades tienen la condición de titulares de los datos referidos a su persona. Nuestras entidades, ostentan el papel de responsables del tratamiento, puesto que en el ejercicio de su actividad deciden sobre el tratamiento de esos datos personales, determinando los fines y los medios. En ocasiones, contaremos con encargados del tratamiento de los datos, puesto que contamos con la colaboración de otras entidades que por cuenta nuestra tratan datos personales cuya responsabilidad recae sobre nosotros (La asesoría sociolaboral que tramita las bajas y altas de los trabajadores, por ejemplo) y, como no, teniendo en cuenta que dentro de nuestro ámbito trabajamos con datos de salud, datos considerados especialmente sensibles, requerimos de un delegado de protección de datos que se encargue de supervisar el cumplimiento de la normativa en materia de protección de datos personales.
No olvidemos que el responsable del tratamiento de los datos debe asegurar el cumplimiento de los principios que el artículo 5 del RGPD establece para el uso, tratamiento y almacenamiento de los datos de carácter personal. Estos se resumen en:
a) Licitud, lealtad y transparencia = tratamiento de los datos personales únicamente cuando concurra alguna de las causas habilitantes señaladas en la norma y deber de facilitar al interesado la información relativa al tratamiento de forma concisa y transparente.
b) Limitación de la finalidad = obligar al responsable de la recogida de datos a tratar exclusivamente los datos recabados con fines determinados, explícitos y legítimos.
c) Minimización de datos = limitados a lo necesario, no pudiendo recabar información que exceda de la finalidad (principio de proporcionalidad).
d) Exactitud = deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.
e) Limitación del plazo de conservación = mantenidos no más tiempo del necesario para los fines del tratamiento.
f) Integridad y confidencialidad = se garantice la seguridad adecuada de los datos aplicando medidas técnicas y organizativas que eviten el uso no autorizado de los mismos.
Cobra especial importancia la licitud del tratamiento de los datos de carácter personal, debiendo concurrir al menos una de las siguientes causas para que la entidad pueda tratar dichos datos:
a) Consentimiento: que tendrá que ser inequívoco, libre y revocable, y deberá darse mediante un acto afirmativo claro, para uno o varios fines específicos.
Ej. Cuando accedemos a las páginas web, nos piden nuestro consentimiento para la utilización de cookies.
b) Relación contractual: Sea necesario para la ejecución de un contrato. Ej. La empresa en la que trabajo utiliza mis datos personales para ponerlos en mi nómina, amparándose en la existencia de un contrato de trabajo.
c) La Ley: Se traten datos en cumplimiento de una obligación legal.
Ej. tengo que comunicar las retenciones realizadas a mis trabajadores a la seguridad social, se encuentra amparado en que tengo una obligación legal.
d) Intereses Vitales: Del interesado o de otra persona física. Ej. Cuando el interesado no está capacitado física o jurídicamente para prestar su consentimiento, pero hay intereses vitales en juego (está en coma, por ejemplo) se pueden tratar sus datos alegando esta causa.
e) Interés público: Cumplimiento de una misión realizada en interés público.
Ej. El interés público que existe en evitar la comisión de delitos justifica que ponga cámaras en la nave de mi empresa para que no se produzcan robos.
f) Interés legítimo: Perseguido por el responsable del tratamiento o por un tercero, siempre que no prevalezcan los intereses o los derechos y libertades públicas del interesado.
Ej. el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado en virtud de interés legítimo.
Adaptación de la protección de datos en tiempos de pandemia
En el contexto de la emergencia de salud pública generada por el Covid-19, y a fin de evitar su propagación, muchas organizaciones han comenzado a tratar un tipo de datos personales que hasta la fecha no estaban tratando. Se trata de datos clínicos (que son considerados datos sensibles y especialmente protegidos), lo que ha planteado algunas cuestiones:
¿Qué tratamiento pueden realizar las entidades de los datos clínicos de sus trabajadores?
¿Pueden tratar la información de un trabajador si está contagiado?
¿Pueden tomarles la temperatura o realizarles test para la detección de Covid-19?
¿Se les puede preguntar a los trabajadores si tienen síntomas?
¿Pueden transmitir esta información al resto de trabajadores?
¿Pueden preguntarles qué lugares han visitado? ¿Pueden pedir información sobre sus familiares?
A este respecto, se considera que el tratamiento será lícito cuando se cumpla con los principios y obligaciones del RGPD. De acuerdo con la normativa aplicable, los datos de salud son datos personales sensibles, cuyo tratamiento está prohibido con carácter general, salvo si se trata de alguna de las excepciones previstas en el artículo 9.2 del RGPD.
La Agencia Española de Protección de Datos (AEPD) considera que sí se pueden tratar estos datos, amparándose en las siguientes justificaciones:
- Existencia de un interés público en proteger la salud pública (artículo 9.2.i en relación con el art. 6.e).
- El cumplimiento de una obligación legal en el ámbito del derecho laboral, pues hay que cumplir con la normativa sobre prevención de riesgos laborales (artículo 9.2.b en relación con el artículo 6.c).
- Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona, o cuando el interesado no esté capacitado para prestar su consentimiento (artículo 9.2.c en relación con el artículo 6.d) Ejemplo: puedo pedir estos datos a mis trabajadores para proteger los intereses vitales de las personas usuarias de la AFA.
La AEPD señala que “en el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión del COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder. Por tanto, ese consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.”
En cualquier caso, y aunque se puedan tratar este tipo de datos sensibles al amparo de las causas mencionadas, habrá que atender a los criterios de proporcionalidad y minimización de datos, lo que significa que no podemos preguntar a los trabajadores donde han estado en el último año, sino que deberemos limitarnos a las dos últimas semanas, que es el tiempo máximo que puede durar el período de incubación. Tampoco podemos preguntarles si tienen algún tipo de dolor o enfermedad, debemos limitarnos a preguntar sobre los síntomas propios de la Covid-19. La información que solicitemos debe ser siempre la justa y necesaria para cumplir con la finalidad del tratamiento. Por otra parte, deberemos conservar esta información el tiempo estrictamente necesario para la finalidad que se pretende, no estando justificado guardar los datos sobre la temperatura corporal de los trabajadores más tiempo del necesario para poder realizar un rastreo en caso de que se produjera un brote.
Por supuesto, lo dicho hasta ahora para las personas trabajadoras aplica también a las personas usuarias de los centros y residencias y a las personas voluntarias, a quienes se les pueden realizar estos controles esgrimiendo la existencia de un interés general en el ámbito de la salud pública y de evitar la expansión de la pandemia. En este caso, el consentimiento de los titulares de los datos (o de sus representantes legales, en caso de estar incapacitados judicialmente) sí que puede entenderse como un supuesto habilitante para el tratamiento de datos, pues al no estar sometidos a una relación de subordinación respecto al empleador, puede entenderse que se presta de manera libre. Sin embargo, no podríamos ampararnos en la normativa de prevención de riesgos laborales, pues esta solo aplica a las personas trabajadoras por cuenta ajena.
Otra duda que se ha suscitado ha sido la relativa al cumplimiento de la protección de datos en las entidades donde se ha implantado el trabajo a distancia (entendido en su más amplio concepto, es decir; tanto el teletrabajo realizado desde casa utilizando un dispositivo electrónico como otros tipos de trabajo a distancia, ej. desplazamiento a domicilios de usuarios).
En ocasiones, la implantación del trabajo a distancia puede formar parte de la estrategia de gestión, general o parcial para determinadas áreas o actividades (por ejemplo, personal que viaja con frecuencia). Otras veces, esta puede ser motivada por situaciones excepcionales e incluso de fuerza mayor (como la pandemia por Covid-19). Si en el primer caso hay que realizar una planificación previa, en el segundo las circunstancias pueden obligar a poner en marcha soluciones urgentes con carácter provisional. Cuando esto último sucede, es obligatorio, en paralelo y especialmente cuando la situación se prolonga, realizar una reflexión y una adecuación de la implementación del trabajo a distancia. En ese propósito, la AEPD ha dirigido una serie de recomendaciones tanto al responsable del tratamiento como al trabajador:
|
Responsable del tratamiento |
Trabajador |
|
Definir una política específica de protección de datos y de seguridad de la información para situaciones de trabajo a distancia, política que deberá ser comunicada a las personas trabajadoras de la entidad. |
Respetar la política de protección de la información definida por el responsable y, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso en el desempeño de sus funciones. |
|
Trabajar con prestadores de servicio confiables que ofrezcan suficientes garantías.
Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo, videollamada y mensajería. |
Proteger los dispositivos utilizados para el teletrabajo y el acceso a los mismos
-Estar protegidos con una contraseña robusta (recomendable que sea alfanumérica) -No descargar aplicaciones que no hayan sido autorizadas previamente por la organización. -Evitar la conexión a redes WIFI abiertas no seguras -No utilizar el equipo proporcionado por la entidad para acceder a redes sociales, email personal, etc. -El sistema antivirus instalado en el equipo debe estar operativo y actualizado. -Una vez concluida la jornada de trabajo debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.
|
|
Restringir el acceso a la información atendiendo a tres criterios:
-Según el rol que desempeñe, la persona trabajadora tendrá acceso a una u otra información.
- Además, hay que aplicar restricciones de acceso adicionales dependiendo del tipo de dispositivo desde el que se acceda.
-También es condicionante la ubicación desde la que se accede a los datos.
|
Proteger la información que se maneja (sea cual sea el soporte)
-Si habitualmente se trabaja con papel, durante situaciones de movilidad es importante minimizar o evitar la entrada y salida de documentación en este soporte y extremar las precauciones para evitar accesos no autorizados por parte de terceros. -La información en soporte papel, incluyendo borradores, no se puede desechar sin garantizar que es adecuadamente destruida. -Evitar que otras personas puedan ver la pantalla y bloquear la sesión de los dispositivos cuando estos se encuentren desatendidos. -En la medida de lo posible es aconsejable prevenir que se puedan escuchar conversaciones por parte de terceros ajenos utilizando auriculares o retirándose a un espacio en el que la persona empleada no esté acompañada. |
|
Configurar periódicamente los equipos y dispositivos utilizados para el teletrabajo:
-Los servidores deben estar actualizados.
-Los dispositivos utilizados por empleados deben estar actualizados a nivel de aplicaciones y sistema operativo, contar con software antivirus actualizado, disponer de un cortafuegos local activado, incorporar mecanismos de cifrado de la información, etc. |
Guardar la información en los espacios de red habilitados al efecto
-Conviene evitar almacenar la información en el dispositivo utilizado, siendo preferible guardar la información en el servidor común o en la nube.
-No se debe bloquear o deshabilitar la política de copia de seguridad corporativa definida para cada dispositivo. |
|
Monitorizar los accesos realizados a la red corporativa desde el exterior Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores.
Conviene recordar también la existencia del derecho a la desconexión digital de los trabajadores fuera de su horario laboral, derecho que deberá ser respetado.
|
Ante la más mínima sospecha de que la información se haya podido ver comprometida, comunicárselo de inmediato al responsable |
|
Gestionar racionalmente la protección de datos y la seguridad Previa a la implantación de medidas, se hace necesaria la realización de un análisis de riesgos que pondere la proporcionalidad entre los beneficios del acceso a distancia y el impacto potencial de que la información de carácter personal pudiera verse comprometida. |
|
Fuente: https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf
Respecto a esta última cuestión del trabajo a distancia, recalcamos la conveniencia de establecer unas medidas técnicas adecuadas que garanticen la integridad, disponibilidad y confidencialidad de los datos personales.
No exiten comentarios para esta entrada. Sé tú el primero en hacerlo.
Deja un comentario
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con un asterisco *.