Carlos B Fernández. Si la protección de datos personales de clientes y trabajadores es uno de los grandes desafíos de cumplimiento normativo y gestión para las empresas, la crisis desatada por la pandemia de Covid19 ha venido a añadir un punto de preocupación adicional a las mismas.
La necesidad de trasladar una gran parte de su actividad desde las sedes empresariales y las oficinas y centros de trabajo a los domicilios particulares, sin prácticamente tiempo para la preparación, y las obligaciones en materia de prevención de riesgos laborales y protección y control frente a la enfermedad, son las principales.
Dicho de otra manera, la combinación de pandemia, teletrabajo y transformación digital está suponiendo un momento complicado para la privacidad y las relaciones laborales.
Por ello la Asociación Profesional Española de Privacidad (APEP) ha presentado su Grupo de Trabajo de Recursos Humanos de APEP, con la finalidad de abordar el impacto de la protección de datos y la privacidad en las áreas de Recursos Humanos y sus procesos, analizando los múltiples cuestiones y problemas que surgen en las relaciones laborales, desde que se considera incorporar a una persona a una organización hasta después de extinguir su relación con la organización.
La presentación de este grupo de trabajo tuvo lugar por medio de una mesa redonda virtual presentada por Jesús Fernández Acevedo, miembro de la Junta Directiva de APEP y moderada por Norma Nieto, abogada especialista en derecho laboral y privacidad y coordinadora del grupo de trabajo.
En la mesa intervinieron Ricard Martínez, Profesor de Derecho Constitucional y Director de la Cátedra Microsoft de Privacidad y Transformación Digital de la Universitat de València; Juan Manuel Rueda, Director General de Personas, Organización y Comunicación en Santalucía Seguros; Maite Sanz de Galdeano, Abogada especialista en privacidad y derechos humanos, colaboradora en Global Legal Data y José Enrique Pérez Palaci, Socio de Prolex y abogado especialista en derecho de la salud y privacidad.
Lecciones aprendidas durante la pandemia
Para poner en contexto el alcance del problema desde el punto de vista de las empresas, Juan Manuel Rueda presentó una relación de las que considera lecciones aprendidas con motivo de la pandemia y el confinamiento y el trabajo a domicilio a que ha obligado.
Entre ellas destaca el hecho de que nadie estaba preparado para lo que vino (“esta ha sido la primera pandemia para todo el mundo), pero que, sin embargo, no todas las empresas estaban igualmente preparadas ni reaccionaron igual. Esta crisis ha puesto de manifiesto que cada euro invertido en formación de personas y en tecnología se devuelve con creces. Las empresas que mejor han llevado la crisis son las se habían creído la idea de la transformación de las personas, la tecnología y la organización, porque se ha puesto de manifiesto que la transformación digital era algo real.
Que se ha puesto de manifiesto y nada es seguro y que todo puede suceder, por lo que los planes de riesgo tienen una utilidad relativa.
Que lo que se ha hecho y se sigue haciendo no es teletrabajo, ni se le parece; que lo que hemos vivido ha sido un estado de emergencia, porque había que seguir manteniendo el negocio.
Y que, precisamente, hay que preocuparse por los trabajadores, pero sin olvidar que lo importante es el negocio, que lo fundamental para todos es que la empresa pueda seguir pagando la nómina a fin de mes, es decir, que el negocio siga funcionando.
Para ello lo fundamental es la sensatez y el sentido común, la confianza en las personas y en su capacidad de trabajo duro y no olvidar que dirigir es servir, es decir, que el liderazgo solo le legitima con el ejemplo, en el mundo físico y también en el virtual (y aunque se esté en pijama), aun con las dificultades que supone relacionarse a través de una pantalla.
Por último, destacó que los trabajadores y los comités de empresa han colaborado mucho. Al igual que la mayoría de empresas han hecho un gran esfuerzo técnico y organizativo para adaptarse a la nueva situación, el esfuerzo de los trabajadores ha sido grande también.
Finalmente, y en relación con la privacidad, subrayó que el objetivo de las empresas no es eludir el cumplimiento de la ley (por eso en su caso, incorporaron desde el principio a su DPO y a su responsable de protección de riesgos laborales a su comité de crisis), pero que esta tampoco debe ser un obstáculo para la supervivencia de los negocios.
Derecho a la salud y relaciones laborales
A continuación, Enrique Pérez Palaci situó el marco jurídico en el que se desenvuelve el control de la salud de los trabajadores en relación con su derecho a la privacidad. Y a este respecto comenzó destacando que, si bien el derecho a la salud no está reconocido como derecho fundamental en la Constitución, se trata de un derecho individual y también colectivo. Por ello, existe un fundamento jurídico para el tratamiento de los datos de salud de los trabajadores por las empresas en situaciones como la actual, derivado de la situación de emergencia sanitaria.
En el caso concreto de los trabajadores no sería de aplicación la prohibición que recoge el Artículo 9.1 del RGPD (LA LEY 6637/2016), en el tratamiento de sus datos relativos a la salud si es necesario para fines de medicina preventiva o laboral, como previsto por el Artículo 9.2 letras i) del RGPD (LA LEY 6637/2016).
Pero, añadió, es necesario conciliar el derecho a la vida en su vertiente de protección de la salud con el derecho a la privacidad, evitando situaciones en que el control del individuo sea total y el acceso a sus datos personales, ilimitado.
Por ello, las medidas a adoptar deben de ser proporcionales y necesarias, sin perjuicio de que ante la declaración de la existencia de una enfermedad infecciosa se adopten aquellas medidas previstas, en la Ley de Prevención de Riesgos Laborales (LA LEY 3838/1995) o por el vigente Decreto de 26 de julio de 1945 por el que se aprueba el Reglamento para la lucha contra las Enfermedades Infecciosas.
Por ello el empresario debe vigilar periódicamente la salud del trabajador, en función de los riesgos inherentes a su puesto de trabajo (pues las medidas a adoptar deben adoptarse conforme la normativa sectorial aplicable) y respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador, y la confidencialidad de toda la información relacionada con su estado de salud. Por ejemplo, con el consentimiento del trabajador (salvo en aquellos casos en los que resulte indispensable para el mismo o para el resto de trabajadores).
Por tanto, la administración sanitaria y el empleador están legitimados para el tratamiento de los datos personales del interesado, si bien respetando los principios recogidos en el artículo 5 RGPD (LA LEY 6637/2016), a saber, el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (salvaguardar los intereses vitales), principio de exactitud, y la minimización de datos. Lo que incluye que la administración sanitaria debería, en virtud del interés vital del tercero, comunicar a aquellas personas con las que el enfermo / paciente ha estado en contacto para proteger y salvaguardar tanto a las mismas como evitar la expansión y propagación por contagio de la enfermedad, amparándose en el interés vital de terceros y en el interés público.
El uso de herramientas de rastreo por las empresas
Por lo que se refiere al uso de este tipo de dispositivos por los empleadores, Maite Sanz de Galdeano comenzó recordando que hace algunos meses la CEOE anunció una iniciativa para que las empresas utilizaran la aplicación Radar Covid para el seguimiento de sus empleados con fines de vigilancia de la salud, una propuesta que reciente ha confirmado la Secretaría de Estado de Inteligencia Artificial.
La pregunta que se plantea a este respecto es si puede la empresa obligar al trabajador a usar esta aplicación. En opinión de Sanz de Galdeano, en dispositivos personales, no, porque se trata de una aplicación de instalación voluntaria y su no uso no puede suponer castigo.
Pero en los medios de empresa, y en horario laboral y en las instalaciones de la empresa, sí, como un sistema de control más y siempre y cuando se justifique como una medida eficaz y vaya acompañada de instrucciones de la empresa para evitar contagios.
La empresa no va a acceder a los datos, solo si el empleado le dice que está infectado (igual que se lo tiene que decir sin utilizar la aplicación). Por ello, en la mayoría de las empresas, se podría hacer una campaña de comunicación interna recomendando, no obligando su uso.
La empresa tiene que cumplir con la protección de datos, pero no supeditar su actividad a la misma
Finalmente, Ricard Martínez abordó los problemas que, desde el punto de vista de la privacidad, plantea la que denominó “transición galopante al teletrabajo”. Esta ha empujado, explicó, a una transformación digital acelerada que ha agudizado tanto la preocupación por la prevención de riesgos laborales como por la privacidad y la seguridad.
El primer reto fue disciplinar una serie de normas en torno a una nueva forma de trabajar, en un lugar diferente al del centro de trabajo, que afecta a la concepción del trabajo y de la seguridad.
Algunas organizaciones trasladaron directamente el terminal al domicilio del trabajador, lo que obligó a implementar medidas de urgencia en materia de seguridad, porque el domicilio es un lugar especialmente expuesto a riesgos.
Además, el teletrabajo forzado ha obligado a muchos trabajadores a una nueva forma de trabajar, utilizando en muchas ocasiones sus propios medios técnicos (lo que en inglés se conoce como “Bring your own device” o BYOD).
Por otra parte, las videoconferencias permiten un acceso al domicilio y a la intimidad del trabajador. El trabajo invadía así la vida privada del trabajador, que se debe respetar y no se ve eliminada por la relación de trabajo. Ello obligaba a trasladar al trabajador la carga de organizar la forma de prestar la relación laboral, sin afectar a su vida privada y personal.
Pasar de un entorno presencial a otro híbrido (presencial-virtual) supone que el impacto en la esfera del trabajo a la propia imagen es significativo, añadió, porque “exponemos nuestra imagen a terceros, y estos deben respetarlas”, porque los trabajadores exponen a un mayor riesgo su propia imagen.
Por todo ello es importante que los responsables de RRHH se planteen todos estos temas. Una buena conformación de la relación laboral que las tenga en cuenta, va a permitir diseñar un buen marco de garantía para la protección de datos. Hay un elemento de pura predicción. La innovación profunda en materia de RRLL va a venir por la analítica de RRHH. Habrá que comprobar si el teletrabajo es una herramienta valiosa.
Interpretar los derechos fundamentales con un sentido de comunidad
Y aunque hay un elemento de inseguridad jurídica importante, Ricard Martínez destacó que “no se puede regular todo, carecemos de un andamiaje jurídico lo suficientemente sólidos para afrontar determinados tipos de pruebas”.
Pero, a la vez, añadió enfáticamente que ni la protección de datos ni los DPO son el centro el universo, son personas que hacen que las cosas ocurran, la empresa tiene que cumplir con la PD, pero no tiene que supeditar su actividad a la protección de datos “Nosotros no decidimos”, subrayó.
La pandemia ha sometido a todos a un enorme estrés. Ha habido que encontrar respuestas jurídicas a múltiples temas que no se habían planteado antes. Pero contamos con mecanismos que hacen a las empresas resilientes, usando las herramientas disponibles.
Nos enfrentamos a una situación de riesgos variados, ante los que la LPRL (LA LEY 3838/1995) se queda corta. El trabajador tiene que comunicar cualquier situación de riesgo que le afecte. Deben saberlo. El trabajador tiene derechos, pero también obligaciones. Por eso normalmente los trabajadores colaboran, pero hay que garantizar sus derechos en un terreno muy complicado. La administración sanitaria debe informar a las empresas de aquellas situaciones de riesgo que afecten a sus trabajadores.
Por todo ello subrayó que se impone una cierta prudencia y una interpretación de los derechos fundamentales que tenga en cuenta el sentido de comunidad. “Tenemos que llegar a modelos de cumplimiento funcionales con el objetivo que todos perseguimos que es el de acabar con la pandemia”.