A la hora de adoptar decisiones, muchas vitales para garantizar la supervivencia de la empresa, el uso de información (y en muchos casos, el tratamiento de datos personales) puede ser crucial. 

Aunque con el telón del fondo del estado de alarma decretado por el Gobierno, la situación de excepcionalidad en que estamos instalados puede invitarnos a pasar por alto cuestiones aparentemente formales o menores, como el cumplimiento de la normativa de protección de datos, las autoridades de protección de datos de toda Europa y, en particular, la Agencia Española de Protección de Datos (AEPD), se han apresurado a dejar meridianamente claro que el derecho de protección de datos debe seguir aplicándose con normalidad, sin que pueda confundirse la conveniencia de llevar a cabo un determinado tratamiento de datos personales con la necesidad de éste. 

Dicho lo anterior, qué duda cabe que si con carácter general y sin que concurra ninguna circunstancia excepcional ya resulta muchas veces difícil determinar qué tratamientos se pueden llevar a cabo y de qué modo, en este contexto, la confusión es todavía mayor. 

En este post trataremos de despejar algunas dudas y ofrecer pautas concretas que nos ayuden a adoptar decisiones con impacto sobre la privacidad en este escenario tan especial.

La empresa no puede asumir competencias propias de las autoridades sanitarias.

Esto significa que, salvo que hayan recibido instrucciones expresas y por escrito de las autoridades sanitarias, las medidas que adopte la empresa deben limitarse a contener o controlar la expansión del virus dentro de su organización, en el marco de sus obligaciones en materia de prevención de riesgos laborales. Es decir, deben dirigirse únicamente a evitar situaciones que entrañen riesgos para sus trabajadores.

• Por ejemplo:  la empresa puede (i) llevar a cabo controles de temperatura, siempre que trate los datos exclusivamente para la finalidad específica de contener la propagación del coronavirus y siempre que los datos se mantengan por no más del tiempo necesario para llevar a cabo dicha finalidad, (ii) realizar preguntas a sus trabajadores siempre que se limiten a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena (si se ha viajado a territorios de riesgo durante las últimas semanas); pero no puede proceder a la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

La empresa puede tratar los datos que espontánea y voluntariamente le faciliten sus empleados (incluidos sus datos de salud)

Aunque únicamente a los fines de evitar cualquier situación que, a su juicio, entrañe riesgos para la seguridad y salud de los trabajadores. Esta información, que los empleados deben proporcionar al empresario obligatoriamente, no puede, con carácter general, emplearse para adoptar otro tipo de decisiones, en particular, cuando las mismas tengan efectos jurídicos sobre un número reducido de empleados o colaboradores o sobre empleados o colaboradores individuales.

• Por ejemplo: en principio, la empresa no puede resolver el vínculo mercantil con un colaborador en función de la información que éste le hubiese facilitado acerca de su exposición al virus por contacto con un familiar o similar. No se trata solamente del cumplimiento de exigencias normativas, sino de asegurarse de que el incumplimiento de esas exigencias no contamine otras decisiones en el marco de las relaciones con empleados, colaboradores y/o clientes. Conviene recordar en este punto, en relación con los tratamientos de datos personales de empleados o colaboradores en situación asimilada que solicitar el consentimiento de dichos empleados o colaboradores no nos coloca en mejor posición para llevar a cabo dichos tratamientos ni sirve para “blanquear” el uso posterior de dichos datos para otros fines. Ni siquiera si es expreso o, de ser preciso, explícito, será considerado un consentimiento prestado libremente, por razón de la especial relación de dependencia de empleados y colaboradores con el empresario.

La empresa puede llevar a cabo ciertos tratamientos de datos obtenidos en el marco de su gestión de la pandemia con el fin de adoptar medidas dirigidas a paliar sus efectos económicos adversos. 

Superado el correspondiente ejercicio de ponderación entre sus intereses y el derecho de protección de datos de los interesados y, siempre que no se traten datos de salud u otras especiales categorías de datos personales, la información obtenida de la gestión de la pandemia podrá emplearse en la toma de decisiones de aplicación general dirigidas a proteger a los trabajadores o clientes, pero también los intereses económicos de la empresa.

• Por ejemplo: establecer regímenes de jornada intensiva, teletrabajo o similar, contratar empleados en secciones de la empresa que se hayan visto más afectados por el virus, reducir el período de tiempo de atención al público, potenciar sus ventas en el mercado online, entre otras.

Antes de adoptar cualquier decisión que implique un tratamiento de datos personales

La empresa debe tener clara, tanto la información que pretende recabar de los interesados como las decisiones que en función de la misma tenga previsto adoptar.

Solo así, valorando si esas decisiones tienen un encaje legal pleno (por ejemplo, desde el punto de vista del derecho laboral o de la normativa de prevención de riesgos laborales), podremos saber si el tratamiento es viable o no desde el punto de vista de protección de datos. Se trata de prevenir riesgos profesionales, proporcionar información y capacitación a los empleados y disponer una organización y medios apropiados para garantizar la operativa de la empresa, pero sin relajar (o directamente obviar) la protección de los datos personales de nuestros empleados, sus familiares, nuestros clientes, etc. Siempre, en caso de duda, lo más recomendable es consultar a un abogado especializado. Puede consultar las FAQs de la AEPD en este enlace.