Datos personales
La información relacionada con la salud es, para nuestra ley, un dato sensible. Por eso, debe prestarse especial atención en el momento de realizar monitoreos relacionados con la salud de los empleados y su (posibilidad de) contagio de COVID-19. La Agencia de Acceso a la Información Pública recientemente publicó las siguientes recomendaciones para el tratamiento de datos personales en relación con COVID-19, de conformidad con lo establecido en la Ley de Protección de Datos Personales N° 25.326 (LPDP):
- Los datos de salud son una categoría de datos sensibles y, en consecuencia, merecen una protección más rigurosa.
- La divulgación del nombre de un paciente que padezca de coronavirus requiere de su consentimiento.
- Los establecimientos sanitarios y profesionales de la salud pueden procesar y cederse entre sí datos de los pacientes, siempre y cuando cumplan con el secreto profesional.
- La obligación de secreto profesional subsistirá aun después de finalizada la relación con el paciente.
- Para usar la información del paciente con fines incompatibles con su tratamiento médico, se debe requerir su consentimiento pleno, libre e informado.
- El Ministerio de Salud de la Nación y los ministerios provinciales se encuentran facultados para requerir, recolectar, cederse entre sí o procesar de cualquier otro modo información de salud sin consentimiento de los pacientes, conforme a las competencias explícitas e implícitas que les hayan sido conferidas por ley.
Estas recomendaciones, sin embargo, no se encuentran dirigidas al caso particular de los empleadores, quienes en ciertas circunstancias particulares podrían encontrarse exentos de, por ejemplo, necesitar el consentimiento del empleado que ha dado COVID-19 positivo para adoptar las medidas oportunas para evitar nuevos contagios y, así, cumplir con su deber de prevención del daño frente a la pandemia.
En este sentido, el Comité Ejecutivo de la Asamblea Global de Privacidad (GPA por sus siglas en inglés) emitió un documento orientador sobre las regulaciones a nivel mundial en materia de protección de datos personales, con el fin de colaborar en el desafío que implica abordar el avance del coronavirus y el intercambio de datos de salud. Y sostuvo: “Confiamos en que los requisitos de protección de datos no detendrán el intercambio crítico de información para apoyar los esfuerzos para enfrentar esta pandemia global. Los principios universales de protección de datos en todas nuestras leyes permitirán el uso de datos en interés público y aún proporcionarán las protecciones que el público espera. Las autoridades de protección de datos están listas para ayudar a facilitar el intercambio de datos rápido y seguro para combatir COVID-19”.
Por su parte, y en el mismo sentido de las recomendaciones de la Agencia de Acceso a la Información Pública, la Decisión Administrativa 431/2020 de la Jefatura de Gabinete señala que “la capacidad del Estado Nacional para disponer de información pertinente a los fines del cuidado de la salud pública en tiempo oportuno, y en el marco normativo vigente, se erige como un activo esencial e indispensable para la toma de decisiones”. Habilita, en consecuencia, a cada una de las entidades que integran el Sector Público Nacional a transferir, ceder, intercambiar o de cualquier modo poner a disposición aquellos datos e información que, por sus competencias, misiones y funciones, obren en sus archivos o bases de datos. Esto debe realizarse conforme a las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad, la confidencialidad y el tratamiento en atención a la finalidad de proteger la salud pública. Todo lo anterior se fundamenta en lo dispuesto en la LPDP, que establece que los datos personales pueden ser cedidos sin consentimiento del titular cuando se recaben para el ejercicio de funciones propias de los poderes del Estado y que admite la posibilidad de realizar cesiones masivas de datos personales entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias.
Algunas preguntas que debería realizarse el empleador son:
¿La compañía cuenta con los niveles de seguridad adecuados para tratar información sensible y garantizar su integridad? ¿Estos niveles de seguridad se conservan fuera de la oficina?
¿Existen restricciones de privacidad para informar, dentro de la compañía, el grupo de la compañía o con las autoridades médicas, de salud y/o de seguridad, a aquellos empleados que dieron COVID-19 positivo o que presentan síntomas sospechosos?
¿La compañía tiene autoridad para preguntarle a sus empleados dónde han estado en los últimos 14 días sin infringir su derecho de privacidad? ¿El empleado tiene el derecho de guardar silencio? ¿Es necesario recolectar nuevos consentimientos de los empleados para permitir el tratamiento de datos relacionados con la pandemia?
Teletrabajo
Por otro lado, el coronavirus ha forzado a muchas compañías a implementar medidas masivas de teletrabajo. Esta modalidad plantea ciertos desafíos que pueden ser nuevos para muchas empresas.
El primer desafío, y tal vez el más importante, es garantizar que el trabajo se realice en dispositivos que cuenten con medidas de seguridad adecuadas. El riesgo a la seguridad informática se puede agravar cuando los empleados utilizan dispositivos personales para realizar tareas laborales.
En esta línea, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) elaboró una serie de recomendaciones para operar de manera segura en Internet y redes sociales y con los servicios de mensajería online. En lo que a teletrabajo refiere, la UFECI destaca la necesidad de tener conexiones y equipos seguros y de proteger las redes con contraseñas fuertes (que combinen letras, números y caracteres especiales). El teletrabajo debe realizarse siempre utilizando software original y antivirus actualizados. De igual modo, la UFECI señala que, en casos de tráfico de información sensible, la información debe transmitirse cifradamente. Por otro lado, se otorgan ciertos consejos para evitar el robo de datos personales y el fraude online, como ser el ignorar mensajes provenientes de canales no oficiales o que señalen que las cuentas han sido bloqueadas junto con la necesidad de contar con las credenciales de acceso.
Del mismo modo, es importante contar con adecuadas políticas de privacidad, uso de herramientas informáticas y de herramientas informáticas personales (BYOD, por sus siglas en inglés). Estas políticas no solo tratan cómo deben utilizarse las herramientas laborales, sino que también regulan la expectativa de privacidad que el empleado tiene a la hora de realizar sus tareas.
Este último punto y la capacidad del empleador de monitorear las actividades del empleado son especialmente importantes cuando las tareas habituales de la oficina pasan a realizarse en el hogar.
En este contexto, algunas preguntas que debería realizarse el empleador son:
¿La compañía posee una Política de Seguridad? ¿Se ha implementado y está en cumplimiento?
¿Se ha verificado que los empleados que utilizan dispositivos personales lo hagan en ambientes seguros (software actualizado, presencia de firewalls, antivirus, entre otros)?
¿La compañía posee una Política de Privacidad? ¿Contempla situaciones particulares del teletrabajo? ¿Se encuentra en el idioma del empleado y ha sido aceptada expresamente por él?
¿La compañía posee una Política de Uso de Herramientas Informáticas? ¿Se encuentra en el idioma del empleado y ha sido aceptada expresamente él?
¿La compañía posee una Política de Uso de Herramientas Informáticas Personales? ¿Se encuentra en el idioma del empleado y ha sido aceptada expresamente él?
Esta sección busca identificar algunas de las cuestiones novedosas que el COVID-19 plantea respecto de la privacidad y la protección de los datos personales, sin pretender agotar el tema, que necesita de un análisis caso por caso.
Artículos
Barreiro
opinión
ver todosAlfaro Abogados
PASSBA
Bragard
Kabas & Martorell