Siete preguntas sobre la privacidad de nuestros datos frente al coronavirus

Las instrucciones son claras: reducir al máximo la vida social, aumentar las medidas de higiene y quedarse en casa si notamos síntomas o hemos estado en contacto con personas que han dado positivo en las pruebas de Covid-19. Estas medidas afectan en gran medida al espacio laboral, pero ¿qué información tenemos que proporcionarle a la empresa? ¿Puede la empresa trasladar los datos sobre nuestra salud a nuestros compañeros o a las administraciones? ¿Qué precauciones tengo que tomar si opto por el teletrabajo? Samuel Parra, director de Égida, consultora especializada en protección de datos, responde a las cuestiones más urgentes en materia de privacidad durante la crisis del coronavirus.

- ¿Puede el empresario comunicar a la plantilla la identidad de un trabajador infectado con coronavirus? Los datos sobre la salud de las personas están especialmente protegidos, y por ello no pueden ser comunicados al resto de los compañeros. La normativa de protección de datos protege especialmente, entre otros, los relativos a la salud de las personas, imponiendo garantías adicionales para un tratamiento lícito de esta información.

La normativa de prevención de riesgos laborales y de medicina laboral, así como la propia normativa de protección, permiten de forma excepcional el tratamiento de datos personales relativos a la salud sin el consentimiento del afectado. Sin embargo, esta excepción no alcanzaría a una comunicación interna del empleador al resto de plantilla identificando a un compañero infectado. A pesar de esto, el empresario tiene la obligación de tomar las medidas necesarias para proteger la salud de todos los trabajadores, por lo que sí que podría comunicar aquellos datos necesarios para ello, sin incluir la identificación.

- ¿Está obligado el trabajador a informar a su empleador que está infectado o sospecha que pueda tener el coronavirus? Sí, hay que informar de cualquier sospecha o confirmación de tener coronavirus. La normativa de prevención de riesgos laborales impone la obligación a los trabajadores de velar, dentro de sus posibilidades, tanto por su propia seguridad como la de los compañeros.

Esta obligación, en comunión con la normativa de protección de datos, supone que el trabajador tiene que informar a su superior jerárquico, y en su caso al servicio de prevención de riesgos laborales, de cualquier situación que extrañe un riesgo para la salud de los trabajadores. El empleador deberá tratar esta información con arreglo a las disposiciones de la normativa de protección de datos, debiendo adoptar las medidas de seguridad pertinentes y una posición proactiva.

- Si mi hijo está infectado ¿debo comunicarlo a mi empresa? No es obligatorio que el trabajador informe a su empresa de la infección de un familiar pero sí lo es informar de que se ha encontrado expuesto o está en contacto con personas infectadas y que por tanto es probable que también se encuentre infectado.

- Si me detectan el coronavirus ¿el centro médico puede comunicarlo a mi empresa? Si bien es cierto que la tónica habitual cuando un trabajador causa baja por una enfermedad es que el propio trabajador comunique a su empresa dicha situación, en situaciones excepcionales y especiales como la que nos encontramos, puede resultar posible que el centro médico que ha diagnosticado la enfermedad considere necesario la comunicación de enfermedad del trabajador para evitar la propagación de la enfermedad, si el afectado se niega a realizar este extremo.

Aunque corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y de las personas relacionadas con él, y, entendiendo que en la mayoría de casos es así, puede ser legítima la comunicación por parte del centro correspondiente si el afectado se negara a dicha transmitir la información en su empresa.

- ¿Tiene la empresa que adoptar medidas de seguridad especiales en relación a la información de trabajadores infectados con coronavirus? No, las medidas de seguridad son las mismas que ya tiene que tener la empresa para el tratamiento de los datos de salud de los trabajadores.

La información relativa a la salud de los trabajadores se considera una categoría de especial protección en el ámbito de la protección de datos personales. La empresa deberá adoptar los mismos protocolos que ya debe tener implantados para el tratamiento de datos relativos a la salud de sus trabajadores, en especial, medidas que garanticen la confidencialidad de esta información, así como un tratamiento proporcional de la misma. La empresa no puede tratar esta información para finalidades distintas para las que se recabaron, y tampoco pueden hacerlo las compañías de seguros que puedan entrar en juego.

- ¿Tiene que tener la empresa una previsión especial en protección de datos para el teletrabajo?

Si la empresa ya disponía de empleados en modalidad de teletrabajo tan solo deberá implementar las mismas previsiones para el resto de la plantilla que se acoja a esta modalidad de trabajo.

No obstante, y esto parece ser lo habitual, si la empresa no había previsto hasta ahora la posibilidad de teletrabajar deberá implementar lo antes posible un protocolo que recoja las particularidades de esta forma de trabajo. Este protocolo debería recoger, al menos, las siguientes cuestiones: políticas de acceso remoto a la información, políticas de protección de contraseñas, medidas para asegurar el entorno del trabajador en remoto, expectativas privacidad en el uso de medios tecnológicos para labores profesionales, qué puede y qué no puede hacer el empleado con los dispositivos utilizados para el teletrabajo, sean o no propiedad de la empresa.

- En materia de ciberseguridad, ¿qué debe tener en cuenta la empresa al implementar el teletrabajo? Deberá haber implementado con anterioridad unos mecanismos de ciberseguridad básicos para evitar brechas de seguridad o accesos no autorizados a información personal así como establecer una política de seguridad de uso de medios informáticos.

En este sentido, algunas recomendaciones a tener en cuenta: Si se va a habilitar el acceso remoto a las bases de datos desde el domicilio y desde los ordenadores personales de los trabajadores, lo adecuado sería utilizar una VPN cifrada. Monitorizar y revisar los puertos abiertos que permiten las conexiones remotas y en la medida de lo posibilidad realizar pruebas para verificar su seguridad. Extender las licencias para que los ordenadores domésticos de los trabajadores se puedan beneficiar del antivirus corporativo. En el caso de no existir una política de uso de medios informáticos y tecnológicos, realizar una básica de urgencia.

Además, también es recomendable estar atentos ante cualquier comportamiento inusual y extremar las precauciones al enviar información sensible o realizar operaciones de carácter económico, como transferencias bancarias o pagos. Y, por último, reducir la confianza cuando se reciban emails ya que los ataques de phising aumentarán.