La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado, dice texualmente en su comunicado oficial a Agencia Española de Protección de Datos al señalar que esas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.
“La información de haber padecido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativo a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial”, ha destacado el organismo estatal.
En este sentido, la Agencia ha indicado que, para el tratamiento de datos personales, el RGPD requiere la existencia de una base jurídica, y cuando se traten categorías especiales como son los relativos a la salud, es “necesaria también la concurrencia de una de las excepciones previstas en el artículo 9.2”.
En relación con las bases jurídicas que podrían fundamentar el tratamiento por parte de la empresa estarían el consentimiento del interesado o el tratamiento necesario para la ejecución de un contrato en el que la persona candidata es parte o para la aplicación a petición de esta de medidas precontractuales. “Ni una ni otra base serían aplicables en el presente caso”, ha subrayado la AEPD.
Respecto al consentimiento, la Agencia Española de Protección de Datos ha recordado que para que sea válido debe consistir “en una manifestación de voluntad libre, específica, informada e inequívoca”.
El organismo estatal ha aclarado que en este caso el consentimiento “estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona”. “No sería lícito un tratamiento de datos de salud como el expuesto por parte de la empresa basándose en el consentimiento de la persona candidata, por no ser este un consentimiento libre”, ha recalcado.
Según ha señalado, tampoco podría considerarse aplicable la base jurídica relativa a la ejecución de un contrato, “por cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos”.
En relación con las excepciones que levantarían la prohibición de tratar estos datos, ha informado de que “el consentimiento, que para funcionar como excepción debiera ser, además, explícito, no sería válido, por las mismas razones que se han indicado al analizarlo como base jurídica”.
Otras de las excepciones es cuando el tratamiento es necesario para atender a las obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del derecho laboral, de acuerdo con lo previsto por el derecho de la Unión o de los Estados Miembros.
En este caso, la Agencia ha asegurado que solicitar información sobre el estado de inmunidad frente a la COVID-19 “iría más allá” de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales.
De este modo, la Agencia argumenta que la persona interesada aún no es empleada y la empresa no tiene por tanto obligaciones o derechos específicos frente a ella.
Por otro lado, destaca que la información sobre una posible inmunidad “no contribuye significativamente a la protección del resto del personal o de la propia persona, en la medida en que los protocolos de prevención de riesgos adoptados por las autoridades sanitarias y laborales se aplican por igual a todo el personal, orientándose por lo que se refiere a la presencia de infección a los casos sospechosos”. “Estos protocolos no establecen excepción alguna para personas que ya hayan padecido la enfermedad”, ha apostillado.
Tampoco cabe esta posibilidad porque “la misma consideración habría de atribuirse a la COVID-19 que a cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de infección, sin que se plantee esta cuestión en la actualidad sobre otras enfermedades que pudieran resultar de declaración obligatoria a las autoridades sanitarias conforme al Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica”.
Por otra parte, la Agencia ha informado de que la finalidad del tratamiento tampoco sería legítima, ya que todo tratamiento debe cumplir con los principios establecidos en el artículo 5 del RGPD, en particular ser tratados de manera lícita y que su recogida obedezca a finalidades legítimas.
“La solicitud de información sobre la inmunidad a la COVID-19, como requisito para acceder a un puesto de trabajo, daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable”, ha manifestado.
Sobre la práctica de reflejar en los currículums de quienes buscan un empleo, que envían a empresas, información de ser inmune a la COVID-19 por haber generado anticuerpos frente a dicha enfermedad, la Agencia ha señalado “no se debe incluir” esa información en un currículum. “El potencial destinatario del mismo no puede utilizar esa información que por lo demás requeriría de una verificación que, como se ha señalado, sería ilícita”, ha zanjado.
Cumplimiento de la proteccion de datos sociosanitarios y en teletrabajo
La pandemia pilló a la Agencia como a las grandes digitales desprevenida. AEPD analizó por primera vez el pasado 1 de junio el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria, aclarando que los planes de inspección de oficio de la AEPD, que no tienen carácter sancionador sino preventivo, tratan de obtener una visión integral para detectar deficiencias y plantear mejoras. Su Plan de Inspección de oficio de la atención sociosanitaria incluye recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios que inciden en actuaciones necesarias para una correcta aplicación del RGPD y la LOPDGDD. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas a lo largo de su ejecución.
La AEPD se ha ocupado tambien de las brechas de seguridad: el correo electrónico y las plataformas de productividad online, a la vista de que las plataformas tecnológicas de productividad utilizadas en las organizaciones se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.Advierte al respecto que la nube almacena y procesa información actualizada, y también histórica, de organizaciones públicas y privadas de cualquier ámbito, desde pequeñas empresas a grandes compañías, pasando por centros educativos.
Igualmente, la AEPD ha suscrito la ‘Declaración de teletrabajo e innovación’ de Women in a Legal World como parte de su Plan de Sostenibilidad y ha organizado unas jornadas virtuales ‘Nuevos modelos de trabajo, nuevos liderazgos’ para analizar el teletrabajo desde diferentes perspectivas. Organizadas en dos sesiones los días 24 y 26 de junio.
Ante cambios como estos desde el sector privado se advierte especialmente de la relevancia de cualquier contingencia fiscal o legal puede quedar postergada ante un ataque que impida a los empleados en régimen de teletrabajo acceder a la intranet de la compañía y, por tanto, a las bases de datos de clientes, canal de venta online, a los correos electrónicos o a los secretos empresariales. Es lo que hacen en su articulo Protección de datos y ciberseguridad en las transacciones post COVID: de actores secundarios a protagonistas Pablo Tramoyeres Galvan e Ignacio Sevilla Sánchez, debido a que en el mundo post-COVID el teletrabajo ha llegado para quedarse, se han digitalizado procesos a la carrera y muchos negocios se han visto abocados a saltar al online, el Ministerio de Trabajo ha sacado a consulta pública un proyecto para regular el teletrabajo, además de que Gobierno y CSIF, UGT y CIG acuerdan hasta un 20% de teletrabajo en la Administración del Estado.
Entre muchas otras implicaciones, según estos expertos, el RGPD supuso modificar el listado de documentación que venía solicitándose al target respecto a su cumplimiento con la normativa de protección de datos. En la mayoría de los casos este apartado de la Due Diligence se reducía a una sencilla revisión formal y mecánica (ficheros bien declarados; documento de seguridad; auditoría bienal aprobada (en caso de ser necesaria). El nuevo enfoque del RGPD y su principio de responsabilidad proactiva, unido a la falta de un catálogo predeterminado de medidas de cumplimiento, conlleva que una evaluación puramente estática y superficial sea básicamente estéril. Casi vale la pena ahorrársela. No es posible evaluar los riesgos legales, económicos o reputacionales a los que está expuesto el target o calcular las inversiones que en esta materia se precisarían sin, entre otros, haber entendido qué tratamientos de datos personales se realizan, conocer si se ha padecido o detectado alguna brecha de seguridad y confirmar si el personal ha recibido formación específica.
“Tratamos datos personales de nuestros empleados, poco más”.Así responden muchas empresas (y ojo, quizás estén en lo cierto) pero ¿qué tipo de datos personales? Si el tratamiento estandarizado de datos personales en la esfera laboral no estaba exento de riesgos, la situación se complica si el target viniera aplicando alguna de las medidas que el Covid-19 nos ha traído: pasaportes inmunológicos, cuestionarios sobre contagios, cámaras de medición de la temperatura corporal…las dudas acerca de su impacto sobre la privacidad se han multiplicado.
Teletrabajo vs Derechos Digitales.Con el asentamiento del teletrabajo, los derechos digitales previstos en la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, especialmente el conocido como derecho a la desconexión digital, se enfrentan a enormes obstáculos merced a la flexibilización -más bien, extensión- de las jornadas laborales que, en muchas ocasiones, está propiciando este nuevo entorno Covid-19. Igualmente, se observan tensiones en cuanto a los contornos del derecho a la intimidad en atención al uso de apps de geolocalización, cámaras de reconocimiento facial o sistemas de detección de la temperatura, cuyo carácter intrusivo no está exento de polémica.
Pero ¿De qué me sirve conocer otras contingencias del target en ausencia de medidas ante un ciberataque? La relevancia de cualquier contingencia fiscal o legal puede quedar postergada ante un ataque que impida a los empleados en régimen de teletrabajo acceder a la intranet de la compañía y, por tanto, a las bases de datos de clientes, a las infraestructuras del canal de venta online, a los correos electrónicos o a los secretos empresariales, entre otra información.
Más ciberataques, más ciberamenazas.En efecto, según diversos estudios, el cibercrimen se ha convertido en la tercera actividad ilegal más lucrativa, adelantando al mismísimo tráfico de drogas. De hecho, a finales del mes de marzo (apenas transcurridos 15 días desde la declaración del estado de alarma) se habían detectado más de 2.600 ciberataques diarios incluyendo dominios o archivos con las palabras “corona” o “COVID”. Es evidente que estos ataques encuentran su hábitat ideal en el entorno actual con el almacenamiento de información en los equipos personales de los propios empleados y el incremento de accesos remotos a los sistemas de la compañía.
Como quiera que esta nueva realidad no parece que vaya a abandonarnos, nuestra recomendación es situar los análisis de protección de datos y de ciberseguridad en una posición prioritaria en los ejercicios de due diligence y proteger el valor de los intangibles cuya exposición al riesgo se ha incrementado exponencialmente.