Ante la coyuntura excepcional ocasionada por la expansión del COVID-19 y el estado de alarma decretado por el Gobierno, surge la duda entre las empresas responsables del tratamiento de datos personales de la aplicación del RGPD en esta situación y de la facultad de tratar datos relativos a la salud, considerados como categoría especialmente sensible por la normativa, sin la necesidad de recabar el consentimiento expreso de los interesados.
Para hacer frente a esta incertidumbre, la Agencia Española de Protección de Datos (AEPD) ha publicado un informe para resolver tales cuestiones, así como un listado dando respuesta a las preguntas frecuentes que le han hecho llegar tanto empresas como ciudadanos.
El primer extremo que pretende aclarar la AEPD en el mencionado informe, es que el RGPD se aplica en su integridad, pues en el propio contenido del texto normativo se prevé la posibilidad de tener que hacer frente a situaciones de emergencia sanitaria de alcance general, sin que ello implique que la total aplicabilidad de las normas en materia de protección de datos personales pueda suponer un obstáculo a las medidas adoptadas por las autoridades competentes, sobre todo las sanitarias.
En este sentido, el Considerando 46 otorga legitimidad para el tratamiento de datos personales en situaciones de emergencia como “el control de epidemias y su propagación”, a los tratamientos realizados con motivo de preservar el interés público y los intereses vitales del interesado y de terceros.
En lo que concierne al tratamiento de datos relativos a la salud, que son los que cobran especial relevancia en la presente situación, estos son catalogados como de categoría especial por el artículo 9 RGPD y su tratamiento queda en un principio prohibido a menos que se cumpla alguna de las excepciones previstas en el apartado 2 del citado artículo.
En el escenario actual, se dan hasta cinco excepciones que permiten el tratamiento de datos relativos a la salud y que no requieren el consentimiento del interesado, como son el cumplimiento de obligaciones en materia de Derecho Laboral, ya que al estar sujeto el empresario a la Ley de Prevención de Riesgos Laborales debe tomar todas las medidas a su alcance para garantizar la seguridad y salud de los empleados en el ámbito de su trabajo; velar por el interés público, tanto en un sentido esencial del concepto como en el ámbito de la salud pública; cuando sea necesario para un diagnóstico médico para fines de medicina preventiva o laboral; y como ya se ha mencionado anteriormente, cuando sea necesario para proteger los intereses vitales del interesado o de otras personas.
De lo expuesto en el párrafo anterior se extrae por lo tanto que, para la salvaguarda de los intereses esenciales contenidos en las excepciones mencionadas, los responsables están facultados para tomar las medidas correspondientes adecuadas que impliquen el tratamiento de datos personales relativos a la salud, sin necesidad de haber sido otorgado el consentimiento por parte de los interesados, y que deberán ser conformes a lo que dispongan las autoridades competentes, especialmente las sanitarias.
Además, dichos tratamientos deberán efectuarse siempre con el máximo respeto a todos los principios contenidos en el artículo 5 del RGPD, con especial mención al principio de minimización de datos, en el sentido que estos deberán ser tratados limitándose a cumplir con la finalidad pretendida, sin recabar datos más allá de los necesarios y sin destinarlos a otra finalidad distinta.
A modo ejemplificativo, las empresas podrán tratar información de si sus trabajadores están o pueden estar infectados de COVID-19 mediante la realización de las preguntas pertinentes sin la necesidad del consentimiento de los interesados, como pueden ser sintomatología, contacto con personas infectadas o en cuarentena o visitas recientes a países de riesgo, teniendo en cuenta que cualquier pregunta que excediera de la información necesaria para indagar sobre una posible infección estaría infringiendo los principios del RGPD.
Asimismo, en el supuesto de conocer un caso de contagio o posible contagio, sería procedente por parte del empleador comunicarlo al resto del personal afectado, manteniendo la anonimidad de la persona afectada siempre que fuese posible por las circunstancias, en cumplimiento del principio de minimización del artículo 5 del RGPD.
Se puede concluir pues, que la AEPD comunica en su informe que la situación de excepcionalidad que se atraviesa por la expansión del COVID-19 no afecta a la aplicabilidad de la normativa en materia de protección de datos y que esta permite a los responsables del tratamiento adoptar las medidas necesarias para salvaguardar los intereses vitales de las personas, el interés público esencial en el ámbito de la salud o el cumplimiento de obligaciones legales en materia laboral sin necesidad de contar con el consentimiento del interesado, aunque, eso sí, siempre de acuerdo con las medidas adoptadas por las autoridades competentes y cumpliendo con los principios relativos al tratamiento contenidos en el artículo 5 del RGPD.
