Excel de detalle para comparar los controles PRL Covid-19 (Relación riesgo / beneficio)

En la sección GDPR Hacks de Campus Ribas encontrarás la hoja Excel que permite comparar los principales controles que las empresas pueden aplicar para prevenir el contagio del Covid-19.

Esta hoja Excel de detalle fundamenta el cuadro comparativo que publicamos hace unos días.

En ella se puede ver la incoherencia de los argumentos utilizados contra algunos de los controles PRL destinados a prevenir el contagio del Covid-19 en el entorno laboral.

El objetivo es que las empresas puedan identificar visualmente los riesgos en rojo y los beneficios en verde de cada control con el fin de seleccionar las medidas que guarden mayor proporción entre la eficacia preventiva y la protección de la intimidad.

Muchas gracias de antemano por vuestras aportaciones.

La huella dactilar y el reconocimiento facial utilizados para el control de acceso no son una categoría especial de datos

INFORME DE LA AEPD

La AEPD acaba de publicar un informe en el que distingue dos tipos de usos de los datos biométricos:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).

COMENTARIOS AL INFORME

Identificación biométrica

El proceso de búsqueda de correspondencias uno-a-varios es claramente más invasivo de la intimidad y tiene un mayor impacto en los derechos y libertades del interesado.

Esta búsqueda queda perfectamente escenificada en la secuencia que sigue al hallazgo de una huella dactilar en la escena de un crimen. Los datos biométricos de la huella hallada se compararán con millones de huellas de las bases de datos policiales y se identificará al sospechoso.

Esta es la típica búsqueda de correspondencias uno-a-varios, ya que se trata de buscar la correspondencia entre la huella de un interesado y las huellas de millones de interesados.

De esta correspondencia uno-a-varios puede surgir la identificación de un sospechoso, con la correspondiente afectación al derecho a la libertad, a la intimidad, a la presunción de inocencia, a la libertad deambulatoria, etc.

Verificación/autenticación biométrica

Por el contrario, cuando la búsqueda de correspondencias es uno-a-uno, el impacto es mínimo, ya que sólo se busca la correspondencia de los datos biométricos aportados por el interesado para acreditar que es él y los datos biométricos que aportó en su día en el momento del registro. Este dato está almacenado en el dispositivo y es consultado por el sistema de autenticación para verificar que hay una coincidencia.

Un ejemplo claro de esta búsqueda de correspondencias uno-a-uno es el control de acceso a un dispositivo mediante huella dactilar.

En este caso, en el dispositivo de control de acceso se procede a la lectura de la huella del interesado y se comparan con los datos biométricos que el propio interesado aportó en su día. Si hay coincidencia, el interesado puede acceder al dispositivo.

Esa coincidencia no es una identificación, puesto que el interesado ya estaba previamente identificado, sino una verificación de la identidad de la persona que desea acceder al dispositivo. Una autenticación similar a la realizada con una contraseña.

Conclusión de la AEPD

La AEPD concluye que, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).

Recordemos que el artículo 9.1 del RGPD establece que los datos biométricos sólo se considerarán categorías especiales de datos cuando vayan dirigidos a identificar de una manera unívoca a una persona física.

Lo que dice la AEPD es que, si la finalidad no es la identificación, sino la verificación de la identidad, es decir la autenticación del interesado en un momento concreto, ese dato biométrico no será un dato sensible, es decir, no pertenecerá a una categoría especial de datos.

No obstante, la Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.

Esta última apreciación, hace recomendable realizar una evaluación de impacto en el caso de del control de acceso a una empresa, con el fin de asegurar:

  1. Si los datos relativos a la huella son el único elemento identificador o si están asociados a otro elemento identificador.
  2. La finalidad orientada a la verificación o autentificación de la identidad del usuario y no a su identificación.
  3. La inexistencia de otras finalidades.
  4. El alcance del tratamiento.
  5. El impacto en los derechos y libertades de los interesados.

El tratamiento de la huella dactilar como dato biométrico perteneciente a una categoría especial de datos ha sido objeto de un intenso e interesante debate en la sección GDPR Hacks de Campus Ribas.

Gracias a Javier Sempere por divulgar la publicación de este informe

Acceso al informe de la AEPD publicado el 8 de mayo de 2020

8 consejos para la reincorporación a la actividad empresarial y profesional

Artículo de Cristina Redondo – Abogada

Desde la publicación el 28 de abril del Plan para la transición hacia una nueva normalidad tras la pandemia del COVID-19, las empresas han puesto en marcha sus planes de transición para la adopción de aquellas medidas preventivas que permitan garantizar la protección y seguridad tanto de sus trabajadores como de terceros para el beneficio de todos los ciudadanos.

En el entorno laboral, los empleadores tienen la obligación de garantizar la seguridad y salud de sus trabajadores en el desarrollo de sus actividades de conformidad con lo previsto en el Estatuto de los Trabajadores (art. 4 y 9) y la Ley de Prevención de Riesgos Laborales (art. 14). En este contexto, y con el fin de proteger la seguridad de sus empleados, las empresas también podrán adoptar medidas preventivas que afecten a clientes, usuarios o terceros relacionados con éstos.

La implantación de dichas medidas, se deberá de adoptar en colaboración con los servicios de prevención de riesgos laborales o de otras modalidades de prevención y de conformidad con la normativa y las recomendaciones de las autoridades sanitarias.

Alguna de estas medidas preventivas, podrían tener un impacto sobre los derechos y libertades tanto de los trabajadores como clientes o usuarios o terceros, y por tanto se deberán implantar de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La adopción de estas medidas se harán bajo la supervisión y asesoramiento del Delegado de Protección de Datos (DPD), en el supuesto de no disponer de dicha figura, con el asesor en materia de protección de datos de la empresa, siempre con la obligación de realizar el correspondiente análisis de riesgos previo a los tratamientos de datos personales que estas puedan implicar y, en su caso, una evaluación de impacto en protección de datos con el fin de que sean implantadas con las garantías adecuadas.

En el presente documento, se pretende resaltar aquellos aspectos que consideramos más relevantes a la hora de implantar dichas medidas preventivas, en relación a:

  1. Control de presencia de los trabajadores y control de accesos en las instalaciones.
    1. Substituir los sistemas basados en la huella dactilar por otros con el fin de evitar el contacto físico (tarjetas, apps, cloud, …)
    2. En el caso de optar por el reconocimiento facial, la imagen facial es un dato biométrico. El RGPD califica los datos biométricos como una categoría especial de datos que merecen una mayor protección y medidas de seguridad en su aplicación.
  2. Teletrabajo.
    1. Informar debidamente a los trabajadores de sus obligaciones y medidas técnicas y organizativas a adoptar durante el teletrabajo.
    2. En todo momento respetar el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (Art. 87 e la LOPDGDD) y el Derecho a la desconexión digital en el ámbito laboral (Art. 88 de la LOPDGDD).
  3. Toma de temperatura en los accesos.
    1. Afecta a datos relativos a la salud de las personas, considerados por el RPGD como categoría especial de datos personales, y como ya hemos indicado, merecen una mayor protección.
      Además, una posible denegación del acceso podría tener un impacto para la persona afectada.
    2. La Agencia Española de Protección de Datos (AEPD) ha publicado un Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos.
      En relación a este comunicado podeis consultar el artículo de opinión Control de temperatura del trabajador de nuestro compañero Xavier Ribas.
    3. Basándonos en el comunicado de la AEPD y de la efectividad de dicha medida preventiva según las autoridades sanitarias, se recomienda un análisis previo de proporcionalidad y necesidad que justifiquen debidamente su adopción.
    4. Toma de temperatura de forma anónima. Si se detectara una temperatura de riesgo, se informará a la persona que no puede acceder a las instalaciones.
    5. Derecho de información a los trabajadores y de los clientes sobre el tratamiento de sus datos personales y sus derechos.
  4. Realización de pruebas diagnósticas destinadas a la detección del COVID-19 a los trabajadores
    1. No necesitan el consentimiento de los trabajadores de conformidad con el art. 22 de la Ley de Prevención de Riesgos Laborales.
    2. Derecho de información a los trabajadores sobre el tratamiento de sus datos personales y sus derechos.
    3. En Catalunya se deberá de solicitar la debida autorización a la Direcció General d’Ordenació i Regulació Sanitaria y cumplir los requisitos previstos en la RESOLUCIÓ SLT/936/2020, de 4 de maig, per la qual s’ordena el procediment per a la realització de proves diagnòstiques destinades a la detecció de la COVID-19 mitjançant laboratoris clínics i tot tipus de centres o serveis privats posats a disposició del sistema públic de salut de Catalunya. En la web Canal Empresa de la Generalitat de Catalunya se puede encontrar la información referente al Procedimiento para realizar las pruebas diagnósticas para la detección de la COVID-19 así como el trámite para la Autorización sanitaria para la realización o la compra de pruebas diagnósticas destinadas a la detección de la COVID-19 del Departament de Salut de la Generalitat.
  5. Cuestionarios de salud a los trabajadores antes de su incorporación y a terceras personas.
    1. Estos cuestionarios deberán de recoger estrictamente las preguntas concretas sobre el estado de salud sobre el COVID-19 y en el marco temporal de los 14 días anteriores a la reincorporación a la actividad de conformidad con el principio de minimización de datos del RGPD.
    2. En caso de remitir por correo electrónico se adoptarán medidas de cifrado.
    3. Derecho de información a los trabajadores y de los clientes sobre el tratamiento de sus datos personales y sus derechos.
    4. También se podría solicitar que rellenen los cuestionarios de salud los terceros que vayan a personarse (clientes, proveedores, visitas) en la empresa siempre respetando el principio de confidencialidad y minimización de los datos y con su consentimiento otorgado de forma libre.
  6. Comunicación por parte de la empresa de un posible riesgo de contagio de sus trabajadores o de un contagio en el Sars-cov-2.
    1. La empresa debe comunicar al resto de la plantilla que existe una posibilidad de contagio o un contagio para preservar la salud del resto de los compañeros respetando la privacidad de la persona excepto en el caso que las autoridades sanitarias aconsejen lo contrario por la seguridad de los empleados se seguirán las indicaciones de éstas.
    2. Procedimiento de actuación para los Servicios de prevención de riesgos laborales frente a la exposición al Sars-cov-2.
    3. Los trabajadores, en caso de contagio, tienen la obligación de comunicarlo a sus superiores para preservar la salud del resto de los compañeros.
    4. Se deberá de informar al trabajador sobre el tratamiento que se va a realizar de sus datos personales de salud facilitados.
  7. Adopción de canales permanentes para la información a los trabajadores sobre las medidas preventivas adoptadas en cada momento.
  8. Consultar las novedades normativas, recomendaciones de las autoridades sanitarias así como de colegios profesionales u otras organizaciones empresariales para estar informado en todo momento dado la situación excepcional y cambiante.

El COVID-19 y el consecuente crecimiento en el uso de las TIC ha provocado un antes y un después en nuestra cultura y en nuestra forma de interactuar tanto a nivel personal como empresarial, abriendo nuevos escenarios en la protección de los derechos y libertades de los ciudadanos. Es nuestra responsabilidad que en breve podamos disfrutar de una nueva normalidad.

Cuadro comparativo de los controles laborales del Covid-19 (PRL y RGPD)

En este cuadro, que será actualizado con vuestras aportaciones, se comparan los distintos controles aplicables en la actualidad para prevenir el contagio del Covid-19 en el centro de trabajo.

Este cuadro se irá actualizando de acuerdo con el avance de los controles y las medidas de prevención de riesgos laborales.

La justificación de cada valoración la publicaremos en una hoja Excel de detalle.

Os rogamos que nos indiquéis si consideráis que falta algún control.

Es importante valorar la conclusión de la última columna.

Puedes participar en el debate y realizar tus aportaciones para modificar y actualizar el cuadro en la sección GDPR Hacks de Campus Ribas, así como para ver la justificación de cada valoración.

Actualmente, en Campus Ribas contamos con más de 500 profesionales que aportan su experiencia en el campo del derecho, la medicina y la prevención de riesgos laborales.

Muchas gracias a todos.

Personas habilitadas para tomar la temperatura

SEGÚN EL RGPD – Tratamiento de datos

El artículo 9.3 del RGPD establece que los datos de salud podrán tratarse para fines de medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con las normas establecidas por los organismos nacionales competentes.

Por lo tanto, tendríamos tres niveles:

  1. Profesional sujeto a la obligación de secreto profesional.
  2. Cualquier persona que actúe bajo la responsabilidad de un profesional sujeto a secreto profesional
  3. Cualquier otra persona sujeta a la obligación de secreto.

SEGÚN LA LPRL – Medición de la temperatura

El artículo 22.6 de la Ley de Prevención de Riesgos Laborales (LPRL) establece que las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada. 

El experto en PRL Andreu Sánchez, considera en este post que “parece excesivo que la toma de temperatura deba realizarla personal sanitario, puesto que los termómetros por infrarrojos son de fácil manejo (al margen de las pantallas térmicas, que están apareciendo) y el dato obtenido no requiere interpretación, más allá de estar por encima o debajo del umbral fijado”.

Control de la temperatura del trabajador: opinión sobre el comunicado de la AEPD

La Agencia Española de Protección de Datos publicó ayer un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos, en el que expresa su opinión sobre este control específico y emite unas recomendaciones.

En este artículo comento las conclusiones del comunicado desde la óptica de la prevención de riesgos laborales y de las directrices emitidas por las autoridades sanitarias, con el fin de ayudar a determinar el punto de equilibrio entre las medidas empresariales destinadas a preservar la salud de los trabajadores y la protección de la privacidad de los trabajadores con síntomas compatibles con el Covid-19.

Como cuestión previa es necesario recordar la posición del Comité Europeo de Protección de Datos (CEPD), organismo encargado de garantizar la aplicación coherente del RGPD en la Unión Europea.

La normativa de protección de datos no es un obstáculo para las medidas adoptadas en la lucha contra la pandemia del coronavirus.

El CEPD emitió una declaración el 19 de marzo de 2020 en la que marcaba las líneas esenciales a tener en cuenta en el tratamiento de datos de salud derivados del control de la pandemia en los organismos públicos y en las empresas, defendiendo la tesis de que la normativa de protección de datos no es un obstáculo para las medidas adoptadas en la lucha contra la pandemia del coronavirus.

El CEPD establece que la situación de emergencia es una condición legal que puede legitimar las restricciones de las libertades, siempre que estas restricciones sean proporcionadas y limitadas al período de emergencia.

En el contexto laboral, indica que el tratamiento de datos personales puede ser necesario para cumplir con una obligación legal a la que está sujeto el empleador, como las obligaciones relacionadas con la salud y la seguridad en el lugar de trabajo, o con el interés público, como el control de enfermedades y otras amenazas para la salud.

En relación a las pruebas a realizar sobre la persona del trabajador, el CEPD indica que la respuesta se encuentra en las leyes nacionales relacionadas con el empleo o la salud y la seguridad en el puesto de trabajo. 

Añade que los empleadores solo deben acceder y procesar los datos de salud si sus propias obligaciones legales lo requieren.

De esta declaración se extrae la conclusión de que la base jurídica de la obtención y el tratamiento del dato relativo a la temperatura del trabajador es el cumplimiento de una obligación legal por parte de la empresa. Por lo tanto, el objetivo de este artículo es identificar las normas que sustentan el control de la temperatura de los trabajadores por parte de las empresas.

El CEPD y la AEPD también citan como bases jurídicas para el tratamiento el interés público y el interés vital de contención de la pandemia al que se refiere el considerando 46 del RGPD, que ya traté en un anterior artículo sobre la materia y en nuestra política de privacidad relativa a los protocolos de reincorporación Covid-19.

Delegación de la evaluación del riesgo en los servicios de prevención de riesgos laborales

El Procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al SARS-CoV-2 el Ministerio de Sanidad establece que corresponde a las empresas evaluar el riesgo de exposición en que se pueden encontrar las personas trabajadoras en cada una de la tareas diferenciadas que realizan.

Las empresa debe seguir las recomendaciones que emita el servicio de prevención, siguiendo las pautas y recomendaciones formuladas por las autoridades sanitarias.

En el caso de que las pautas y recomendaciones de las autoridades sanitarias sean insuficientes o incompletas,  el servicio de prevención será el que, de acuerdo con las funciones establecidas en el artículo 31 de la Ley de Prevención de Riesgos Laborales (LPRL), tome las decisiones oportunas en materia de:

  • Evaluación de los factores de riesgo que puedan afectar a la seguridad y la salud de los trabajadores.
  • Planificación de la actividad preventiva.
  • Determinación de las prioridades en la adopción de las medidas preventivas y la vigilancia de su eficacia.
  • Vigilancia de la salud de los trabajadores.

La decisión de aplicar un control de la temperatura de los trabajadores en una empresa corresponde al servicio de prevención de riesgos laborales, de acuerdo con lo establecido en la LPRL, y al haberse producido una delegación del Ministerio de Sanidad en dicho servicio de la evaluación del riesgo, la adopción de las medidas preventivas y la vigilancia de la salud de los trabajadores. 

Siempre se ha entendido que las recomendaciones de las autoridades sanitarias establecen el marco mínimo de actuación y no el marco máximo. 

Ello significa que las medidas adoptadas por la empresa pueden ir, evidentemente, más allá de las recomendaciones emitidas por las autoridades sanitarias, si así lo considera el servicio de PRL, en función de los resultados de la evaluación del riesgo efectuada.

El Estado delega esta actividad preventiva en el servicio de PRL o en el Delegado de Prevención de Riesgos Laborales igual que delega la prevención de los riesgos penales en el Compliance Officer y la prevención de los riesgos asociados al incumplimiento del RGPD al Delegado de Protección de Datos.

Por lo tanto, la decisión de establecer un control de temperatura corresponde a la empresa en virtud de la LPRL y del artículo 20 del Estatuto de los Trabajadores, que le permite adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Obligación laboral

El artículo 29 de la LPRL establece que corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones de la empresa. 

Aquí se incluirían como potenciales afectados por el incumplimiento del trabajador no sólo sus compañeros de trabajo, sino también de clientes, proveedores y otras personas que visiten la empresa.

El mismo artículo establece que el incumplimiento por los trabajadores de las obligaciones en materia de prevención de riesgos laborales tendrá la consideración de incumplimiento laboral a los efectos previstos en el artículo 58.1 del Estatuto de los Trabajadores.

Teniendo en cuenta, por lo que hemos visto hasta ahora, que el trabajador tiene actualmente la obligación legal de acudir al centro de trabajo sin fiebre, la empresa está facultada para verificar el cumplimiento de esta obligación de acuerdo con el artículo 20.3 del Estatuto de los Trabajadores.

El artículo 22 de la Ley de Prevención de Riesgos Laborales establece que este tipo de pruebas serán obligatorias para los trabajadores, previo informe de los representantes de los trabajadores, en los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa. En todo caso se deberá optar por la realización de aquellos reconocimientos o pruebas que causen las menores molestias al trabajador y que sean proporcionales al riesgo. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.

Control de la temperatura frente a otros trabajadores

En el comunicado de la AEPD se indica que los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a un centro de trabajo estaría desvelando a terceros que no tienen ninguna justificación para conocerlo que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.

El comunicado identifica como autoridad sanitaria en España el Ministerio de Sanidad.

De acuerdo con la Guía de buenas prácticas en los centros de trabajo del Ministerio de Sanidad, un trabajador con fiebre no debe acudir al centro de trabajo. Si el trabajador tiene síntomas compatibles con el Covid-19 debe realizar las acciones previstas en el protocolo publicado por las autoridades sanitarias y si comprueba que está enfermo debe solicitar la baja.

De acuerdo con la misma guía, el trabajador no debe acudir al centro de trabajo hasta que se confirme que no hay riesgo para él o para sus compañeros.

Como hemos visto, el artículo 29 de la LPRL establece que corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo.

Los artículos 14.1 y 18 de la Ley de prevención de riesgos laborales (LPRL) establecen el derecho de información del trabajador en relación a cualquier riesgo para su salud, de manera que si un trabajador incumple notoriamente la obligación de no acudir al centro de trabajo con fiebre, no puede decirse que los compañeros que lo presencien no tienen justificación para acceder a este dato, ya que tienen derecho a conocer los incumplimientos que pueden generar un riesgo para su salud.

En el caso concreto del control de temperatura, el dato objetivo que se obtiene es que un compañero de trabajo tiene una temperatura que no le permite acceder al centro de trabajo. Todo lo demás son suposiciones.

Las autoridades sanitarias solicitan a todos los ciudadanos un ejercicio de responsabilidad y de autocontrol. El primer control de la temperatura y de los síntomas asociados al Covid-19 debe hacerlo el trabajador antes de salir de casa. 

La principal conclusión que se puede obtener de un resultado positivo en el control de la temperatura es que la medida de autoprotección ha sido eficaz y que se ha impedido el acceso a un trabajador que podía generar un riesgo para sus compañeros.

En cualquier caso, las empresas no deben establecer este control en una vía pública, ni en un lugar con mucha concurrencia. Las propias medidas de espaciamiento en los accesos y de entrada por turnos al centro de trabajo pueden ayudar a limitar el número de personas que pasen por el control de temperatura en una determinada franja horaria. Finalmente, también cabe la posibilidad de establecer medidas que permitan aplicar el control de forma privada, en una estancia habilitada para ello, de manera que la denegación de acceso no sea tan notoria para los demás compañeros ni para personas ajenas a la empresa.

Consecuencias de la denegación de acceso

En el comunicado de la AEPD se indica que las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada.

El Covid-19 está considerado como enfermedad laboral. Si se confirma que el trabajador tiene esta enfermedad, el impacto en la persona afectada va a ser el estar de baja.

La secuencia correcta no consiste únicamente en denegar el acceso. La actuación que debe seguir a un control de temperatura con resultado positivo debe ser acudir a un servicio médico propio o de la mutua de trabajo para verificar la causa de la fiebre.

Si el trabajador está enfermo debe solicitar la baja.

Idoneidad, eficacia y necesidad de la medida

Debemos tener en cuenta que estamos hablando de un control temporal basado en una relación coste / eficacia que depende del actual estado de la ciencia. El control de la temperatura no tiene una eficacia del 100%, y siempre se puede valorar si hay otras alternativas mejores. Pero en mi opinión, en materia de vigilancia de la salud no es necesaria una idoneidad del 100%. Si conseguimos evitar un solo contagio al día, es evidente que ha valido la pena aplicar el control. ¿Acaso hay algún otro control que sea eficaz al 100%? Los test tienen un porcentaje de error y sólo nos dicen que ese día no se ha encontrado el virus. El contagio puede llegar al día siguiente.

Proporcionalidad de la medida

En el comunicado de la AEPD se indica que el control de la temperatura debe aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad. Se plantea hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas. También se indica que la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por el Covid-19 debería establecerse atendiendo a la evidencia científica disponible.

Como ya se ha dicho, la Guía de buenas prácticas en los centros de trabajo del Ministerio de Sanidad, establece que un trabajador con fiebre no debe acudir al centro de trabajo. 

En la Guía de actuación frente a COVID-19 en los profesionales sanitarios y socio-sanitarios del Ministerio de Sanidad, se establece que los profesionales sanitarios con fiebre se abstendrán de acudir a su puesto de trabajo hasta que se valore su situación.

En esta misma guía se establece que para poder realizar un PCR y finalizar el aislamiento domiciliario en los casos leves debe haber ausencia de fiebre sin necesidad de toma de antitérmicos.

El Ministerio de Sanidad no ha establecido una temperatura específica como medida de control empresarial para el Covid-19. Se ha limitado a mencionar el síntoma de la fiebre como uno de los más comunes y a delegar en el servicio de PRL de las empresas las decisiones oportunas al respecto.

La empresa está habilitada, por lo tanto, a establecer la temperatura de control a partir de la que se denegará el acceso al centro de trabajo y se podrá sancionar al trabajador por incumplir la obligación de acudir al centro de trabajo con fiebre.

El Ministerio de Sanidad y la comunidad médica, en general, refieren la existencia de fiebre cuando la temperatura es superior a 38 grados centígrados.

En cuanto a la existencia de medidas menos intrusivas, hay que tener en cuenta que un test de detección del virus permite indicar con cierto margen de error que el trabajador no tiene la enfermedad el día en que se practica el test, pero no los siguientes. Sería evidentemente desproporcionado que una empresa realizase el test a los trabajadores cada día o con intervalos muy frecuentes. En cambio, no resulta tan desproporcionado realizar el control de la temperatura. 

El experto en PRL Andreu Sánchez, considera en este artículo que debe ser posible tomar la temperatura, puesto que es una medida proporcionada, si consideramos las menores molestias que ocasiona el empleado y el beneficio que se consigue al evitar posibles focos de contagio. Andreu Sánchez no cree que tomar la temperatura forme parte de la Vigilancia de la Salud en los términos del artículo 22 de la LPRL, por lo que considera en el mismo artículo que la medida podría aplicarla personal no sanitario.

La existencia de trabajadores asintomáticos no debe ser un argumento para impedir el control de los sintomáticos.

Los trabajadores que acrediten la inmunidad no tienen que someterse al control de la temperatura, por lo que es posible aplicar un medida menos intrusiva que consistiría en solicitar los resultados de un test de anticuerpos o de cualquier otro documento que acredite que el trabajador es inmune a la enfermedad.

Base jurídica del tratamiento

Totalmente de acuerdo en que la base jurídica del tratamiento no puede ser el consentimiento, ya que en la relación laboral el consentimiento no es libre.

La base jurídica más adecuada es el cumplimiento de la obligación legal de garantizar la seguridad y la salud de los trabajadores.

Esta base jurídica se concreta en este caso en las siguientes normas:

El CEPD y la AEPD también citan como bases jurídicas para el tratamiento el interés público y el interés vital de contención de la pandemia al que se refiere el considerando 46 del RGPD.

También hay que mencionar el artículo 9.2.h del RGPD que establece como excepción a la prohibición de tratar datos de salud, los casos en los que el tratamiento es necesario para fines de medicina preventiva o laboral y para evaluación de la capacidad laboral del trabajador y diagnóstico médico siempre que el tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes (Ministerio de Sanidad, Instituto Nacional de Seguridad y Salud en el Trabajo).

Según la Disposición adicional decimoséptima de la LOPDGDD, se encuentran amparados en este artículo 9.2.h (así como en las letras g), i) y j) del mismo artículo) los tratamientos de datos relacionados con la salud que estén regulados en la Ley de Prevención de Riesgos Laborales y en sus disposiciones de desarrollo. (Agradezco a Javier Sempere esta aportación)

Normativa específica para la prevención de riesgos relacionados con agentes biológicos

El Real Decreto 664/1997 sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo establece las siguientes obligaciones para la empresa:

  • Aplicación de medidas técnicas apropiadas para evitar o minimizar el riesgo de contagio por agentes biológicos en el lugar de trabajo.
  • Reducción, al mínimo posible, del número de trabajadores que puedan estar expuestos.
  • Verificación de la presencia de los agentes biológicos.
  • Vigilancia adecuada y específica de la salud de los trabajadores

Aunque esta norma es aplicable a las empresas que trabajan con exposición a agentes biológicos, el Ministerio de Sanidad la utiliza como marco de referencia para el Covid-19, tal como puede comprobarse en el Procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al SARS-CoV-2.

Registro y conservación de los datos

El Real Decreto 664/1997 sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo establece que la empresa está obligada a disponer de:

  • La documentación sobre los resultados de la evaluación del riesgo, así como los criterios y procedimientos de evaluación y los métodos de medición, análisis o ensayo utilizados.
  • Una lista de los trabajadores expuestos en la empresa a agentes biológicos de los grupos 3 y 4.

Según esta norma, la lista de los trabajadores expuestos y sus historiales médicos deberán conservarse durante un plazo mínimo de diez años después de finalizada la exposición al virus. 

Este plazo se ampliará hasta cuarenta años en caso de exposiciones que pudieran dar lugar a una infección en la que concurran alguna de las siguientes características:

  • Debida a agentes biológicos con capacidad conocida de provocar infecciones persistentes o latentes.
  • Que no sea diagnosticable con los conocimientos actuales, hasta la manifestación de la enfermedad muchos años después.
  • Cuyo período de incubación, previo a la manifestación de la enfermedad, sea especialmente prolongado.
  • Que dé lugar a una enfermedad con fases de recurrencia durante un tiempo prolongado, a pesar del tratamiento.
  • Que pueda tener secuelas importantes a largo plazo.

Todo ello derivado del tratamiento del Covid-19 como enfermedad laboral.

NOTA ESPECÍFICA PARA EMPRESAS CON CENTROS DE TRABAJO EN CATALUNYA

En Catalunya se han publicado, entre otros, los siguientes documentos:

Recomendaciones para empresas y personas trabajadoras acordadas el 12 de abril de 2020 por la Generalitat de Catalunya, CCOO, UGT, Foment del Treball y Pimec, en las que se indica que los servicios de prevención de riesgos laborales deben colaborar en la valoración de la infección por el coronavirus SARS-CoV-2 de la sintomatología y temperatura con el medio que crea oportuno, cuando sea posible, y antes de la entrada en el lugar de trabajo.

Documento elaborado por el Departament de Salut de la Generalitat en el que expone una serie de directrices sobre cómo se debe realizar la reincorporación laboral de los trabajadores y trabajadoras siguiendo los criterios de evidencia científica y estrategia de salud pública vigentes. En este documento se indica que, en el ámbito laboral, lo más importante es mantener las medidas de protección, tanto las generales como las que estén indicadas de manera específica por los servicios de prevención de riesgos laborales, y concentrarse en detectar los posibles casos, y sus contactos, y aislarlos para no hacer del mundo laboral un agente más de transmisión.

En este documento también se indica que la presencia de síntomas, aunque sean leves, es siempre una indicación para aislamiento a domicilio.

EJEMPLOS DE APLICACIÓN DE ESTE CONTROL

Consejo General del Poder Judicial

En la Guía de buenas prácticas para la reactivación de la actividad judicial y adopción de medidas de salud profesional para la prevención de contagios en sedes judiciales, el CGPJ indica que los responsables de órganos de gobierno -Salas de Gobierno de Tribunales Superiores de Justicia y Decanatos- interesarán de las Administraciones prestacionales que se garantice el control diario de temperatura en el acceso a la sede judicial (Artículos 4 y 86 del Reglamento 1/2000, de los Órganos de Gobierno de Tribunales. Acuerdo de 26 de julio de 2000, del Pleno del Consejo General del Poder Judicial).

En el Protocolo de actuación para la reactivación de la actividad judicial y salud profesional, se recomienda realizar control de temperatura en el acceso a la sede judicial, rechazando la entrada de resultar superior a 37,5 grados. (Agradezco a Alfonso Pacheco Cifuentes esta aportación)

Contenido relacionado

Lista de los 42 puntos recomendados para una política de privacidad relativa a los protocolos de reincorporación  Covid-10 en la sección GDPR Hacks de Campus Ribas.

Política de privacidad relativa a los protocolos de reincorporación Covid-19

Estamos trabajando con los departamentos médicos y de PRL de varias empresas para elaborar una política de privacidad que regule los tratamientos que se van a realizar durante el periodo de reincorporación a la empresa, en la fase final de la crisis sanitaria.

Ya tenemos una primera versión bastante completa.

Dado que es un documento que va a evolucionar durante los próximos días, hemos publicado en Campus Ribas los 42 puntos en los que se basa actualmente la política.

Pueden ser consultados en la sección GDPR Hacks con el fin de comentarlos e identificar otros temas que deban ser incluidos en este tipo de políticas.

https://lnkd.in/gTt6xUi

Esperamos que sea de utilidad.

BRECHA 005 – Ataque mediante SQL injection

En esta quinta entrega de GDPR Brechas analizamos una resolución de la AEPD relativa a un ciberataque mediante SQL injection para obtener las credenciales de acceso a un sitio web dedicado a la cocina. Mediante este ataque consiguieron acceso al servidor. Este sitio web tenía 137.725 usuarios, cuyos datos quedaron comprometidos en el ciberataque.

Puedes ver el vídeo completo de esta brecha y descargar el PDF con la ficha del caso analizado, así como participar en el debate con tu opinión sobre el incidente, las medidas aplicadas por la empresa y el contenido de la resolución en: https://www.campus-ribas.com/p/brechas-de-seguridad

GDPR Brechas es un espacio para el análisis de las brechas de seguridad que han sido objeto de resolución por las autoridades de control. 

ACCESO AL PROYECTO GDPR BRECHAS

Te invito a participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.