Artículo de Cristina Redondo – Abogada

Desde la publicación el 28 de abril del Plan para la transición hacia una nueva normalidad tras la pandemia del COVID-19, las empresas han puesto en marcha sus planes de transición para la adopción de aquellas medidas preventivas que permitan garantizar la protección y seguridad tanto de sus trabajadores como de terceros para el beneficio de todos los ciudadanos.

En el entorno laboral, los empleadores tienen la obligación de garantizar la seguridad y salud de sus trabajadores en el desarrollo de sus actividades de conformidad con lo previsto en el Estatuto de los Trabajadores (art. 4 y 9) y la Ley de Prevención de Riesgos Laborales (art. 14). En este contexto, y con el fin de proteger la seguridad de sus empleados, las empresas también podrán adoptar medidas preventivas que afecten a clientes, usuarios o terceros relacionados con éstos.

La implantación de dichas medidas, se deberá de adoptar en colaboración con los servicios de prevención de riesgos laborales o de otras modalidades de prevención y de conformidad con la normativa y las recomendaciones de las autoridades sanitarias.

Alguna de estas medidas preventivas, podrían tener un impacto sobre los derechos y libertades tanto de los trabajadores como clientes o usuarios o terceros, y por tanto se deberán implantar de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La adopción de estas medidas se harán bajo la supervisión y asesoramiento del Delegado de Protección de Datos (DPD), en el supuesto de no disponer de dicha figura, con el asesor en materia de protección de datos de la empresa, siempre con la obligación de realizar el correspondiente análisis de riesgos previo a los tratamientos de datos personales que estas puedan implicar y, en su caso, una evaluación de impacto en protección de datos con el fin de que sean implantadas con las garantías adecuadas.

En el presente documento, se pretende resaltar aquellos aspectos que consideramos más relevantes a la hora de implantar dichas medidas preventivas, en relación a:

1. Control de presencia de los trabajadores y control de accesos en las instalaciones.
   1. Substituir los sistemas basados en la huella dactilar por otros con el fin de evitar el contacto físico (tarjetas, apps, cloud, …)
   2. En el caso de optar por el reconocimiento facial, la imagen facial es un dato biométrico. El RGPD califica los datos biométricos como una categoría especial de datos que merecen una mayor protección y medidas de seguridad en su aplicación.
2. Teletrabajo.
   1. Informar debidamente a los trabajadores de sus obligaciones y medidas técnicas y organizativas a adoptar durante el teletrabajo.
   2. En todo momento respetar el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (Art. 87 e la LOPDGDD) y el Derecho a la desconexión digital en el ámbito laboral (Art. 88 de la LOPDGDD).
3. Toma de temperatura en los accesos.
   1. Afecta a datos relativos a la salud de las personas, considerados por el RPGD como categoría especial de datos personales, y como ya hemos indicado, merecen una mayor protección.
      Además, una posible denegación del acceso podría tener un impacto para la persona afectada.
   2. La Agencia Española de Protección de Datos (AEPD) ha publicado un Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos.
      En relación a este comunicado podeis consultar el artículo de opinión Control de temperatura del trabajador de nuestro compañero Xavier Ribas.
   3. Basándonos en el comunicado de la AEPD y de la efectividad de dicha medida preventiva según las autoridades sanitarias, se recomienda un análisis previo de proporcionalidad y necesidad que justifiquen debidamente su adopción.
   4. Toma de temperatura de forma anónima. Si se detectara una temperatura de riesgo, se informará a la persona que no puede acceder a las instalaciones.
   5. Derecho de información a los trabajadores y de los clientes sobre el tratamiento de sus datos personales y sus derechos.
4. Realización de pruebas diagnósticas destinadas a la detección del COVID-19 a los trabajadores
   1. No necesitan el consentimiento de los trabajadores de conformidad con el art. 22 de la Ley de Prevención de Riesgos Laborales.
   2. Derecho de información a los trabajadores sobre el tratamiento de sus datos personales y sus derechos.
   3. En Catalunya se deberá de solicitar la debida autorización a la Direcció General d’Ordenació i Regulació Sanitaria y cumplir los requisitos previstos en la RESOLUCIÓ SLT/936/2020, de 4 de maig, per la qual s’ordena el procediment per a la realització de proves diagnòstiques destinades a la detecció de la COVID-19 mitjançant laboratoris clínics i tot tipus de centres o serveis privats posats a disposició del sistema públic de salut de Catalunya. En la web Canal Empresa de la Generalitat de Catalunya se puede encontrar la información referente al Procedimiento para realizar las pruebas diagnósticas para la detección de la COVID-19 así como el trámite para la Autorización sanitaria para la realización o la compra de pruebas diagnósticas destinadas a la detección de la COVID-19 del Departament de Salut de la Generalitat.
5. Cuestionarios de salud a los trabajadores antes de su incorporación y a terceras personas.
   1. Estos cuestionarios deberán de recoger estrictamente las preguntas concretas sobre el estado de salud sobre el COVID-19 y en el marco temporal de los 14 días anteriores a la reincorporación a la actividad de conformidad con el principio de minimización de datos del RGPD.
   2. En caso de remitir por correo electrónico se adoptarán medidas de cifrado.
   3. Derecho de información a los trabajadores y de los clientes sobre el tratamiento de sus datos personales y sus derechos.
   4. También se podría solicitar que rellenen los cuestionarios de salud los terceros que vayan a personarse (clientes, proveedores, visitas) en la empresa siempre respetando el principio de confidencialidad y minimización de los datos y con su consentimiento otorgado de forma libre.
6. Comunicación por parte de la empresa de un posible riesgo de contagio de sus trabajadores o de un contagio en el Sars-cov-2.
   1. La empresa debe comunicar al resto de la plantilla que existe una posibilidad de contagio o un contagio para preservar la salud del resto de los compañeros respetando la privacidad de la persona excepto en el caso que las autoridades sanitarias aconsejen lo contrario por la seguridad de los empleados se seguirán las indicaciones de éstas.
   2. Procedimiento de actuación para los Servicios de prevención de riesgos laborales frente a la exposición al Sars-cov-2.
   3. Los trabajadores, en caso de contagio, tienen la obligación de comunicarlo a sus superiores para preservar la salud del resto de los compañeros.
   4. Se deberá de informar al trabajador sobre el tratamiento que se va a realizar de sus datos personales de salud facilitados.
7. Adopción de canales permanentes para la información a los trabajadores sobre las medidas preventivas adoptadas en cada momento.
8. Consultar las novedades normativas, recomendaciones de las autoridades sanitarias así como de colegios profesionales u otras organizaciones empresariales para estar informado en todo momento dado la situación excepcional y cambiante.

El COVID-19 y el consecuente crecimiento en el uso de las TIC ha provocado un antes y un después en nuestra cultura y en nuestra forma de interactuar tanto a nivel personal como empresarial, abriendo nuevos escenarios en la protección de los derechos y libertades de los ciudadanos. Es nuestra responsabilidad que en breve podamos disfrutar de una nueva normalidad.