Protección de datos en el contexto de la situación provocada por la incidencia del sars-cov-2 (covid-19)
En el contexto de emergencia de salud pública derivada de la incidencia del COVID-19, la protección de datos no puede utilizarse para obstaculizar o limitar las medidas que las autoridades sanitarias adopten para hacer frente a la pandemia, pero tampoco puede obviarse para reducir los derechos que la norma proporciona a los ciudadanos.
La Agencia Española de Protección de Datos se ha pronunciado en este sentido y ha hecho públicos diversos informes en los que se analiza el tratamiento de datos personales en esta situación.
La normativa de protección de datos personales, REGLAMENTO (UE) 2016/679 o Reglamento general de protección de datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, contienen las salvaguardas necesarias para legitimar los tratamientos de datos personales en situaciones de emergencia como la que estamos viviendo. El Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 no ha suspendido el derecho a la protección de datos personales y al ejercicio por parte de los interesados.
El Reglamento General de Protección de Datos establece explícitamente, tanto en su Considerando 46
“El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.”,
como en el artículo 6
“…….
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
……”,
distintas bases jurídicas que legitimarían el tratamiento de datos personales para proteger un interés esencial, para la vida del interesado o de otra persona física. El tratamiento puede responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, incluyendo este último el control de epidemias y su propagación.
De otro lado, y atendiendo a las obligaciones del personal que desempeña sus funciones en la Universidad, es necesario recordar que la organización de nuevos modelos de prestación del trabajo (teletrabajo, trabajo a distancia u otras variantes del desarrollo de las funciones fuera de las instalaciones de la Universidad) no deben representar una merma en la vigilancia que estos deben prestar al cumplimiento estricto de la normativa referente a la protección de datos personales. Como se ha dicho anteriormente, el Real Decreto por el que se declara el estado de alarma no ha suspendido los derechos y obligaciones en este sentido.
Se deberá prestar especial atención, dado que la infraestructura de seguridad de los sistemas de información personales del trabajador en estas circunstancias no es la misma que la que tendría en las instalaciones de la UNIA, a las situaciones que puedan poner en riesgo o provocar brechas de seguridad que comprometan la información sensible de la Universidad y, en este caso, información relativa a datos personales que maneje el trabajador por las características de sus funciones.
Por parte de la Universidad se han establecido medidas para garantizar la confidencialidad de la información que se trasmite por la red (mediante el uso de herramientas y soluciones del tipo VPN’s) así como medidas encaminadas a asegurar la información que reside en los equipos para el tratamiento de la información que se han suministrado a los trabajadores que desarrollarán su actividad fuera de las instalaciones de la UNIA (instalación de antivirus, actualizaciones de los sistemas operativos en materia de seguridad, políticas de establecimiento de claves para el acceso a estos equipos, etc), pero este esfuerzo puede resultar inútil si por parte del trabajador no se guardan las normas más elementales y de sentido común de seguridad como:
- No proporcionar las claves de acceso a los sistemas de la Universidad a nadie
- No usar los equipos para otros fines distintos de los propios de sus funciones en la Universidad
- No conectar los equipos de tratamiento de la información proporcionados por la Universidad a redes públicas
- No dejar las sesiones abiertas o desbloqueadas cuando no esté trabajando
- No transportar los equipos proporcionados por la Universidad cuando no sea estrictamente necesario
- Comunicar cualquier incidente lo antes posible al área TIC de la Universidad o al Delegado de Protección de Datos.
- Guardar la documentación con la que esté trabajando en un lugar seguro cuando acabe la jornada laboral
- No suministrar información o datos que tengan relación con su trabajo o que conozca en el ámbito de su pertenencia a la plantilla de la Universidad.
En este punto cabe recordar que la negligencia y la mala praxis llevan aparejadas responsabilidad para el trabajador que las comete.
Información y documentación de referencia con motivo de la Incidencia del COVID-19
Informe de la AEPD sobre los tratamientos de datos en relación con el COVID-19
Entradas del Blog de la Agencia Española de Protección de Datos de interés en este contexto: