La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado.

La Agencia Española de Protección de Datos considera necesario advertir que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.

La información de haber padecido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativo a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9, por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.

El RGPD requiere para el tratamiento de datos personales la existencia en todo caso de una base jurídica de las previstas en su artículo 6.1, y cuando se traten categorías especiales de datos personales, como son los datos relativos a la salud, es necesaria también la concurrencia de una de las excepciones previstas en el artículo 9.2 del RGPD que permiten levantar la prohibición de su tratamiento.

Entre las bases jurídicas que en principio podrían fundamentar dicho tratamiento por la empresa empleadora estarían el consentimiento del interesado, conforme al artículo 6.1.a) del RGPD, o la prevista en su artículo 6.1.b), relativa al tratamiento necesario para la ejecución de un contrato en el que la persona candidata es parte o para la aplicación a petición de esta de medidas precontractuales. Sin embargo, ni una ni otra base serían aplicables en el presente caso.

Consentimiento libre

Para que el consentimiento sea válido debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. El RGPD ha dejado bien claro que el consentimiento no debe considerarse libremente prestado cuando no se goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (considerando 42), o cuando exista un desequilibro claro entre las partes (considerando 43), como sucedería en el presente caso, en el que el consentimiento estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona.

En ese sentido, el Comité Europeo de Protección de Datos ha ratificado las “Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679”, adoptadas el 28 de noviembre de 2017 por el Grupo de Trabajo del Artículo 29 y revisadas por última vez el 10 de abril de 2018 (WP259), que consideran que en el contexto del empleo se produce un desequilibrio de poder dada la dependencia que resulta de la relación entre las partes, y no es probable que la persona candidata pueda negar a la empresa el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales; y, por tanto, considera problemático que la empresa realice el tratamiento de datos personales de empleados y empleadas actuales o futuros sobre la base del consentimiento, ya que no es probable que éste se otorgue libremente.

En consecuencia, no sería lícito un tratamiento de datos de salud como el expuesto por parte de la empresa basándose en el consentimiento de la persona candidata, por no ser este un consentimiento libre.

Del mismo modo, tampoco podría considerarse aplicable la base jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos fijado en el artículo 5.1.c) del RGPD, en relación con lo que se dispone en el artículo 7.4.

Desde el punto de vista de las excepciones que levantarían la prohibición de tratar estos datos sensibles, el consentimiento, que para funcionar como excepción debiera ser, además, explícito, no sería válido, por las mismas razones que se han indicado al analizarlo como base jurídica.

Cabría analizar si alguna otra de las excepciones previstas en el artículo 9.2 del RGPD, podría ser aplicable. En concreto cuando el tratamiento es necesario para atender a las obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del derecho laboral, de acuerdo con lo previsto por el derecho de la Unión o de los Estados Miembros.

En este contexto, solicitar información sobre el estado de inmunidad frente a la COVID-19 iría más allá de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales.

En primer lugar, porque la persona interesada aún no es empleada y la empresa no tiene por tanto obligaciones o derechos específicos frente a ella. En segundo lugar, porque la información sobre una posible inmunidad frente a la enfermedad no contribuye significativamente a la protección del resto del personal o de la propia persona, en la medida en que los protocolos de prevención de riesgos adoptados por las autoridades sanitarias y laborales se aplican por igual a todo el personal, orientándose por lo que se refiere a la presencia de infección a los casos sospechosos. Estos protocolos no establecen excepción alguna para personas que ya hayan padecido la enfermedad. Finalmente, porque la misma consideración habría de atribuirse a la COVID-19 que a cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de infección, sin que se plantee esta cuestión en la actualidad sobre otras enfermedades que pudieran resultar de declaración obligatoria a las autoridades sanitarias conforme al Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.

Finalidad del tratamiento

Además de no existir base jurídica lícita para su tratamiento, la finalidad del tratamiento tampoco sería legítima.

Todo tratamiento de datos debe cumplir con los principios establecidos en el artículo 5 del RGPD, en particular ser tratados de manera lícita y que su recogida obedezca a finalidades legítimas. La solicitud de información sobre la inmunidad a la COVID-19, como requisito para acceder a un puesto de trabajo, daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Situación que el RGPD tiene en cuenta, pues parte de que hay que proteger los derechos fundamentales y la dignidad de las personas en los tratamientos que se produzcan en el ámbito laboral, en particular, a efectos de contratación de personal, pudiendo los Estados miembros establecer disposiciones más específicas que las previstas para los tratamientos de datos personales con carácter general “para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento…” (artículo 88 y considerando 155 del RGPD).

En definitiva, dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.

Inclusión del dato en el currículum

En relación con el acceso al empleo, también se ha observado la práctica de reflejar en los currículums de quienes buscan un empleo, que envían a empresas, información de ser inmune a la COVID-19 por haber generado anticuerpos frente a dicha enfermedad.

Por las razones ya expuestas, no se debe incluir la información de ser inmune a la COVID-19 en un currículum. El potencial destinatario del mismo no puede utilizar esa información que por lo demás requeriría de una verificación que, como se ha señalado, sería ilícita, por lo que la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando no fuera posible asegurar que el dato de la inmunidad no va a influir en la decisión que finalmente se adopte, y la eliminación del candidato del proceso selectivo.

La difusión de datos de salud, al estar considerados éstos como una categoría especial de datos personales, cuyo tratamiento implica la exigencia de garantías reforzadas, supone un riesgo para la privacidad y los derechos y libertades de los interesados. El RGPD, en su considerando 75, recoge que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la COVID-19.

La AEPD celebra dos jornadas en las que abordará desde una perspectiva práctica cómo el teletrabajo contribuye al fomento de la conciliación y la productividad, analizando también los retos que se presentan para su expansión en las administraciones y empresas españolas.

La Agencia Española de Protección de Datos (AEPD) ha organizado las jornadas virtuales ‘Nuevos modelos de trabajo, nuevos liderazgos’ en las que se va a analizar el teletrabajo desde diferentes perspectivas. Organizadas en dos sesiones los días 24 y 26 de junio, la primera de ellas contará con una mesa dedicada al sector público y otra al sector empresarial, mientras que la segunda de las jornadas expondrá las experiencias prácticas puestas ya en marcha por diferentes entidades (acceso al programa completo)

El día 24 de junio, las jornadas de debate cuentan con representantes del Ministerio de Igualdad, el Ministerio de Política Territorial, la Organización para la Cooperación y el Desarrollo Económico (OCDE), CEOE, CEPYME, Women in a Legal World, UGT, CCOO, CSIF y el Ministerio de Trabajo y Economía Social. La mesa del sector público estará moderada por la Agencia y la del sector empresarial por ADireLab.

El día 26 de junio estará dedicado a conocer experiencias prácticas de teletrabajo, ya en marcha, y los resultados obtenidos por parte de  la Agencia Española de Protección de Datos, la Generalitat Valenciana, Zurich Seguros y Software del Sol.

En este enlace pueden consultarse los horarios y el programa completo.

El acceso a las jornadas en directo se realiza a través de estos enlaces:

• Mesa Sector Público (miércoles 24, 10.00 horas)
• Mesa Sector Empresarial (miércoles 24, 12.00 horas)
• Experiencias prácticas (viernes 26, 11.30 horas)

Con la realización de estas jornadas la Agencia quiere promover el debate sobre cómo el teletrabajo contribuye al fomento de la conciliación y la productividad, analizando también los retos que se presentan para su expansión en las administraciones y empresas españolas, identificando debilidades y generando respuestas prácticas.

El teletrabajo ha contribuido de manera fundamental a que la conciliación sea una realidad efectiva en la AEPD, posibilitando no sólo el incremento de la productividad de los empleados y empleadas sino también su bienestar. Los primeros pasos de este programa se iniciaron en 2017 con un programa piloto y, desde entonces, se ha convertido en un método habitual de ordenación del trabajo en la AEPD. La participación en este programa, que en circunstancias normales permite realizar el 40% de la jornada en este régimen, se ha ido incrementando progresivamente hasta llegar en 2020 al 80% de la plantilla. Este porcentaje se encuentra por encima de países referentes en este ámbito, y convierte a la AEPD en uno de los organismos pioneros en la Administración Pública española.

(Madrid, 5 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha suscrito la ‘Declaración de teletrabajo e innovación: 12 compromisos + 12 causas’ de Women in a Legal World, convirtiéndose en el primer organismo de la Administración General del Estado que se adhiere a la iniciativa. El apoyo a esta Declaración se engloba en el marco de la Responsabilidad Social y Sostenibilidad de la Agencia y su Plan de Igualdad, que incluye una apuesta firme por esta modalidad laboral también en el ámbito de las Administraciones Públicas.

La tecnología ha sido una herramienta clave para seguir trabajando ante la situación generada por la COVID-19, demostrando que se puede trabajar, en muchas ocasiones, desde cualquier lugar, poniéndose de manifiesto que la flexibilidad laboral no solo es posible sino beneficiosa.

El Programa de Teletrabajo de la Agencia refleja el compromiso de la AEPD con el fomento de la conciliación de la vida personal, laboral y familiar de sus trabajadores y trabajadoras, tal y como recoge su Plan de Igualdad. Los primeros pasos de este programa se iniciaron en 2017 con un programa piloto y, desde entonces, se ha convertido en un método habitual de ordenación del trabajo en la AEPD. La participación en este programa, que en circunstancias normales permite realizar el 40% de la jornada en este régimen, se ha ido incrementando progresivamente hasta llegar en 2020 al 80% de la plantilla. Este porcentaje se encuentra por encima de países referentes en este ámbito, y convierte a la AEPD en uno de los organismos pioneros en la Administración Pública española.

Como parte de su Plan de Sostenibilidad y dados los buenos resultados obtenidos con el teletrabajo por objetivos, la Agencia ofrece su experiencia para participar en el III Plan de igualdad de la Administración General del Estado, al favorecer de manera extraordinaria la conciliación.

El teletrabajo ha contribuido de manera fundamental a que la conciliación sea una realidad efectiva en la AEPD, posibilitando no sólo el incremento de la productividad de los empleados y empleadas sino también su bienestar. De acuerdo con la última evaluación realizada, quienes participan en el programa lo puntúan, de media, con un 9,58 sobre 10, otorgando el 85% de ellos la máxima valoración. En este sentido, el 100% de los y las adscritas al mismo expresan que su conciliación ha mejorado sustancialmente y casi el 88% considera que su bienestar personal ha aumentado de forma significativa.

La ‘Declaración de Teletrabajo: 12 compromisos + 12 causas’ suscrita por la Agencia pretende lograr una conjunción equilibrada entre el teletrabajo y el trabajo presencial. En este sentido, y consciente de que la protección de los datos debe mantenerse en condiciones de teletrabajo, la Agencia ha publicado unas Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo, un documento en el que recoge consejos dirigidos tanto a las organizaciones como a los y las trabajadoras. El objetivo de estas recomendaciones, además de dar pautas para que las organizaciones puedan implantarlas, es que la protección de datos no se utilice como una excusa para denegar la adopción del teletrabajo.

Acerca de la Responsabilidad Social y Sostenibilidad de la Agencia

El Marco de Actuación en materia de igualdad de género se integra con la Responsabilidad Social y Sostenibilidad de la AEPD (ODS 5 – Igualdad de género), que estructura el compromiso de este organismo en cuatro grandes ejes: Compromiso con la sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. La política de Responsabilidad Social y Sostenibilidad identifica más de 100 acciones: un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, igualdad de género e innovación y emprendimiento; un 13% son compromisos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas.

(Madrid, 1 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección de oficio de la atención sociosanitaria’, que analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos.

Los planes de inspección de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

Por otra parte, se ofrecen recomendaciones relativas a la seguridad de los datos debido a que se trata de categorías especiales, como minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; elaborar perfiles de acceso que consideren las necesidades de información de cada profesional; realizar auditorías de los accesos; que los empleados que traten datos personales de los usuarios suscriban un compromiso de confidencialidad, o evitar la utilización de usuarios genéricos cuya utilización se comparte entre varios empleados, entre otras.

También se apreciaron dudas sobre si los centros podían facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares. En este sentido, la AEPD observa que debe recabarse el consentimiento del usuario. No obstante, en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.

Otras recomendaciones se refieren, por ejemplo, a que los contratos de encargado de tratamiento especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones de Impacto relativas a la Protección de los Datos para los nuevos tratamientos de los centros sociosanitarios.

El ‘Plan de Inspección de oficio de la atención sociosanitaria’ se enmarca dentro de las actuaciones previstas en el Plan Estratégico de la AEPD. En concreto tiene su origen en la actuación 1.3.2, cuyo objetivo es detectar los tratamientos y cesiones de datos que se llevan a cabo entre ambos sectores, social y sanitario, buscando su adecuación a la legislación de protección de datos.