(Madrid, 23 de junio de 2020). En relación con la nota de prensa publicada por el Ministerio de Asuntos Económicos y Transformación Digital, la Agencia Española de Protección de Datos hace las siguientes aclaraciones:

• La implicación de la Agencia en la app de rastreo de contactos desarrollada por la Secretaría de Estado de Digitalización e Inteligencia Artificial ha tenido que limitarse a iniciar el pasado 21 de mayo un procedimiento de actuaciones previas de investigación que aún no ha concluido. Este procedimiento se abrió, en el marco de las competencias de la AEPD de proteger los derechos y libertades de los ciudadanos, con el objeto de obtener información sobre las características de la app inmediatamente después del anuncio público del proyecto.
• El desconocimiento de los detalles de la articulación práctica de la aplicación y de la experiencia piloto, esenciales para analizar su incidencia sobre la privacidad de los ciudadanos, ha dado lugar al requerimiento de solicitudes formales de información a la Secretaría de Estado de Digitalización e Inteligencia Artificial y ha impedido valorar su adecuación a la normativa de protección de datos personales con antelación.
• El Reglamento General de Protección de Datos no excluye la posibilidad de mejorar un tratamiento de datos en las etapas finales de su desarrollo, pero establece claramente que es el responsable de ese tratamiento quien debe tener en cuenta la protección de datos desde el inicio del diseño del proyecto.

La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado.

La Agencia Española de Protección de Datos considera necesario advertir que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.

La información de haber padecido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativo a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9, por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.

El RGPD requiere para el tratamiento de datos personales la existencia en todo caso de una base jurídica de las previstas en su artículo 6.1, y cuando se traten categorías especiales de datos personales, como son los datos relativos a la salud, es necesaria también la concurrencia de una de las excepciones previstas en el artículo 9.2 del RGPD que permiten levantar la prohibición de su tratamiento.

Entre las bases jurídicas que en principio podrían fundamentar dicho tratamiento por la empresa empleadora estarían el consentimiento del interesado, conforme al artículo 6.1.a) del RGPD, o la prevista en su artículo 6.1.b), relativa al tratamiento necesario para la ejecución de un contrato en el que la persona candidata es parte o para la aplicación a petición de esta de medidas precontractuales. Sin embargo, ni una ni otra base serían aplicables en el presente caso.

Consentimiento libre

Para que el consentimiento sea válido debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. El RGPD ha dejado bien claro que el consentimiento no debe considerarse libremente prestado cuando no se goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (considerando 42), o cuando exista un desequilibro claro entre las partes (considerando 43), como sucedería en el presente caso, en el que el consentimiento estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona.

En ese sentido, el Comité Europeo de Protección de Datos ha ratificado las “Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679”, adoptadas el 28 de noviembre de 2017 por el Grupo de Trabajo del Artículo 29 y revisadas por última vez el 10 de abril de 2018 (WP259), que consideran que en el contexto del empleo se produce un desequilibrio de poder dada la dependencia que resulta de la relación entre las partes, y no es probable que la persona candidata pueda negar a la empresa el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales; y, por tanto, considera problemático que la empresa realice el tratamiento de datos personales de empleados y empleadas actuales o futuros sobre la base del consentimiento, ya que no es probable que éste se otorgue libremente.

En consecuencia, no sería lícito un tratamiento de datos de salud como el expuesto por parte de la empresa basándose en el consentimiento de la persona candidata, por no ser este un consentimiento libre.

Del mismo modo, tampoco podría considerarse aplicable la base jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos fijado en el artículo 5.1.c) del RGPD, en relación con lo que se dispone en el artículo 7.4.

Desde el punto de vista de las excepciones que levantarían la prohibición de tratar estos datos sensibles, el consentimiento, que para funcionar como excepción debiera ser, además, explícito, no sería válido, por las mismas razones que se han indicado al analizarlo como base jurídica.

Cabría analizar si alguna otra de las excepciones previstas en el artículo 9.2 del RGPD, podría ser aplicable. En concreto cuando el tratamiento es necesario para atender a las obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del derecho laboral, de acuerdo con lo previsto por el derecho de la Unión o de los Estados Miembros.

En este contexto, solicitar información sobre el estado de inmunidad frente a la COVID-19 iría más allá de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales.

En primer lugar, porque la persona interesada aún no es empleada y la empresa no tiene por tanto obligaciones o derechos específicos frente a ella. En segundo lugar, porque la información sobre una posible inmunidad frente a la enfermedad no contribuye significativamente a la protección del resto del personal o de la propia persona, en la medida en que los protocolos de prevención de riesgos adoptados por las autoridades sanitarias y laborales se aplican por igual a todo el personal, orientándose por lo que se refiere a la presencia de infección a los casos sospechosos. Estos protocolos no establecen excepción alguna para personas que ya hayan padecido la enfermedad. Finalmente, porque la misma consideración habría de atribuirse a la COVID-19 que a cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de infección, sin que se plantee esta cuestión en la actualidad sobre otras enfermedades que pudieran resultar de declaración obligatoria a las autoridades sanitarias conforme al Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.

Finalidad del tratamiento

Además de no existir base jurídica lícita para su tratamiento, la finalidad del tratamiento tampoco sería legítima.

Todo tratamiento de datos debe cumplir con los principios establecidos en el artículo 5 del RGPD, en particular ser tratados de manera lícita y que su recogida obedezca a finalidades legítimas. La solicitud de información sobre la inmunidad a la COVID-19, como requisito para acceder a un puesto de trabajo, daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Situación que el RGPD tiene en cuenta, pues parte de que hay que proteger los derechos fundamentales y la dignidad de las personas en los tratamientos que se produzcan en el ámbito laboral, en particular, a efectos de contratación de personal, pudiendo los Estados miembros establecer disposiciones más específicas que las previstas para los tratamientos de datos personales con carácter general “para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento…” (artículo 88 y considerando 155 del RGPD).

En definitiva, dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.

Inclusión del dato en el currículum

En relación con el acceso al empleo, también se ha observado la práctica de reflejar en los currículums de quienes buscan un empleo, que envían a empresas, información de ser inmune a la COVID-19 por haber generado anticuerpos frente a dicha enfermedad.

Por las razones ya expuestas, no se debe incluir la información de ser inmune a la COVID-19 en un currículum. El potencial destinatario del mismo no puede utilizar esa información que por lo demás requeriría de una verificación que, como se ha señalado, sería ilícita, por lo que la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando no fuera posible asegurar que el dato de la inmunidad no va a influir en la decisión que finalmente se adopte, y la eliminación del candidato del proceso selectivo.

La difusión de datos de salud, al estar considerados éstos como una categoría especial de datos personales, cuyo tratamiento implica la exigencia de garantías reforzadas, supone un riesgo para la privacidad y los derechos y libertades de los interesados. El RGPD, en su considerando 75, recoge que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la COVID-19.

(Madrid, 9 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha presentado ‘Facilita Emprende’, una herramienta que ayuda a pymes y micropymes tecnológicas en su adecuación a la normativa de protección de datos, y que ofrece un conjunto de recomendaciones de privacidad, seguridad y de gestión de riesgos para aquellos tratamientos que se caractericen específicamente por el uso de nuevas tecnologías.

‘Facilita Emprende’ está pensada para empresas con modelos de negocio que utilicen tecnologías como plataformas colaborativas, comercio electrónico, software en la nube (SaaS), desarrollo de juegos o aplicaciones web o análisis masivo de datos. En concreto, está dirigida a desarrolladores, personal responsable y personas encargadas de tratamientos que, debido al uso de nuevas tecnologías o al carácter innovador de los productos y servicios en los que trabajan, presentan características singulares para el cumplimiento y la gestión del riesgo que no permiten utilizar ‘Facilita RGPD’.
 
Mediante una descripción detallada de los tratamientos, la herramienta ayuda a obtener una visión práctica orientada a gestionar los posibles riesgos que podría implicar su desarrollo para los derechos y libertades de las personas.

Este nuevo recurso de la Agencia es gratuito y fácil de utilizar, y se compone de una serie de cuestionarios guiados que ayudan a la persona responsable a caracterizar el tipo de tratamientos que realiza su empresa. Al completar estos cuestionarios, cuya duración estimada es de 30 minutos, la herramienta genera un documento adaptado a los datos introducidos que sirve de guía para cumplir con las obligaciones impuestas por la normativa de protección de datos. Asimismo, ofrece recomendaciones adicionales orientadas a servir de apoyo en estas necesidades de cumplimiento particulares propias de tratamientos que poseen un alto componente innovador.

Este nuevo recurso se suma al ‘Decálogo de recursos de ayuda de la AEPD’ para promover la concienciación y el cumplimiento del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.

Infografía Facilita Emprende

(Madrid, 1 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección de oficio de la atención sociosanitaria’, que analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos.

Los planes de inspección de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

Por otra parte, se ofrecen recomendaciones relativas a la seguridad de los datos debido a que se trata de categorías especiales, como minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; elaborar perfiles de acceso que consideren las necesidades de información de cada profesional; realizar auditorías de los accesos; que los empleados que traten datos personales de los usuarios suscriban un compromiso de confidencialidad, o evitar la utilización de usuarios genéricos cuya utilización se comparte entre varios empleados, entre otras.

También se apreciaron dudas sobre si los centros podían facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares. En este sentido, la AEPD observa que debe recabarse el consentimiento del usuario. No obstante, en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.

Otras recomendaciones se refieren, por ejemplo, a que los contratos de encargado de tratamiento especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones de Impacto relativas a la Protección de los Datos para los nuevos tratamientos de los centros sociosanitarios.

El ‘Plan de Inspección de oficio de la atención sociosanitaria’ se enmarca dentro de las actuaciones previstas en el Plan Estratégico de la AEPD. En concreto tiene su origen en la actuación 1.3.2, cuyo objetivo es detectar los tratamientos y cesiones de datos que se llevan a cabo entre ambos sectores, social y sanitario, buscando su adecuación a la legislación de protección de datos.