COVID - 19 - Protección de datos personales: guía de aspectos prácticos

COVID-19 y la protección de datos personales: guía de aspectos prácticos

Este documento contiene las consideraciones principales a tener en cuenta por las compañías para el manejo de datos personales vinculados con la pandemia del coronavirus 2019 (COVID-19).

Aplicabilidad de la ley de datos personales durante la pandemia

La Agencia de Acceso a la Información Pública (la “Agencia”) publicó el 11 de marzo de 2020 una serie de recomendaciones a tener en cuenta para el tratamiento de datos personales durante la pandemia. A través de dichas recomendaciones se observa que la Agencia adoptó un criterio de cumplimiento estricto de la normativa aun frente a esta situación extraordinaria. Se destacan las siguientes recomendaciones: (i) los datos de salud son una categoría de datos sensibles y en consecuencia merecen una protección más rigurosa; (ii) la divulgación del nombre de un paciente que padezca de coronavirus requiere de su consentimiento; (iii) los establecimientos sanitarios y los profesionales de la salud pueden procesar y cederse entre sí datos de los pacientes, siempre y cuando cumplan con el secreto profesional (es decir, no permitan su divulgación a terceros); y (iv) el Ministerio de Salud de la Nación y los ministerios provinciales se encuentran facultados a requerir, recolectar, cederse entre sí o procesar de cualquier otro modo información de salud sin consentimiento de los pacientes.

De estas recomendaciones surgen los siguientes interrogantes:

(1) Ante un caso positivo de coronavirus en la empresa, ¿puede (o debe) el empleador notificar al resto de los empleados que hayan tenido un contacto cercano con esta persona?

Bajo una interpretación estricta de la normativa y las recientes recomendaciones, puede concluirse que en caso de no contar con el consentimiento previo e informado del empleado en cuestión, la empresa no puede divulgar su situación de infectado al resto de los empleados. Podría cuestionarse dicho entendimiento argumentando que en estos casos debe primar la obligación de la empresa de velar por un ambiente de trabajo sano y seguro y proteger al resto de sus empleados, quedando exceptuada la obligación de requerir el consentimiento.

A los fines de armonizar ambas posturas, es imprescindible encontrar alternativas que garanticen la salud pública ante una situación extraordinaria y que implica una emergencia sanitaria sin precedentes. Una opción será, ante la negativa del empleado a conceder su consentimiento, notificar a los contactos laborales cercanos del empleado infectado sin dar su nombre, a fin de dar cumplimiento a la normativa de datos personales y también a la obligación de garantizar la seguridad en el ambiente de trabajo. En el mismo sentido, dado que la compañía se encuentra obligada a reportar la existencia del caso positivo a la autoridad sanitaria (ver punto (3) abajo), podría utilizarse ese contacto para que en su caso la autoridad misma participe de comunicar la necesidad de los aislamientos requeridos en el ambiente de trabajo.

(2) Si el empleado infectado está dispuesto a brindar su consentimiento, ¿qué requisitos aplican para cumplir con la normativa?

En tiempos de aislamiento y/o reglas de distanciamiento social la obtención de documentos firmados personalmente puede representar un obstáculo insalvable. La normativa argentina permite la obtención del consentimiento por medios electrónicos en la medida en que se implemente un mecanismo de validación de identidad eficaz. El consentimiento enviado desde el correo electrónico corporativo del empleado (el cual requiere un acceso con contraseña personal) puede ser considerado razonablemente como un mecanismo válido de identificación.

Es importante recordar que el consentimiento debe ser “informado” para que sea válido. En tal sentido, la empresa debe previamente informar al empleado contagiado sobre (a) el uso que le dará a su dato personal (en este caso, su situación de paciente con COVID-19), (b) quienes pueden ser los destinatarios de ese dato, (c) si se almacenará en la base de datos de la compañía, indicando su ubicación, (d) las consecuencias de negarse a brindar el consentimiento, y (e) los derechos que posee en su carácter de titular del dato (acceso, supresión, rectificación y actualización).

(3) En caso de haber obtenido el consentimiento del empleado para difundir su situación de infectado, ¿puede informarse de ello a la casa matriz y/u otras compañías del grupo empresario?

La normativa argentina prohíbe, en principio, la transferencia internacional de datos personales a países que no presten una protección adecuada en la materia.

De acuerdo al criterio de la autoridad de aplicación, los únicos países y/o territorios que actualmente poseen ese nivel de protección son los miembros de la Unión Europea, el Reino Unido de Gran Bretaña e Irlanda del Norte, Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá, Andorra, Nueva Zelanda, Uruguay e Israel. Por ello, en caso de que las filiales o casa matriz no se encuentren en los referidos países, sólo será posible reportarles el caso de infección si el empleado consintió expresamente que sus datos personales fueran transferidos a dicho país o si se implementa un contrato de transferencia internacional entre la compañía argentina y su filial de acuerdo al modelo propuesto por la autoridad de aplicación.

(4) ¿Puede el empleado revocar su consentimiento una vez otorgado?

Sí, la normativa argentina permite la revocación del consentimiento, sin efectos retroactivos. En tal sentido, si el empleado comunica a la compañía su decisión de revocar el consentimiento brindado para la difusión de su situación de paciente infectado, la compañía debe cesar dicha difusión pero en ningún caso se considerará ilegítima la difusión previa hasta la revocación del consentimiento.

(3) ¿Debe reportarse la situación a algún organismo del Estado?

Sí, independientemente de si el empleado brindó su consentimiento o no. La normativa reciente dictada por el Ministerio de Trabajo obliga a las empresas a reportar los casos positivos al Ministerio de Salud.

Consideraciones bajo el GDPR

Si bien el GDPR (norma de la Unión Europea que regula la protección de datos personales) contiene normas de extraterritorialidad que a priori permiten su aplicación en cualquier parte del mundo, su aplicación a empresas argentinas no es automática ni se da en todos los casos. Para que dicha norma aplique al tratamiento de datos personales realizado por una compañía argentina, debe analizarse cada actividad de tratamiento en particular y dicho tratamiento (a) tiene que estar indisolublemente vinculado con una actividad realizada por un establecimiento de la compañía argentina en la Unión Europea; o (b) tiene que ser realizado sobre personas que se encuentren en la Unión Europea y estar vinculado con el ofrecimiento de bienes y servicios a dichas personas o el monitoreo de su conducta.

En el contexto de la pandemia actual, el Comité Europeo de Protección de Datos emitió el 20 de marzo de 2020 una declaración que establece, entre otras cuestiones, que en el contexto laboral, el procesamiento de datos personales puede ser necesario para el cumplimiento de una obligación legal a la que está sujeto el empleador, como obligaciones relacionadas con la salud y la seguridad en el lugar de trabajo o para el interés público, como el control de enfermedades y otras amenazas para la salud. En este ámbito no sería necesario el consentimiento del empleado.

El comité respondió asimismo a los siguientes interrogantes:

(1) ¿Puede un empleador exigir a sus empleados que proporcionen información de salud específica en el contexto de COVID-19?

Deben considerarse al respecto los principios de proporcionalidad y minimización de datos, destacándose que el empleador solo debe requerir información de salud en la medida en que la legislación nacional lo permita.

(2) ¿Se permite a un empleador realizar controles médicos a los empleados?

La respuesta se basa en las leyes nacionales relacionadas con el empleo o la salud y la seguridad. Los empleadores deberían solo acceder y procesar datos de salud si sus propias obligaciones legales lo requieren.

(3) ¿Puede un empleador revelar que un empleado está infectado con COVID-19 a sus colegas o a externos?

Los empleadores deben informar al personal sobre los casos de COVID-19 y tomar medidas de protección, pero no deben comunicar más información de la necesaria. En los casos en que sea necesario revelar el nombre de los empleados que contrajeron el virus (por ejemplo, en un contexto preventivo) y la ley nacional lo permite, los empleados interesados deberán ser informados de antemano y su dignidad e integridad serán protegidas.

(4) ¿Qué información procesada en el contexto de COVID-19 puede ser obtenida por los empleadores?

Los empleadores pueden obtener información personal para cumplir con sus obligaciones y organizar el trabajo de acuerdo con legislación nacional.

El comité ha anunciado en su sitio web que emitirá unas directivas completas sobre el tratamiento de datos personales frente a la pandemia lo antes posible.

Por consultas adicionales contactar a Adrián Furman o Francisco Zappa