Datos de salud de los empleados: ¿cómo gestionarlos durante el COVID-19?

Datos de salud de los empleados: ¿cómo gestionarlos durante el COVID-19? Entre los desafíos que enfrentan nuestras sociedades en el contexto de la crisis sanitaria, el que enfrentan los empleadores no es el menor.

Además de las condiciones de trabajo que deben adaptarse, está la cuestión de los datos que pueden o incluso deben recogerse y tratarse en el marco de la relación laboral.

El empresario se encuentra, por una parte, sujeto a la obligación legal de preservar la salud de sus empleados, mientras que por otro lado los datos de salud son considerados por ley como datos sensibles, cuyas condiciones de procesamiento están estrictamente reguladas.

Por ello, es de agradecer el reciente recordatorio de la CNIL sobre el marco que debe respetarse y las medidas concretas que pueden aplicarse en el lugar de trabajo.

Se conservan los siguientes elementos:

Aunque en principio el tratamiento de datos de salud está prohibido, sigue siendo posible bajo determinadas condiciones en función de los fines perseguidos.

Así, en el contexto de la pandemia, el empleador puede válidamente:

• Informe a sus empleados de las medidas de barrera, proporcióneles todo el equipo de protección necesario y recuérdeles la obligación de informarles o de informar a las autoridades sanitarias competentes en caso de contaminación o sospecha de contaminación, con el único fin de permitirles adaptar las condiciones de trabajo (teletrabajo, por ejemplo).

• Facilitar la transmisión de información estableciendo, cuando sea necesario, canales dedicados y seguros

• Promover métodos de trabajo remoto y fomentar el uso de la medicina del trabajo.

• Como parte de la implementación de un Plan de Continuidad de Negocio para proteger la seguridad de los empleados e identificar las actividades esenciales que deben mantenerse, crear un archivo nominativo para el desarrollo y mantenimiento del plan, limitado a los datos necesarios para lograr este objetivo.

El empresario sólo puede acceder a determinada información restringida para adoptar las medidas organizativas necesarias, mientras que los datos más directamente relacionados con la salud deben ser tratados por un profesional sanitario.

(Por ejemplo, para prolongar una cuarentena y justificar el teletrabajo) y en el marco de los servicios de salud laboral:

El empleador no está autorizado a realizar un diagnóstico del estado de salud de cada uno de sus empleados ni a gestionar él mismo un sistema de evaluación de su vulnerabilidad (por ejemplo mediante un código de colores).

Según la legislación vigente, el empleador no puede implementar la toma de temperatura electrónica o mediante una cámara térmica con retención de datos, pruebas serológicas ni cuestionarios de salud. La situación sería diferente a la toma manual de temperatura sin retención de datos: esta práctica no entra en el ámbito de aplicación del RGPD, pero podría plantear otras dudas sobre su eficacia.

Por último, debido también a la naturaleza sensible de los datos tratados, se deberá prestar la máxima atención a las medidas de seguridad que garanticen la confidencialidad de los datos tratados.

En resumen, las principales medidas que el empleador está autorizado a adoptar se refieren a la organización del trabajo, basándose en datos limitados a los riesgos de exposición de los empleados, mientras que la gestión de los datos más directamente relacionados con la enfermedad es responsabilidad directa de los profesionales sanitarios. Cualquier otra solicitud a los empleadores para que informen a las autoridades sanitarias o para que adopten medidas específicas puede consultarse en el sitio web del Ministerio de Trabajo.

• Y también

Francia:

• El 1 de octubre, la CNIL publicó la versión final de sus directrices relativas al uso de cookies y otros rastreadores.

Se especifica en particular que continuar navegando en un sitio web no puede considerarse un consentimiento válido para el uso de rastreadores.

También recomienda que los controladores de datos incluyan en la interfaz de recopilación de consentimiento no sólo un botón de "aceptar todo" sino también un botón de "rechazar todo".

• Octubre es el mes de la ciberseguridad.

En este contexto, la CNIL y la ANNSSI publican una serie de recomendaciones.

Los ciberataques de los últimos meses han afectado especialmente al sector sanitario, al sector industrial y a las autoridades locales.

Las personas son especialmente vulnerables al chantaje a través de cámaras web y la CNIL ofrece consejos sobre cómo protegerse en su sitio web.

Europa:

• El Consejo de Europa ha publicado un informe sobre la resiliencia de los principios de protección de datos en los 57 países que han ratificado el Convenio 108, a la luz de las medidas adoptadas para contener la pandemia.

• El 1 de octubre, la autoridad de control de Hamburgo multó a H&M con 35 millones de euros por violar la privacidad de sus empleados.

La empresa recopiló información sobre las vacaciones, el estado de salud y la religión de sus empleados.

Actualmente, la empresa está implementando numerosas medidas para garantizar que el procesamiento cumpla con la ley.

• Hay dos proyectos de directrices disponibles para consulta pública en el sitio web del Comité Europeo de Protección de Datos (CEPD).

Estos documentos tratan, por una parte, de los conceptos de responsable del tratamiento y de subcontratista y, por otra, de la segmentación de los usuarios de las redes sociales.

• Tras la sentencia Schrems II del Tribunal de Justicia de las Comunidades Europeas, que frena las transferencias transatlánticas de datos (véase el editorial de septiembre sobre este tema), la Comisión Europea ha anunciado nuevas cláusulas contractuales tipo para finales de año.

Internacional :

• El desarrollo del reconocimiento facial está provocando debates en diferentes partes del mundo.

En Singapur, el uso del reconocimiento facial para acceder a servicios públicos es considerado por la organización "Privacy International" como una intrusión sin precedentes en la privacidad de los ciudadanos, mientras que en Rusia es su uso en espacios públicos y en los vestíbulos de edificios privados lo que genera preocupación.

• La ética y la inteligencia artificial son el tema de un artículo publicado en el último boletín de la Asamblea Mundial de Privacidad, que reúne a las CNIL a nivel internacional.

Se abordan específicamente cuestiones relacionadas con las herramientas digitales utilizadas en el sector de la salud, incluidas las aplicaciones de seguimiento de la COVID-19.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.