La emergencia sanitaria derivada del COVID-19 y las medidas tomadas por los gobiernos para controlar su propagación, nos han situado ante un escenario difícilmente imaginable hace unos meses, generando ciertas dudas entre las organizaciones sobre la aplicación de la normativa de protección de datos de carácter personal que, en términos generales, podríamos encuadrar en dos grandes categorías:
LICITUD DE LOS TRATAMIENTOS DERIVADOS DE COVID-19:
Previamente a entrar en las bases de legitimación concretas para éstos “nuevos tratamientos” que se surgen como necesarios a partir del COVID-19, es preciso recordar que el consentimiento del interesado en el ámbito laboral “no puede y no debe ser” la base de legitimación, tal y como viene señalando el Grupo de Trabajo del artículo 29 en sus dictámenes 08/2001 y 02/2017 sobre procesamiento de datos en el trabajo; cuestión en la que, por su relevancia, insistimos especialmente a nuestros alumnos del “Programa online Experto en Delegado de Protección de Datos”.
Partiendo de lo anterior, pasamos a las siguientes cuestiones que resuelve la Agencia Española de Protección de Datos en el Informe 0017/2020 de su Gabinete Jurídico, señalando que la protección de datos “no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia”. Más aún cuando la normativa prevé mecanismos para evitar que se plantee esa situación de bloqueo, si acudimos a lo establecido en el Considerando 46 del Reglamento Europeo de Protección de Datos y a las excepciones a la prohibición de tratamiento de categorías especiales, cuando tenga por finalidad – artículo 9 apartado 2 del mismo texto legal –:
- Cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social.
- Interés público en el ámbito de la salud pública, que se configura en este caso como interés público esencial.
- Diagnóstico médico.
- Protección de intereses vitales del interesado o de terceros.
|
Considerando 46 del Reglamento Europeo de Protección de Datos “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”. |
No obstante, es preciso tener en cuenta – tal y como recuerda la Agencia Española de Protección de Datos en el mencionado informe – que hasta este momento solo hemos buscado la licitud del tratamiento, quedando pendiente el cumplir con los restantes requerimientos previstos en la normativa vigente, teniendo especial relevancia en este caso el cumplimiento del principio de limitación de la finalidad.
TELETRABAJO Y BYOT:
Las restricciones de movilidad han conducido a muchas entidades al teletrabajo; que, en su mayoría, carecían y carecen o, en el mejor de los casos, tuvieron que improvisar políticas de seguridad para una situación que, ya en circunstancias normales y sin el actual incremento de los ciberataques, supone un notable aumento de los riesgos para la seguridad de la información y, por consiguiente, de los datos personales.
|
BYOT – “Bring your own technology” Use su propia tecnología, refiriéndose al uso de dispositivos, equipos, aplicaciones o, entre otros, redes personales en el trabajo. |
A toro pasado todos vemos el cisne negro, por lo que dejando atrás cómo deberíamos haber actuado, debemos enfocarnos en cómo actuar para – en la medida de las posibilidades actuales – mitigar los riesgos que conlleva el teletrabajo y el uso de dispositivos personales.
¿Qué aspectos esenciales deben tenerse en cuenta para desarrollar una política de teletrabajo? ¿Pueden utilizarse dispositivos personales? En su caso, ¿qué salvaguardas podemos aplicar? Son algunas de las cuestiones que trataremos el próximo jueves 23 de abril a las 17.00 horas en el Webinar gratuito: “Implicaciones en la aplicación de la normativa de protección de datos del COVID-19”, organizado por el Centro de Desarrollo Directivo e impartido por Legal Protect.
Comentarios recientes