El Coronavirus y la protección de datos

20/03/2020

La presente situación con la aparición del coronavirus (“COVID-19”) ha hecho que surjan diversos frentes a los que la protección de datos de las empresas debe hacer frente.Por un lado, ha causado que las empresas se encuentren en una situación en que deban tratar unos datos que, en circunstancias normales, no podrían sin el consentimiento previo de los interesados, es decir, las personas contagiadas o que se encuentren en una situación de riesgo de contagio.

Por otro lado, las empresas que han optado por aplicar el teletrabajo a sus trabajadores tienen que hacer una valoración de las medidas de seguridad aplicadas para evitar que existan violaciones de seguridad en la protección de los datos.

El tratamiento de datos con el coronavirus

La Agencia Española de Protección de Datos (AEPD) ha elaborado un informe y un documento de preguntas y respuestas esenciales donde establece qué tratamiento se puede hacer de los datos de los trabajadores para asegurar la protección de la salud de los mismos y evitar los contagios en la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población. La AEPD establece lo siguiente:

  • No será necesario el consentimiento del personal para recabar los datos personales necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes en aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, siempre con las garantías que establecen.
  • La empresa tendrá derecho a saber si su personal está infectado o no, para poder diseñar cualquier plan de contingencia necesario, o que haya sido previsto por las autoridades sanitarias.
  • La empresa podrá hacer preguntas al personal, exclusivamente para saber si existen síntomas, ha sido diagnosticado como contagiado o si ha estado sujeto a cuarentena. También podrá solicitar información, tanto a empleados como a visitantes externos, sobre si han visitado países de alta prevalencia del virus en el marco temporal de las últimas 2 semanas. Es importante remarcar que no se podrán realizar cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
  • Los trabajadores que fueran sometidos al correspondiente aislamiento preventivo por estar afectados por el coronavirus, deberán informar de ello a la empresa pues, aunque en circunstancias normales no tienen obligación de informar del motivo de la baja laboral, en este caso, la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población tiene prioridad.
  • Se podrá informar al personal de si alguien está infectado por el coronavirus en la empresa, pero no podrá identificarse a la persona afectada. No obstante, esta información sí que podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.
  • La empresa tiene la obligación de verificar si el estado de salud de los trabajadores puede constituir un peligro para ellos y para el resto del personal, por lo que se podría tomar la temperatura de los trabajadores a través de personal sanitario. No obstante, el tratamiento de los datos obtenidos deberá respetar la normativa de protección de datos y obedecer a la finalidad especifica y limitada de contener la propagación del coronavirus.

En definitiva, en lo que se refiere al tratamiento de datos personales de los trabajadores, las empresas podrán tratar los datos relacionados con el coronavirus siempre que cumplan con la normativa de protección de datos. En especial, deberán aplicar los principios de licitud, lealtad, transparencia, limitación de la finalidad, exactitud y minimización de datos.

La ciberseguridad en el teletrabajo

Las empresas que decidan implementar el teletrabajo para sus empleados, deben aplicar una serie de medidas de seguridad adicionales que sean adecuadas al riesgo que existe al trabajar desde fuera del lugar habitual de trabajo. A continuación, se recogen una serie de recomendaciones en materia de ciberseguridad:

  • Tener una política de uso de medios tecnológicos, donde se establezca qué pueden o no hacer los trabajadores con los dispositivos y sistemas de la empresa, así como los requisitos de seguridad mínimos en caso de que se utilicen medios propios. En especial, es importante también concienciar a los empleados sobre los distintos riesgos relacionados con la fuga de información a través de correo electrónico, visitas a páginas web, WhatsApp, etc. Un ejemplo de fuga de información ocurre a través del phishing, en el que una persona se hace pasar por una empresa o persona de confianza para obtener información confidencial (contraseñas, datos personales, etc.) o instalar un virus cuando el usuario descarga un documento adjunto en el dispositivo. En particular, estos últimos días, se están recibiendo correos maliciosos con documentos adjuntos que contienen un virus en que se hacen pasar por la Organización Mundial de la Salud (OMS) e indican que, al descargar el documento, se podrán ver sus consejos respecto al coronavirus.
  • Facilitar la comunicación entre los miembros de la empresa a través de herramientas específicas e informarles de que deben utilizar dichos métodos.
  • Digitalizar, en la medida de lo posible, toda la documentación en papel que necesite estar disponible en los próximos meses.
  • Utilizar un sistema que sincronice de forma centralizada, la información que los empleados guarden en los portátiles, para que esté actualizada y sea imposible perderla.
  • Tener políticas de seguridad a través de un dominio de red que fuerce a los dispositivos a seguir las normas de seguridad internas.
  • Cifrar las comunicaciones entre los dispositivos y los servidores estableciendo una red privada virtual (VPN), vigilando que la página web de acceso a la aplicación corporativa está cifrada (https en vez de http) o no utilizando una red WIFI pública.
  • Cifrar los dispositivos para evitar que, en caso de pérdida o robo, se pueda acceder a los datos.
  • Tener los dispositivos actualizados a la última versión para evitar cualquier vulnerabilidad que pudiera haber surgido en una versión anterior del sistema.
  • Tener usuarios de acceso individualizados en vez de generales para poder controlar quién accede al sistema y cuándo, así como revisar dichos accesos y limitarlos a los estrictamente necesarios.
  • Realizar recordatorios a todos los empleados de las normas básicas de seguridad que deben seguir, establecidas en la política de usos de medios tecnológicos.

 

Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.

Campos Catafal

Darreres publicacions

© Campos Catafal Advocats SCP | Advocats Barcelona | +34 932 070 569 | info@camposcatafal.com

Este sitio utiliza cookies y tecnologías similares para ofrecerle una navegación personalizada y mejorar nuestros servicios, así como para fines estadísticos. Si continúa navegando por este sitio, acepta haber sido informado de ello. Más información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Cerrar