Nuestra sociedad es relativamente frágil. El Pacto Social gira entorno a un status quo mantenido durante largas décadas sin cambios significativos, lo que permite establecer un ordenamiento jurídico eficaz.
¿Pero qué ocurre cuando cambia este status quo?
Un inesperado fenómeno meteorológico, un corte generalizado de cualquiera de los suministros básicos o una peligrosa enfermedad contagiosa… son ingredientes suficientes para detonar cualquier Estado de Derecho, escondiendo bajo la alfombra los derechos y libertades de los ciudadanos… y es que cuando el Miedo entra por la puerta, la Razón sale por la ventana.
Para evitar esta situación y que la sociedad caiga presa de la locura, las empresas están empezando a prepararse para una posible epidemia de gripe A desarrollando planes de prevención, control y continuidad de negocio. El propio Gobierno está estimulando a las empresas para que establezcan sus propios planes de contingencia, y que el país no se colapse por la pandemia como pasó hace unos meses en México.
Prevención, información y coordinación son los 3 pilares de los planes de contingencia que se están proponiendo, e implicarán, en su mayoría, un tratamiento de datos personales sobre la salud de los empleados y de sus familiares.
Entre las empresas que pretendan implantar un plan de contingencia contra la Gripe A, podría darse una de las siguientes situaciones:
a) En el mejor de los casos, nos encontraremos con empresas que dispongan del consentimiento expreso de sus empleados para el tratamiento de sus datos (incluso de salud), pero rara vez dispondrán del consentimiento de sus familiares o demás personas de su entorno, ya que no existe un contacto directo con dichos afectados.
Para solucionar este problema, o bien se solicita al empleado que recabe el consentimiento del afectado a favor de la empresa, o bien se trata el dato de forma anónima, sin llegar a identificar al infectado por el virus, haciendo simple referencia a su relación de convivencia o similar.
b) Por el contrario, empresas que no se hayan adecuado a la protección de datos, podrían llegar a exigir a sus empleados que se abstengan de acudir al trabajo en caso de que alguna de las personas de su entorno más íntimo resulte infectada por el temido virus, previa acreditación de la enfermedad para evitar la consabida picaresca nacional, lo que implica una tratamiento de datos personales de terceros y, además, especialmente protegidos, sin el consentimiento expreso del afectado (infracción muy grave por el 44.4.c) de la LOPD).
Esta información se revelaría a los compañeros más cercanos del afectado, que podrían ser invitados a tele-trabajar desde sus casas (en muchos casos, debiendo llevarse información confidencial de la oficina, sin las correspondientes medidas de seguridad). En este caso, estamos ante una cesión de datos personales relacionados con la salud sin consentimiento del afectado y ante una vulneración de las medidas de seguridad del RLOPD, infracciones muy grave y grave, respectivamente.
Además, algunas empresas podrían enviar esta información a sus matrices en terceros países, que no necesariamente ofrecerían un nivel de seguridad equivalente al español (como por ejemplo, USA), y sin la debida autorización del Director de la AEPD, incurriendo en una infracción muy grave de la LOPD.
Y todo esto sin disponer de un solo papelito firmado en el que los afectados consientan expresa e inequívocamente el tratamiento y/o cesión de sus datos personales relacionados con la salud… eso, suponiendo que los afectados quisieran consentir, ya que no existe forma de obligar al empleado, y menos aún a sus familiares y/o amigos, a revelar esta información (y encima a personal no sanitario).
En cualquier caso, resulta evidente que un contagio masivo dentro de la empresa tiene un coste difícil de asumir, pero seguramente sea más doloroso (económicamente hablando) responder ante una posible aplicación estricta de la normativa por parte de la Agencia Española de Protección de Datos. Por mucho que la situación sea extraordinaria, el derecho administrativo funciona bajo la premisa: “Si incumples, te sancionamos… y no entendemos más excusas de las que te permite la ley”.
Por ello, aunque operativamente sea mucho más complejo, siempre será recomendable incluir en el Plan de Contingencia un protocolo para la solicitud del consentimiento expreso de los empleados, no registrar datos personales de terceros, y prever medidas alternativas en caso de que se nieguen a facilitar esta información, al menos hasta que el Gobierno apruebe una norma con rango de Ley que permita el tratamiento de estos datos sin necesidad del consentimiento de los afectados.
En cualquier caso, teniendo en cuenta el uso que se le está dando a la LOPD por parte de los trabajadores por cuenta ajena, tengan cuidado y procuren que sus empleados no se junten con malas influenzas.
Departamento de Comunicación
Áudea Sguridad de la Información