La Protección de nuestros datos en tiempos del Covid-19

Todos los países luchan a contra reloj contra la pandemia provocada por el Covid-19, intentando buscar una vacuna contra el mismo y aplicando una serie de medidas extraordinarias para mitigar sus consecuencias que se derivan de él, tanto a nivel sanitario, económico, psicológico, social y familiar. Cada Estado es un mundo y está gestionando el coronavirus a su manera. Y ello puede verse en las medidas aplicadas en los principales países de la UE, que son distintas e incluso, a veces, contradictorias.

Sin embargo, lo que si es cierto es que, al menos en la UE, las normativas dictadas por ésta son aplicables a todos sus Estados miembros. En mayo de 2018 empezó a ser obligatoria la aplicación del Reglamento (UE) 2016/679, el Reglamento Europeo de Protección de Datos (RGPD), con el que se pretendía harmonizar toda la normativa de privacidad en la UE. Hemos visto estos últimos meses como en China se han aplicado medidas de control y restricción a la ciudadanía que en la UE sería imposible aplicar, pues vulneran todos los principios de proporcionalidad y confidencialidad que marca el RGPD.  A priori, este Reglamento puede parecer restrictivo para el tratamiento y uso de datos de datos personales, pero en tiempos como el que actualmente estamos viviendo, una normativa nunca puede ni debe ser obstáculo para  salvaguardar el bien más preciado que tenemos: la vida, y es por ello que el propio RGPD contempla, en su articulado, excepciones al tratamiento de datos personales sensibles (como los datos de salud), que permiten obviar el consentimiento de los afectados en tiempos de crisis y emergencias sanitarias.

La propia presidencia del Comité Europeo de Protección de Datos realizó el 16 de marzo una declaración relativa al tratamiento de datos personales durante la crisis del CoVid-19, donde indicó que la normativa de privacidad no debe impedir tomar medidas en la lucha contra la pandemia del coronavirus, pero advierte: incluso en estas excepcionales circunstancias, quienes traten datos personales deben asegurar su protección. Y las autoridades de protección de datos de varios países han publicado también informes y opiniones sobre el tema. En nuestro caso, en España, el Gabinete Jurídico de la Agencia Española de Protección de Datos ha publicado el informe 0017/2020, y unas “FAQ’s”, donde informan a cerca del tratamiento de los datos durante esta crisis y, en el caso de las FAQ’s en especial, respuestas ante cuestiones en el ámbito laboral.

El informe 0017/2020 parte de la base de que la normativa de protección de datos se aplica en su totalidad, y en la misma se contienen las excepciones a la norma general, donde se permite, de forma legítima, el tratamiento de datos personales cuando, en un principio, no pueden ser tratados pero que, por razones de emergencia sanitaria de alcance general sea imprescindible. Dicho tratamiento deberá respetar en todo caso los principios de licitud, lealtad y transparencia, limitación de la finalidad (en este caso salvaguardar los intereses vitales de la sociedad-evitar el contagio y luchar contra la pandemia), exactitud y minimización de los datos. Teniendo presente los intereses vitales de los interesados, debemos tener en cuenta, aquí en España, nuestra legislación sectorial, para permitir el tratamiento de datos de salud sin consentimiento de los interesados (la Ley 31/95, de 9 de noviembre, de prevención de riesgos laborales, la  Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en materia de salud pública, la Ley 33/2011, DE 4 DE OCTUBRE, General de salud pública y el Real Decreto 463/2020, de 14 de marzo, de Declaración del Estado de Alarma).

Una de las medidas que las empresas han utilizado para evitar la propagación del virus en el seno de sus empresas, y con base en la normativa de prevención de riesgos laborales, las propias empresas han tomado la temperatura a sus trabajadores y a sus visitantes, han inundado de preguntas de: si se había estado aquí o allí o si se había tenido fiebre o tos los últimos días, entre otras. Y son justamente a estas cuestiones las que, de forma muy aclaratoria, la AEPD ha dado respuesta tanto en su informe 0017/2020 como en el documento de las FAQ’s.

Tal y como se indica en el informe y en dichas FAQ’s, la normativa permite el tratamiento de datos sensibles:  a) en materia de prevención de riesgos laborales cuando el propio empleador debe velar por la seguridad y salud en el trabajo de sus trabajadores; b) cuando dicho tratamiento es necesario para proteger intereses vitales de los interesados u otras personas; c) cuando prima el interés público en el ámbito de la salud pública o d) cuando sea necesario para la realización de un diagnóstico. Y el Considerando 46 del RGPD marca las bases jurídicas en las que se basará este tratamiento excepcional para en casos excepcionales (como el actual de control de epidemias y su propagación), legitimado por una misión realizada en interés público y los intereses vitales del interesado u otras personas físicas, sin perjuicio de que puedan existir otras bases legales como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la PRL). Así pues, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, las empresas han podido tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todos sus trabajadores e intentar evitar cualquier contagio.

Otras de las medidas que muchas empresas han podido implantar para seguir con su actividad son el uso de las videoconferencias o el teletrabajo. Si bien muchas empresas ya lo fomentaban con anterioridad, esta forma de trabajar, una vez superada esta crisis mundial, ha venido para quedarse, pues presenta varios beneficios como la optimización de recursos, la reducción de costes en instalaciones y la reducción del absentismo laboral, entre muchas. Sin embargo, el teletrabajo también tiene sus peligros, como el hecho de dar acceso al trabajador a la información de forma remota, know how y datos de la empresa, pudiendo comprometer la confidencialidad, disponibilidad e integridad de la misma. Para que dicha información no pueda verse afectada, algunas empresas e instituciones han elaborado estos días guías con recomendaciones sobre el protocolo de teletrabajo para los empleados. Os planteamos algunas de estas medidas relacionadas con la protección de datos que pueden ser fácilmente aplicables y suponen una garantía para las empresas:

• La activación del teletrabajo a través de un protocolo donde se defina las obligaciones, método de acceso y funciones de la plantilla.
• Es recomendable realizar una formación o ‘guía de buenas prácticas’ para el teletrabajo, especialmente si los empleados utilizaran dispositivos particulares para gestionar datos personales.
• El uso del wifi privado y no público.
• Tener activados programas antimalware, antivirus y firewall.
• Autenticarse para acceder a los sistemas en remoto.
• No descargar en local ficheros con datos de carácter personal.
• Notificar a la empresa cualquier brecha de seguridad que se pueda producir.
• Y sobretodo, la garantía de los ‘derechos digitales’ que establece la LOPDGDD (como el derecho a la intimidad del trabajador, el derecho a la desconexión y la regulación de forma correcta del registro de la jornada laboral si se lleva a cabo de forma remota).

Y aún con toda la crisis sanitaria mundial de la que somos espectadores, por si fuera poco, hay que añadir la ciberdelincuencia: los ciberdelincuentes no pierden el tiempo a la hora de explotar los temas relacionados con este virus para suplantar, en este caso, a organizaciones como el Ministerio de Sanidad, una Consejería de Sanidad de una Comunidad Autónoma, Fuerzas del Orden, Organizaciones Internacionales, etc., bajo el pretexto de ofrecer información o ayuda por el COVID-19, y conseguir así datos personales, contraseñas o información confidencial.  Por ello, la propia Agencia de protección de datos ofrece recomendaciones ante este tipo de fraudes:

• No abrir whatsapps o emails que nos hagan sospechar pues pueden contener enlaces maliciosos.
• No dar datos de salud en páginas webs o apps que ofrecen ayuda y servicios para auto evaluar y aconsejar en relación con el coronavirus y no son oficiales. Deberá siempre poder verificarse al responsable del tratamiento, finalidades del tratamiento de datos, etc.
• Obtener la información de fuentes oficiales y confiables directamente en la web institucional, no a través de enlaces.
• Verificar la dirección del correo electrónico que remita el mensaje.
• Sospechar de mensajes con faltas de ortografía, errores gramaticales y saludos genéricos sin aportar ningún dato tuyo.
• Sospechar si el contenido del mensaje contiene “urge” o “urgencia” injustificada.
• Sobre todo, actuar con calma y reflexionar antes de realizar alguna decisión llevada a cabo por el miedo.

Ante estos hechos, la AEPD ha emitido un comunicado (lo podéis encontrar aquí) donde se nos advierte de todos estos riesgos y del inicio de de actuaciones para luchar contra estos ciberataques.

Cuando está en riesgo nuestra salud y la de todos, debemos ponernos más alerta que nunca ante posibles situaciones de riesgo, tanto de nuestra información personal como de nuestro día a día. Debemos tener mucho cuidado con todos aquellos que pueden tratar nuestra información personal.