COVID-19 y protección de datos

Imagen Proteccion Datos

Implicaciones en la aplicación de la normativa

La emergencia sanitaria derivada del COVID-19 y las medidas tomadas por los gobiernos para controlar su propagación, nos han situado ante un escenario difícilmente imaginable hace unos meses, generando ciertas dudas entre las organizaciones sobre la aplicación de la normativa de protección de datos de carácter personal que, en términos generales, podríamos encuadrar en dos grandes categorías:

LICITUD DE LOS TRATAMIENTOS DERIVADOS DE COVID-19:

Previamente a entrar en las bases de legitimación concretas para éstos “nuevos tratamientos” que se surgen como necesarios a partir del COVID-19, es preciso recordar que el consentimiento del interesado en el ámbito laboral “no puede y no debe ser” la base de legitimación, tal  y  como  viene  señalando  el  Grupo  de  Trabajo  del  artículo  29  en  sus dictámenes 08/2001 y 02/2017 sobre procesamiento de datos en el trabajo; cuestión en la que, por su relevancia, insistimos especialmente a nuestros alumnos del “Programa online Experto en Delegado de Protección de Datos”.

Partiendo de lo anterior, pasamos a las siguientes cuestiones que resuelve la Agencia Española de Protección de Datos en el Informe 0017/2020 de su Gabinete Jurídico, señalando que la protección de datos “no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia. Más aún cuando la normativa prevé mecanismos para evitar que se plantee esa situación de bloqueo, si acudimos a lo establecido en el Considerando 46 del Reglamento Europeo de Protección de Datos y a las excepciones a la prohibición de tratamiento de categorías especiales, cuando tenga por finalidad – artículo 9 apartado 2 del mismo texto legal –:

  • Cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social.
  • Interés público en el ámbito de la salud pública, que se configura en este caso como interés público esencial.
  • Diagnóstico médico
  • Protección de intereses vitales del interesado o de terceros

Considerando 46 del Reglamento Europeo de Protección de Datos: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del  interesado,  como  por  ejemplo  cuando  el  tratamiento  es  necesario  para  fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

No obstante, es preciso tener en cuenta – tal y como recuerda la Agencia Española de Protección de Datos en el mencionado informe – que hasta este momento solo hemos buscado la licitud del tratamiento, quedando pendiente el cumplir con los restantes requerimientos previstos en la normativa vigente, teniendo especial relevancia en este caso el cumplimiento del principio de limitación de la finalidad.

TELETRABAJO Y BYOT:

Las restricciones de movilidad han conducido a muchas entidades al teletrabajo; que, en su mayoría, carecían y carecen o, en el mejor de los casos, tuvieron que improvisar políticas de seguridad para una situación que, ya en circunstancias normales y sin el actual incremento de los ciberataques, supone un notable aumento de los riesgos para la seguridad de la información y, por consiguiente, de los datos personales.

BYOT – “Bring your own technology”: Use su propia tecnología, refiriéndose al uso de dispositivos, equipos, aplicaciones o, entre otros, redes personales en el trabajo.

A toro pasado todos vemos el cisne negro, por lo que dejando atrás cómo deberíamos haber actuado, debemos enfocarnos en cómo actuar para – en la medida de las posibilidades actuales – mitigar los riesgos que conlleva el teletrabajo y el uso de dispositivos personales.

¿Qué aspectos esenciales deben tenerse en cuenta para desarrollar una política de teletrabajo? ¿Pueden utilizarse dispositivos personales? En su caso, ¿qué salvaguardas podemos aplicar? Son algunas de las cuestiones que trataremos el próximo jueves 23 de abril a las 17.00 horas en el Webinar gratuito: “Implicaciones en la aplicación de la normativa de protección de datos del COVID-19”, organizado por el Centro de Desarrollo Directivo e impartido por Legal Protect.

Etiqueta:, , ,

author avatar
Carmen Cabal Fernández

Departamento Legal & Compliance de Legal Protect

Licenciada en Derecho por la Universidad de Oviedo y Máster en Corporate Compliance por la Universidad Rey Juan Carlos y Centro Europeo de Posgrado. Forma parte de departamento Legal & Compliance de legal Protect; empresa especializada en consultoría legal sobre Tecnologías se la Información y Comunicación, Protección de Activos Intangibles, Confidencialidad y Competencia Desleal. Además de su experiencia en auditoría e implantación de programas de cumplimiento normativo, de gestión de seguridad de la información y prevención del blanqueo de capitales y financiación del terrorismo, compagina su trabajo con laborales de formación y divulgación, participando como ponente en diferentes foros profesionales.

También te puede interesar

deuda
Créditos públicos y transposición de la Directiva de Segunda Oportunidad
15 septiembre, 2021
Económetro 19
Económetro 2021 – El indicador de confianza socioeconómico
30 julio, 2021
DBK2LBBXcAIQbtE
Vinculación para la administración de las consultas a la Dirección General de Tributos
19 mayo, 2021