GUÍA CORONAVIRUS Recomendaciones en materia de protección de datos [Pandemia COVID-19]

Ante la situación excepcional que nos está tocando vivir causada por la pandemia de la COVID-19, el equipo de trabajo de DPO&it law continúa prestando todos sus servicios profesionales con normalidad. A través de la presente nota informativa, DPO&it law ha recopilado una serie de recomendaciones que, bajo el formato de preguntas y respuestas, pretenden aclarar aquellas dudas relacionadas con la protección de datos de carácter personal que ha suscitado en la empresa la situación excepcional provocada por el CORONAVIRUS.

Antes de proceder a dicho desarrollo conviene aclarar, que la Agencia Española de Protección de Datos (AEPD) ha emitido un informe de su Gabinete Jurídico (Ref. 0017/2020) aclarando, con carácter general, que la normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni que por el momento dicha medida ha sido adoptada.

EN EL ÁMBITO DE PREVENCIÓN DE RIESGOS LABORALES

  • ¿Necesita la empresa el consentimiento del trabajador para el tratamiento de los datos personales de los trabajadores afectados por el COVID-19?
    No, ya que conforme a la normativa sanitaria, laboral y en particular de Prevención de Riesgos Laborales (PRL) la empresa podrá tratar los datos del personal necesarios para garantizar la salud de los afectados y la del resto del personal, adoptando las medidas necesarias para evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.

    Siguiendo el documento publicado por el Ministerio de Sanidad denominado: “Procedimiento de actuación para los Servicios de Prevención de Riesgos Laborales (SPRL) frente a la exposición al SARS-CoV-2” en el que establece:
    “El servicio sanitario del SPRL debe evaluar la presencia de PERSONAL TRABAJADOR ESPECIALMENTE SENSIBLE en relación a la infección de coronavirus SARS‐CoV‐2, establecer la naturaleza de especial sensibilidad de la persona trabajadora y emitir informe sobre las medidas de prevención, adaptación y protección. Para ello, tendrá en cuenta la existencia o inexistencia de unas condiciones que permitan realizar el trabajo sin elevar el riesgo propio de la condición de salud de la persona trabajadora.

    Con la evidencia científica disponible a fecha 23 de marzo de 2020 y ratificada a 8 de abril de 2020, el Ministerio de Sanidad ha definido como grupos vulnerables para COVID‐19 las personas con
    diabetes, enfermedad cardiovascular, incluida hipertensión, enfermedad hepática crónica, enfermedad pulmonar crónica, enfermedad renal crónica, inmunodeficiencia, cáncer en fase de tratamiento activo, embarazo y mayores de 60 años. Para calificar a una persona como especialmente sensible para COVID‐19, debe aplicarse lo indicado en el párrafo anterior”.
    Al respecto, DPO&it law ha preparado dos modelos de escritos para ayudar a la empresa al cumplimiento de dichas obligaciones.
    • Un primer documento para remitir a los proveedores que subcontraten servicios aportando personal con acceso a las instalaciones, así como a las empresas de trabajo temporal -ETT- cuyos servicios también deben ser prestados en las instalaciones de la empresa (Modelo a proveedores y ETT COVID-19).
    • Un segundo documento para remitir al personal de la empesa (Modelo PRL trabajadores COVID-19).
  • ¿Puede informar la empresa a todos los trabajadores de quien ha sido afectado por el COVID-19?
    Si en su empresa se ha dado algún caso de contagio por el coronavirus COVID-19, esta información puede proporcionarse al personal de la empresa sin identificar a la persona afectada a fin de mantener su privacidad. En todo caso, podría ser proporcionada al personal de la empresa, y en concreto al personal que haya podido tener contacto, si el trabajador presta de forma voluntaria su consentimiento para revelar dicha información. En cualquier caso, esta información podrá transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.
  • ¿Se puede solicitar información relacionada con el COVID-19 al personal o a terceros que acceden a la empresa?
    En principio está justificada la solicitud de información sobre síntomas o factores de riesgos sin necesidad de pedir su consentimiento explícito, si bien, ésta ha de responder al principio de proporcionalidad, resultando contrario al principio de minimización de datos la utilización de cuestionarios extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
  • Si el trabajador está en su domicilio bajo el “permiso retribuido recuperable” y se contagia por el COVID-19, ¿tiene la obligación de comunicarlo a la empresa?
    Ante una baja laboral por enfermedad, el trabajador no tiene la obligación de comunicar a la empresa el motivo. Sin embargo, en el caso de haberse contagiado por el COVID-19, sí está obligado a comunicárselo a la empresa para que ésta pueda adoptar las medidas oportunas de cara a proteger la salud del resto de los trabajadores.

    Igualmente, si el trabajador está aislado por posible contagio del COVID-19 pero no está diagnosticado como tal, también tiene la obligación de comunicarlo a la empresa.
  • ¿Se puede tomar la temperatura a las personas trabajadoras y terceros que acceden a la empresa?
    Aunque esta función debería recaer en el personal sanitario de la empresa, si ésta carece de ese personal, esta función podría realizarse,  por el personal de seguridad debiendo respetar la confidencialidad del dato obtenido y su finalidad deberá limitarse exclusivamente a evitar la propagación del COVID-19 y durante el tiempo estrictamente necesario. Además el personal de seguridad se encuentra sometido por el art 30.10 de la Orden INT/318/2011 de 1 de febrero sobre personal de seguridad privada, a una rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones.
  • ¿Debo mantener abierta la empresa?
    El Real Decreto-ley 10/2020, de 29 de marzo establece un “permiso retribuido recuperable” para trabajadores por cuenta ajena que no presten servicios esenciales, con el fin de reducir la movilidad de la población en el contexto de la lucha contra el coronavirus, de aplicación para trabajadores que no tengan suspendido su contrato o puedan continuar prestando servicios a distancia.
    La empresa debe mantenerse abierta si se trata de un servicio esencial y puede continuar la actividad empresarial si ésta no es considerada esencial, pero se puede realizar a distancia, aquella actividad que no exija desplazamiento de los trabajadores.
    En la Orden SND/307/2020, 30 de marzo, se adjunta un modelo de declaración responsable a emitir para los trabajadores por cuenta ajena que no deban acogerse al “permiso retribuido recuperable” recogido en el citado Real Decreto-ley.

EN EL ÁMBITO DEL TELETRABAJO

Una de las medidas más utilizadas por las empresas para seguir desempeñando sus labores profesionales ha sido adoptar sistemas de teletrabajo, debido a las restricciones de movimiento adoptadas por diferentes Decretos del Gobierno de España, así como por recomendaciones previas a estas prohibiciones de diferentes organismos y autoridades.

Aspectos jurídicos del teletrabajo:

  1. ¿Puede obligarse al trabajador a realizar teletrabajo?
    Por norma general no se puede, pues esto conllevaría una modificación de las condiciones de trabajo no recogida en el contrato de trabajo. La medida debería por tanto ser pactada entre el trabajador y la empresa de forma voluntaria, y formalizada por escrito. Sin embargo, dada esta situación excepcional, el Real Decreto-Ley 8/2020, de 17 de marzo, establece en su artículo 5 el carácter preferente del trabajo a distancia, estableciendo que deberán tomarse las medidas oportunas para mantener la actividad, siempre que ello sea técnica y razonablemente posible, y el esfuerzo de adaptación necesario no resulte desproporcionado. Además, establece que en todo caso el teletrabajo debe ser prioritario frente a la cesación temporal o la reducción de la actividad.
  2. ¿Puede el trabajador exigirlo?
    Como norma general, el trabajador tampoco puede exigirlo, debe ser una medida pactada entre empresario y trabajador. Sin embargo, como ya hemos indicado, el Real Decreto-ley 8/2020, de 17 de marzo, establece las medidas dirigidas a mantener la actividad económica, entre las que se encuentra el trabajo a distancia, el cual, como se ha dicho anteriormente, deberá ser prioritario frente a la cesación temporal o reducción de la actividad. Además, para facilitarlo, se prevén medidas como, por ejemplo, la autoevaluación de prevención de riesgos laborales, en los términos previstos en el artículo 16 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgo Laborales. En definitiva, el trabajador podría exigirlo, pues debe ser una medida proporcionada y oportuna que la empresa debe adoptar, siempre y cuando la misma sea razonable y técnicamente posible, sin suponer un esfuerzo de adaptación desproporcionado. Puede acceder a un modelo de Autoevaluación de Riesgos en el siguiente enlace (Modelo de autoevaluación de Riesgos).
  3. ¿Puede monitorizarse el teletrabajo?
    En principio sí se podría, conforme lo establecido en el artículo 20.3 del Estatuto de los Trabajadores. En dicho artículo el empresario podrá adoptar las medidas que considere oportunas de vigilancia y control, dentro de los límites que marca la legislación en protección de datos y el respeto a los Derechos Fundamentales de los trabajadores. Conforme a reiterada jurisprudencia de nuestro Tribunal Supremo y el TEDH, el empleador deberá emitir el juicio de proporcionalidad para el control laboral del trabajador, estableciendo que la medida es idónea, necesaria y proporcional a la medida de control establecida (Sentencia de la Sala Cuarta del Tribunal Supremo de 8 de Febrero de 2018), debiendo a su vez comunicar previamente al trabajador y la implantación de dicha medida, identificando la posibilidad y alcance de la fiscalización empresarial. Además deberá ser comunicada dicha medida a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores. Por otro lado, como se estableció por el TEDH en el caso Barbulescu (caso Barbulescu vs. Rumania, STEDH de 5 de Septiembre de 2017) a los efectos de calificar la supervisión del empleador como adecuada se deberán tener en cuenta los siguientes factores:
    1. el grado de intromisión del empresario.
    2. la concurrencia de legítima razón empresarial justificativa de la monitorización.
    3. la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo.
    4. el destino dado por la empresa al resultado del control.
    5. la previsión de garantías para el trabajador.
      Todo parece por tanto indicar, que en el presente supuesto excepcional el empresario tiene la justificación necesaria para realizar una vigilancia y control del teletrabajo, a través de la monitorización del mismo, ya que la medida de control es necesaria, adecuada y proporcional, siempre y cuando el grado de intromisión no supere los factores marcados por el TEDH y la misma sea comunicada a los representantes sindicales..
  4. ¿Debe realizarse el registro de jornada laboral preceptivo?
    Si, ya que este registro es obligatorio. El registro diario de jornada, exigible en todo caso, deberá ponderarse y globalizarse a efectos de control y contabilización del tiempo de trabajo efectivo en dichas secuencias superiores a la diaria. En este sentido conviene resaltar, que existen excepciones para el personal con relaciones laborales de carácter especial y para trabajadores con un régimen específico o particular en materia de registro de jornada. Por último deberá ser comunicada dicha medida a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores.

2. El Teletrabajo en la política RGPD.

La adopción del teletrabajo no puede suponer una quiebra en el cumplimiento de la normativa en materia de protección de datos, adquiriendo si cabe mayor importancia en esta situación de especial vulnerabilidad en la que nos encontramos.

En este contexto, debemos tener en cuenta varios aspectos a la hora de adecuar nuestras políticas de protección de datos a la nueva forma de trabajo a distancia adoptada por la empresa.

  1. Registro de Actividades
    Si el teletrabajo no está previsto en el funcionamiento normal de la empresa, no estará incluido en el Registro de Actividades del Tratamiento, por lo que éste debe ser completado incluyendo este nuevo tratamiento o Registro de Actividad de Tratamiento de datos.

    Deberá por tanto incluirse este nuevo tratamiento, además de actualizar otros documentos y anexos de la política de privacidad de la empresa para que esté recogido este nuevo tratamiento, incluida, en su caso, el Informe de aproximación al Riesgo, o la Política de Medidas Técnicas y Organizativas de Seguridad en Protección de Datos.
  2. Notificación de brechas de seguridad de los datos personales durante el estado de alarma
    La situación de especial vulnerabilidad que estamos atravesando aumenta la probabilidad de sufrir una brecha de seguridad de los datos personales. La suspensión de los plazos administrativos establecida por el Real Decreto 463/2020, de 14 de marzo, nos lleva a plantearnos si sigue la obligación de notificar las brechas de seguridad producidas en el seno de una organización.

    Esta duda ha sido resuelta por la AEPD, determinando que la suspensión de los plazos administrativos no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificar ante la AEPD y los interesados.

    Por lo tanto, los responsables y encargados del tratamiento deben seguir cumpliendo con sus obligaciones, debiendo notificar las brechas de seguridad en el plazo de 72 horas a la Autoridad de Control, que se podrá realizar de forma telemática a través de la sede electrónica de la AEPD.
  3. Información Adicional a los empleados
    El teletrabajo no puede ni debe ser excusa para dejar de cumplir determinadas normas y deberes por parte de los empleados, que deberán seguir las mismas medidas de seguridad que desde la empresa, por lo que resultaría conveniente recordar determinados aspectos:
    1. Deber de confidencialidad.
    2. Política de uso de dispositivos electrónicos, siempre que exista.
    3. Características de las redes a las que se pueden conectar.
    4. Uso compartido de los dispositivos.
    5. Posibilidad o no de instalar programas. En definitiva, debe garantizarse, en la medida de lo posible, el mismo nivel de seguridad que existía antes de incorporar el teletrabajo.
  4. ¿Qué ocurre con los contratos de encargado de tratamiento de profesionales autónomos?
    Normalmente, los profesionales autónomos suelen trabajar con el equipo y la red de la empresa desde las instalaciones de la empresa, debiendo suscribir el correspondiente contrato de encargado de tratamiento.

    Al adoptar el teletrabajo, la situación puede variar, siendo necesario realizar nuevos contratos de encargado de tratamiento para garantizar la confidencialidad, la seguridad y el adecuado cumplimiento en materia de protección de datos.

    Así, podemos encontrarnos en diferentes escenarios:
    • Profesionales autónomos con equipo y red de la empresa, pero siendo necesario trasladar el equipo a su propio domicilio. En este supuesto no será preciso firmar un nuevo contrato de encargado de tratamiento, pero deberá contar con la correspondiente autorización de la empresa para trasladar el equipo.
    • Profesionales autónomos con equipo propio y red de empresa. En este caso sí será necesario realizar un nuevo contrato de encargado del tratamiento que contemple la nueva situación y garantice la seguridad de los datos.
    • Profesionales autónomos con equipo y red propio. En este caso también será necesario realizar un nuevo contrato de encargado del tratamiento que contemple la nueva situación y garantice la seguridad de los datos.
      En cualquiera de los escenarios descritos, no hay que olvidar el cumplimiento de las funciones y obligaciones del personal de la empresa, además de todas las normas en materia de protección de datos que garanticen el mismo nivel de seguridad presente en la empresa antes de la crisis sanitaria provocada por la COVID-19.
  5. Política de Medidas Técnicas y Organizativas de Seguridad en Protección de Datos.
    Las implicaciones que tiene el teletrabajo en la Política de Medidas de Seguridad RGPD dependerá del modelo de teletrabajo adoptado por cada empresa, en concreto, si los sistemas de información con los que se trabaja a distancia son proporcionados por la empresa o, por el contrario son propiedad del trabajador, es decir si se adopta el modelo BYOD (Bring Your Own Device, Trae Tu Propio Dispositivo):
    1. Sistemas de Información aportados por la empresa: la empresa proporciona a los trabajadores los ordenadores y demás dispositivos necesarios para realizar el teletrabajo. Es necesario en estos casos implantar medidas técnicas y organizativas necesarias para garantizar la seguridad en el tratamiento de datos personales, ya sean medidas organizativas determinadas por normas preestablecidas (normas de uso de herramientas informáticas, política de funciones y obligaciones en protección de datos etc.) o medidas técnicas adoptadas específicamente para los casos concretos por el departamento de informática (instalación de VPNs, usuarios y contraseñas, restricciones de acceso a documentos o carpetas, registros de accesos, etc.). Este modelo de Teletrabajo afecta por tanto al tratamiento de datos y debe realizarse la correspondiente modificación del Registro de Actividades del Tratamiento, incluyendo el teletrabajo como un nuevo tratamiento de datos personales. Por otro lado, dado que el tratamiento de datos no se encuentra en la política de privacidad de la empresa, deberá comunicarse el mismo o a los empleados, en cumplimiento del Deber de información. Puede acceder a un modelo de Andenda al Contrato de trabajo que incluye todas las previsiones legales para poder redactar el mismo (Modelo de Adenda al Contrato de trabajo para Teletrabajo) sí como al modelo de comunicación a empleados en materia de protección de datos. (Modelo de comunicación Teletrabajo RGPD empleados).
    2. Bring Your Own Device (BYOD): el trabajador utiliza el ordenador y otros dispositivos de su propiedad para realizar el teletrabajo. En determinados casos las empresas no pueden proporcionar a sus trabajadores dispositivos para poder realizar teletrabajo, por lo que se autoriza a que se utilicen los dispositivos de los propios empleados para realizar el trabajo desde casa. Es importante, tener en cuenta, que si esta posibilidad no se encontraba regulada a la hora de establecer la relación laboral, no puede ser de obligado cumplimiento, si el trabajador se niega a utilizar sus propios dispositivos. De la misma manera que cuando se utilizan dispositivos de la empresa, el trabajo a distancia no puede suponer un incumplimiento de la normativa en protección de datos. Esta situación provoca un problema añadido, ya que es probable que para garantizar la seguridad de los datos deban realizarse determinadas operaciones en los dispositivos del trabajador que requieren el consentimiento de éste último, como por ejemplo la instalación de VPNs, bases de datos, antivirus etc. Además, este modelo de teletrabajo entraña otra serie de riesgos como la falta de actualizaciones de seguridad, ausencia controles de seguridad del Sistema Operativo, falta de cifrado etc. Si bien no es del todo recomendable implantar este tipo de modalidad de trabajo a distancia, el empresario puede verse abocado al uso de los sistemas de información del empleado por no disponer de otras soluciones y por tanto evitar así la cesación temporal, ERTE o despido. Al igual que en el anterior modelo es necesario incluir el tratamiento de datos en la política de privacidad de la empresa, y por tanto comunicarse el mismo o a los empleados. Puede acceder en el siguiente enlace a un modelo de Adenda al Contrato de Trabajo que incluye todas las previsiones legales para poder realizar teletrabajo bajo la modalidad BYOD (Modelo de Adenda al Contrato de trabajo para Teletrabajo BYOD) así como al modelo de comunicación a empleados en materia de protección de datos (Modelo de comunicación Teletrabajo RGPD empleados BYOD). Por último es recomendable que en estos supuestos exista una Política de Uso de Dispositivos Propios en el Trabajo. Puede acceder en el siguiente enlace a un modelo de política de uso de  Dispositivos Propios en el Trabajo (Modelo de Política de uso de Dispositivos Propios).
  6. ¿Es necesario realizar una evaluación de impacto?
    Sí, en los supuestos en los que se monitorice el teletrabajo por el empresario se deberá realizar una Evaluación de Impacto en Protección de Datos, puesto que el derecho a la privacidad del trabajador se ve sometido al control del empresario y, por tanto, a una evaluación del rendimiento del trabajo conforme establece el artículo 28.2 d) de la LOPDGDD. Por lo tanto, es recomendable analizar los riesgos existentes y adaptar las medidas técnicas y organizativas necesarias para garantizar la privacidad del trabajador y el cumplimiento de la normativa en materia de protección de datos.

Listado de modelos

  1. [DOC.1] Modelo PRL a proveedores y ETT COVID-19.
  2. [DOC.2] Modelo PRL a trabajadores.
  3. [DOC.3] Modelo Autoevaluación de riesgos del TELETRABAJO en caso de coronavirus COVID-19.
  4. [DOC.4] Modelo Adenda al contrato trabajo para TELETRABAJO.
  5. [DOC.5] Modelo Adenda al contrato trabajo para TELETRABAJO (BYOD).
  6. [DOC.6] Modelo comunicacion a empleados TELETRABAJO (BYOD).
  7. [DOC.7] Modelo comunicacion a empleados TELETRABAJO.
  8. [DOC.8] Modelo Politica BYOD.

One Comment