La crisis sanitaria por COVID-19 supone importantes retos en materia de protección de datos. Todavía nos queda mucho por descubrir acerca de este virus, y las medidas preventivas parecen la mejor opción a la hora de evitar contagios y contener la pandemia.

Pero, ¿nos habilita esto para solicitar información sobre la COVID-19 en cualquier circunstancia? La AEPD se ha pronunciado en diversas ocasiones durante las últimas fechas, respondiendo a las dudas que han aparecido en múltiples empresas.

El origen de la cuestión: ¿es contagiosa una persona que ha superado la COVID-19?

La OMS ha confirmado que cuando una persona resulta afectada por COVID-19 desarrolla una respuesta inmune entre una y tres semanas tras la infección. Lo que todavía no está claro es que esta respuesta suponga una verdadera imposibilidad de volver a infectarse.

De hecho, muchas personas vuelven a dar positivo tras haber superado la infección, aunque la propia OMS ha dado una explicación plausible a esta situación. Según Maria Van Kerkhove, el positivo puede dispararse por la detección de células muertas de los pulmones, no suponiendo una recaída. Esto podría explicar por qué los positivos tras la recuperación no son infecciosos, como determinó el estudio publicado por Bloomberg.

De modo que en estos momentos no tenemos claro si la respuesta inmune producida por una persona que ha pasado la COVID-19 es suficiente para evitar la recaída y, por tanto, impedir que vuelva a ser un vector de transmisión.

El pasaporte sanitario

Pese a la incertidumbre actual, empresas y Gobiernos han puesto sobre la mesa medidas de control de la población afectada como el pasaporte sanitario. Estas medidas tratarían de marcar a las personas “seguras” por haber desarrollado anticuerpos al haber pasado la infección.

La medida es polémica, y aunque firmas prestigiosas como PwC han desarrollado soluciones basadas en blockchain para garantizar una comprobación anónima del estado de salud de los empleados en las empresas, la AEPD ya ha advertido del riesgo que estas soluciones pueden suponer para la protección de datos.

La AEPD frente a la trazabilidad de la COVID-19: diferentes situaciones y herramientas

Debemos recordar el punto de partida de la AEPD: la protección de datos de carácter personal es un derecho fundamental dentro de la Unión Europea. Se entiende, por tanto, que información tan sensible como el historial sanitario de las personas deba recibir una especial protección. A partir de esta postura, la AEPD ha analizado diferentes escenarios y herramientas.

¿Pueden preguntarme si he pasado la COVID-19 a la hora de buscar trabajo?

No. La AEPD ha detectado este tipo de prácticas y ha recordado que preguntar al candidato o candidata si ha pasado la infección y desarrollado anticuerpos como requisito para acceder a un empleo infringe la normativa de protección de datos.

Al tratarse de datos relativos a la salud, se consideran especialmente protegidos. Y no cabe aplicar las excepciones recogidas en el RGPD, ya que:

• El candidato o candidata no puede conceder su libre consentimiento (art. 6.1.a RGPD) para el tratamiento de estos datos. Y ello porque denegar su consentimiento supondría un perjuicio (considerando 42). Es decir, el desequilibrio entre las partes (considerando 43) y el hecho de que el consentimiento esté condicionado por la necesidad o voluntad de acceder al puesto invalidan el consentimiento de la persona.
• Además, la solicitud de esta información no puede entenderse como necesaria a la hora de ejecutar o formalizar el contrato (art. 6.1.b RGPD) y contraviene el principio de minimización de datos (art. 5.1.c RGPD).
• Por último, dado que el candidato o candidata todavía no forman parte de la plantilla de la empresa, no resultan de aplicación las normas de prevención de riesgos laborales (Ley 31/1995).

En definitiva, dado que no existe base jurídica lícita para realizar este tratamiento de datos y además contraviene los principios del RGPD, esta práctica no es legítima.

¿Puedo mencionar en mi currículum si he pasado la COVID-19 a la hora de buscar trabajo?

Tampoco. Siguiendo el argumento anterior, el tratamiento de esta información es ilícito. Lo cual obliga a la empresa a suprimirla.

De hecho, la AEPD advierte de que en esta situación la empresa debería destruir el currículum siempre que no pueda garantizar que este dato no influirá en la decisión del órgano de contratación. Así que la inclusión de esta información en este currículum podría suponer la exclusión del candidato o candidata del proceso selectivo.

Además, como ya se ha indicado, la verificación de esta información es ilícita. Lo cual supone que la empresa ni siquiera puede fiarse de la información que consta en el documento.

¿Puede mi empresa tomarme la temperatura al acceder al puesto de trabajo?

Sí. Como hemos indicado anteriormente, si ya formamos parte de la plantilla la empresa debe desarrollar su actividad de protección de riesgos laborales. Esto supone una base jurídica válida para tratar información sanitaria.

Sin embargo, la AEPD recuerda que la empresa debe establecer garantías adecuadas, especificadas por el responsable del tratamiento. Especialmente en aquellas situaciones en que vaya a registrarse la información obtenida.

Lo más recomendable es que esta información no se registre, minimizándose los datos a tratar y limitando las medidas adoptadas a las recomendadas por las autoridades sanitarias.

Uso de tecnologías para el control de la pandemia

En definitiva, el uso de información sanitaria está especialmente protegido en el RGPD. Pero las medidas de control y prevención pueden hacer necesario cierto tratamiento de información sensible.

Esto supone la necesidad de conocer mejor nuestro conocimiento de la normativa de tratamiento de datos y de reforzar nuestros sistemas de seguridad. En este sentido, la AEPD dispone de una guía donde ha estudiado el empleo de diferentes tecnologías para el control de la pandemia. Algunas de ellas, como las cámaras de infrarrojos, los pasaportes de inmunidad o las apps de información voluntaria son perfectamente implantables en las empresas.

Pero antes de introducir estos sistemas de control se debería contar con la asesoría de un abogado especializado en protección de datos. Dado que la información sanitaria es particularmente sensible, un tratamiento disconforme al RGPD podría saldarse con importantes sanciones para la empresa.