La privacidad en la desescalada de la COVID-19: medidas urgentes

La privacidad en la desescalada de la COVID-19: medidas urgentes

Políticas de teletrabajo, adquisición de test rápidos, instalación de cámaras térmicas, toma individual de temperatura a empleados y clientes, túneles de ozono… Durante el estado de alarma han sido muchas las medidas de contención innovadoras que se han barajado. Pero, ¿hasta qué punto están las empresas legitimadas para aplicarlas? ¿Qué implicaciones legales o responsabilidades inherentes se están asumiendo a nivel corporativo?

La Agencia Española de Protección de Datos y las autoridades sanitarias han advertido que, durante el estado de alarma, el desconfinamiento y la “nueva normalidad”, no todo tratamiento de datos personales, ni todas las medidas de seguridad, quedan legitimados en base al interés público. Las empresas han de tomar decisiones de desescalada que permitan garantizar un nivel adecuado de privacidad y seguridad, y que a su vez queden debidamente recogidas en políticas de privacidad y procedimientos formales de actuación.

Si tienes una empresa dedicada al sector servicios, cuya actividad principal se rige por una gran exposición al público, prestas asesoramiento a terceros o necesitas revertir la situación de teletrabajo, planifica la desescalada en función de las siguientes cuestiones:

Medidas genéricas a garantizar:

  • 1,50m de distanciamiento entre personas.
  • Mantenimiento o priorización de la modalidad de teletrabajo, en la medida de lo posible.
  • Planificación de turnos laborales y negociación de periodos vacacionales alternados y no coincidentes.
  • Reubicación de puestos de trabajo para garantizar el distanciamiento de seguridad.
  • Aumento del servicio de limpieza y desinfección de las instalaciones y las oficinas.
  • Disposición de dispensadores de gel automáticos, mascarillas, pantallas y guantes, en función del riesgo de propagación o contagio y la exposición al público.

Medidas específicas:

Toma de temperatura: ¿puedo tomar la temperatura a mis empleados?

En el ámbito laboral, la toma de temperatura corporal podrá tratarse conforme al art. 9.2 b) RGPD, como un dato de carácter especial de salud amparado en el derecho laboral, siempre y cuando se tenga en cuenta que:

  • Se trata de una medida intrusiva y, como tal, deberá valorarse solo en aquellas actividades en las que exista un alto riesgo de propagación o contagio. En ningún caso podrá ser implantada sin garantizar medidas adicionales previas y/o simultáneas, como la puesta a disposición por la empresa de mascarillas, geles y/o guantes.
  • Las personas asintomáticas no presentan síntomas febriles por lo que, por lo general, son más efectivas las medidas adicionales previamente descritas.
  • Se ha de garantizar, en todo momento, la confidencialidad de los resultados de las tomas.
  • No se recomienda llevar un registro asociativo ni identificativo. Se debe tratar la toma como una mera medida de contención rutinaria, sin otra finalidad que la de control de acceso.
  • En caso de presentar décimas se ha de aconsejar al empleado acudir al centro de salud más cercano o consultar a un facultativo sanitario, a fin de que pueda, si procede, solicitar la baja médica.

¿Y a los clientes?

La Agencia Española de Protección de Datos (AEPD) se ha pronunciado sobre la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos en un comunicado. Se ha determinado que podrá llevarse a cabo en base a los intereses generales de salud pública que deben ser protegidos, siempre y cuando se tengan en cuenta las siguientes condiciones:

  • Es una medida considerada intrusiva y, por consiguiente, solo podrá tomarse en los accesos a zonas, comercios, centros o instalaciones en las cuales pueda estimarse que existe un alto riesgo de propagación y contagio. En todo caso, se debe garantizar la adopción de medidas adicionales (mascarillas, geles y guantes).
  • No se puede asociar la temperatura tomada a datos personales del afectado. Tiene que ser solo una medida de seguridad y contención para evitar el acceso a personas que puedan mostrar síntomas. En ningún caso se les pedirá nombre y apellidos y, mucho menos, el DNI.
  • Es conveniente elaborar una política de privacidad y procedimientos específicos, así como establecer personal que sirva de referencia para obtener más información.
  • Se deberá permitir a las personas a las que se detecte una temperatura superior a la normal que puedan reaccionar ante la decisión de impedirles el acceso a un recinto (por ejemplo, justificando que su temperatura elevada se debe a otras razones).
  • El personal que realice las tomas deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.

Cámaras térmicas: ¿qué debo tener en cuenta al instalarlas?

  • La AEPD ya ha advertido que la instalación de cámaras térmicas deberá ir acompañada de la disposición en entradas y zonas públicas o de paso de carteles informativos.
  • Adicionalmente, será necesario contar con una política de privacidad específica relativa a protección de datos y un procedimiento de actuación que garantice la seguridad de la información.
  • Los datos recopilados no podrán ser utilizados para fines distintos al de contención y salubridad en las instalaciones del comercio o empresa.

Realización de pruebas o test rápidos:  ¿puedo solicitar a mis empleados someterse a pruebas de la COVID-19?

Se trata de un sí sujeto a condiciones complementarias y no excluyentes:

  • Se debe implantar única y exclusivamente como medida excepcional y, en todo caso, accesoria a otras, o priorizando medidas menos intrusivas.
  • La finalidad será, única y exclusivamente, la de comprobar el estado de salud de los empleados, conforme a lo dispuesto en el artículo 22.1 de la Ley 31/1995, de Prevención de Riesgos Laborales.
  • Es necesario haber constatado la existencia de un riesgo relevante para el propio trabajador o para terceros, por la existencia de casos considerados asintomáticos.
  • La prueba deberá realizarla un proveedor de prevención, PRL o mutua mediante personal facultativo o sanitario especializado, dentro de un procedimiento de reconocimiento médico por situación excepcional.

 ¿Qué información puede tratar la empresa?

En función de que el resultado de la prueba sea positivo o negativo, a la empresa se le transmitirá únicamente un resultado de “apto” o “no apto”. Adicionalmente, cuando los facultativos valoren que procede emitirla, se facilitará la documentación relativa a la baja médica.

Es necesario velar por el mantenimiento de la privacidad de los datos personales de salud tratados, considerados conforme al art. 9.2b) RGPD de tipología sensible o especial. Por consiguiente, son estrictamente confidenciales y de acceso limitado al personal mínimo necesario, encargado de gestionar y tramitar las posibles bajas médicas que puedan producirse.

Máquinas de generación de gases ozono y desinfección: ¿está permitido su uso?

El Ministerio de Sanidad en su comunicado del 27 de abril de 2020, sobre el uso de químicos biocidas, ha especificado que estas medidas de contención están permitidas siempre y cuando:

  • No se apliquen los gases (ozono y aerosoles) en presencia de personas.
  • Los aplicadores cuenten con los equipos de protección adecuados.
  • Se deberá ventilar adecuadamente el lugar desinfectado antes de su uso.
  • Hay que tener en cuenta que puede reaccionar con sustancias inflamables y puede producir reacciones químicas peligrosas al contacto con otros productos químicos.

¿Y los túneles de ozono o arcos de desinfección?

La respuesta es no.

Se trata de sustancias químicas peligrosas, que pueden producir efectos adversos. En el inventario de clasificación de la ECHA (Agencia Europea de Sustancias y Mezclas Químicas) se notifica la clasificación de esta sustancia como peligrosa por vía respiratoria, irritación de piel y daño ocular.

Por este motivo, la autoridad sanitaria advierte que “ningún producto virucida es apto para ser utilizado por nebulización sobre las personas. Por tanto, esta técnica de aplicación que se anuncia en los denominados túneles desinfectantes de ningún modo puede ser utilizada sobre personas. Un uso inadecuado de biocidas introduce un doble riesgo, posibles daños para la salud humana y dar una falsa sensación de seguridad”.

Medidas de privacidad adicionales a tener en cuenta:

  • Elaboración de una política o procedimiento interno de desconfinamiento.
  • Planificación de las fases corporativas de desescalada.
  • Modificación del Análisis de Riesgos de los Sistemas de Gestión implantados.
  • Revisión o elaboración de un nuevo Plan de Continuidad de Negocio, planes de contingencia y políticas de teletrabajo, en previsión de posibles repuntes de la pandemia en otoño e invierno.
  • Garantía de recuperación de la información y la documentación propiedad de la empresa, dispersa con motivo del teletrabajo (copias físicas y digitales).
  • Devolución responsable de activos en las mismas condiciones de entrega (tanto dispositivos portátiles como equipos de sobremesa).
  • Firma de declaraciones responsables, con motivo de la reversión de la situación de teletrabajo.
  • Restablecimiento de la seguridad técnica y “ciber”, reconfiguración de firewalls, monitorización de sistemas, análisis de vulnerabilidades, auditorías de cumplimiento.
  • Peritaje ad hoc de incidencias de seguridad y protección de datos sufridas durante el estado de alarma.

¿Estás en fase de valorar las soluciones de desescalada segura disponibles? ¿Has tomado ya alguna de estas medidas técnicas y organizativas? ¿Quieres comprobar que no infringes ninguna normativa aplicable, especialmente, en materia de protección de datos, seguridad de la información, redes y ciberseguridad? Consúltanos y te asesoraremos sobre los servicios de nuestro equipo de Consultoría y SOC.

 

Estefanía Macías

Consultora Derecho TIC e ISO27001 de Secure&IT

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather

Comments

Comentarios desactivados