El Coronavirus i la protecció de dades

20/03/2020

La present situació amb l’aparició del coronavirus ( “COVID-19”) ha fet que sorgeixin diversos fronts als quals la protecció de dades de les empreses ha de fer front.

D’una banda, ha causat que les empreses es trobin en una situació en que hagin de tractar unes dades que, en circumstàncies normals, no podrien sense el consentiment previ dels interessats, és a dir, les persones contagiades o que es trobin en una situació de risc de contagi.

D’altra banda, les empreses que han optat per aplicar el teletreball als seus treballadors han de fer una valoració de les mesures de seguretat aplicades per evitar que hi hagi violacions de seguretat en la protecció de les dades.

El tractament de dades amb el coronavirus

L’Agència Espanyola de Protecció de Dades (AEPD) ha elaborat un informe i un document de preguntes i respostes essencials on estableix quin tractament es pot fer de les dades dels treballadors per assegurar la protecció de la salut dels mateixos i evitar els contagis en l’empresa i / o centres de treball que puguin propagar la malaltia al conjunt de la població. L’AEPD estableix el següent:

  • No serà necessari el consentiment del personal per demanar les dades personals necessàries per a garantir la seva salut i adoptar les mesures necessàries per les autoritats competents en aplicació del que estableix la normativa sanitària, laboral i, en particular, de prevenció de riscos laborals, sempre amb les garanties que estableixen.
  • L’empresa tindrà dret a saber si el seu personal està infectat o no, per poder dissenyar qualsevol pla de contingència necessari, o que hagi estat previst per les autoritats sanitàries.
  • L’empresa podrà fer preguntes al personal, exclusivament per saber si hi ha símptomes, ha estat diagnosticat com a contagiat o si ha estat subjecte a quarantena. També podrà sol·licitar informació, tant a empleats com a visitants externs, sobre si han visitat països d’alta prevalença del virus en el marc temporal de les últimes 2 setmanes. És important remarcar que no es podran realitzar qüestionaris de salut extensos i detallats, o que incloguin preguntes no relacionades amb la malaltia.
  • Els treballadors que fossin sotmesos al corresponent aïllament preventiu per estar afectats pel coronavirus, han d’informar d’això a l’empresa ja que, encara que en circumstàncies normals no tenen obligació d’informar del motiu de la baixa laboral, en aquest cas, la protecció de la salut del col·lectiu de treballadors en situacions de pandèmia i, més en general, la defensa de la salut de tota la població té prioritat.
  • Es pot informar al personal de si algú està infectat pel coronavirus a l’empresa, però no podrà identificar-se a la persona afectada. No obstant això, aquesta informació sí que es podria transmetre a requeriment de les autoritats competents, en particular les sanitàries.
  • L’empresa té l’obligació de verificar si l’estat de salut dels treballadors pot constituir un perill per a ells i per a la resta de personal, així que es podria prendre la temperatura dels treballadors a través de personal sanitari. Tot i així, el tractament de les dades obtingudes ha de respectar la normativa de protecció de dades i obeir a la finalitat especifica i limitada de contenir la propagació del coronavirus.

En definitiva, pel que fa a el tractament de dades personals dels treballadors, les empreses podran tractar les dades relacionades amb el coronavirus sempre que compleixin amb la normativa de protecció de dades. Especialment, han d’aplicar els principis de licitud, lleialtat, transparència, limitació de la finalitat, exactitud i minimització de dades.

La ciberseguretat en el teletreball

Les empreses que decideixin implementar el teletreball per als seus empleats, han d’aplicar un seguit de mesures de seguretat addicionals que siguin adequades al risc que hi ha al treballar des de fora de el lloc habitual de treball. A continuació es recullen una sèrie de recomanacions en matèria de ciberseguretat:

  • Tenir una política d’ús de mitjans tecnològics, on s’estableixi què poden o no fer els treballadors amb els dispositius i sistemes de l’empresa així com els requisits de seguretat mínims en cas que s’utilitzin mitjans propis. Especialment, és important també, conscienciar els empleats sobre els diferents riscs relacionats amb la fuga d’informació a través de correu electrònic, visites a pàgines web, Whatsapp, etc. Un exemple de fuga d’informació passa a través del phishing, en el qual una persona es fa passar per una empresa o persona de confiança per obtenir informació confidencial (contrasenyes, dades personals, etc.) o instal·lar un virus quan l’usuari descarrega un document adjunt al dispositiu. En particular, aquests últims dies, s’estan rebent correus maliciosos amb documents adjunts que contenen un virus en què es fan passar per l’Organització Mundial de la Salut (OMS) i indiquen que, al descarregar el document, es podran veure els seus consells respecte al coronavirus.
  • Facilitar la comunicació entre els membres de l’empresa a través d’eines específiques i informar-los que han d’utilitzar aquests mètodes.
  • Digitalitzar, en la mesura que sigui possible, tota la documentació en paper que es pugui necessitar en els propers mesos.
  • Utilitzar un sistema que sincronitzi de manera centralitzada, la informació que els empleats guardin en els portàtils, perquè estigui actualitzada i sigui impossible perdre-la.
  • Tenir polítiques de seguretat a través d’un domini de xarxa que forci als dispositius a seguir les normes de seguretat internes.
  • Xifrar les comunicacions entre els dispositius i els servidors establint una xarxa privada virtual (VPN), vigilant que la pàgina web d’accés a l’aplicació corporativa estigui xifrada (https en lloc de http) o no utilitzant una xarxa WIFI pública.
  • Xifrar els dispositius per evitar que, en cas de pèrdua o robatori, es pugui accedir a les dades.
  • Tenir els dispositius actualitzats a l’última versió per evitar qualsevol vulnerabilitat que pogués haver sorgit en una versió anterior del sistema.
  • Tenir usuaris d’accés individualitzats enlloc de generals per a poder controlar qui accedeix al sistema i quan, així com revisar els accessos i limitar-los als estrictament necessaris.
  • Realitzar recordatoris a tots els empleats de les normes bàsiques de seguretat que han de seguir, establertes en la política d’usos de mitjans tecnològics.

 

Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres.

Campos Catafal

Darreres publicacions

© Campos Catafal Advocats SCP | Advocats Barcelona | +34 932 070 569 | info@camposcatafal.com

Aquest lloc utilitza cookies i tecnologies similars per oferir-li una navegació a mida i millorar els nostres serveis, així com per finalitats estadístiques. Si continua navegant per aquest lloc, accepta que n'ha estat degudament informat. Més informació

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Tancar