La tensión entre la salud pública y la privacidad personal ante el nuevo desafío del COVID-19

TransformaW

Dra. Estefanía González Cobaleda.
Profesora de Derecho del Trabajo y de la Seguridad Social.
Universidad de Jaén.

1.La crisis del coronavirus y la protección de la salud pública.

La terrible pandemia generada por el coronavirus que estamos viviendo a nivel globalizada ha generado la necesidad de declarar el estado de alarma (RD 463/2020, de 14 de marzo), obligando al confinamiento de la población -la movilidad de las personas ha descendido en todos los lugares como son en tiendas y recreación (94%), supermercados y farmacias (76%) y centros de trabajo (64%)-, llevando a que nuestra sociedad cambie en pocas semanas. Es el caso de los tratamientos de los datos personales y, especialmente, de datos sensibles como los de salud, poniendo sobre la mesa el debate sobre si está justificado o no la vigilancia y el control de los ciudadanos. Todo ello, también, ha afectado al ámbito laboral –Crece el número de empresas que prohíben a sus empleados utilizar Zoom para comunicarse por los problemas para proteger los datos personales de los usuarios-.

2. ¿En la actual situación de crisis de salud el interés público se impone a la privacidad personal de los trabajadores?

Indiscutiblemente, se han alterado las reglas del juego en cuanto al tratamiento de datos personales en el ámbito laboral. Así, con carácter previo al estado de alarma, el empresario se encuentraba legitimado, a través de la firma del contrato de trabajo, para el uso de determinados datos personales del trabajador (datos bancarios para el pago de las nóminas, para aportar información a la Seguridad Social, entre otros). No obstante, para toda aquella información sobre la salud del trabajador, se determinaban un conjunto de limitaciones y restricciones de tratamiento por parte del empleador. La situación ahora, sin embargo, ha cambiado.

Ante la actual situación de lucha contra la expansión del COVID-19, la Agencia Española de Protección de Datos (AEDP) ha determinado en un informe que la normativa de protección de datos personales no puede obstaculizar las medidas sobre la lucha contra la epidemia. A este respecto, se han compatibilizando el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Por lo tanto, el interés público y vital se impone a la privacidad personal, siendo circunstancia prevista en el propio Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

En este sentido, el considerando 46 del RGPD establece que en casos excepcionales como el actual, donde se ha declarado una pandemia, con la necesidad de control de su propagación y para fines humanitarios, se permite el tratamiento de datos sin consentimiento de los afectados. Además, se podrán utilizar de forma lícita para la misión realizada en interés público [art. 6.1.e) del RGPD] o los intereses vitales del interesado u otras personas físicas [art. 6.1.d) del RGPD]. Si es cierto que dicha situación de emergencia no puede suponer la suspensión del derecho fundamental a la protección de datos personales (art. 18 CE).

3. ¿Qué datos personales relativos a la salud puede tratar el empleador?

Se amplían las facultades del empleador en cuantos a los datos personales del trabajador, sin necesidad de requerir su consentimiento, con la única finalidad de contener y evitar el contagio entre la población [arts. 9.1 y 9.2 del RGPD], garantizando el deber genérico del derecho a la protección de la salud de todos los ciudadanos (art. 43 CE) –El Gobierno se reserva vías legales para aislar a los asintomáticos primando el criterio de salud pública-.

Por un lado, el empleador podrá conocer si la persona trabajadora está contagiada o no de coronavirus, si padece síntomas o se encuentra sujeta a cuarentena. Si bien, con la única finalidad de diseñar o establecer planes de contingencia propios o los previstos por las autoridades sanitarias. Así, la organización empresarial ha de cumplir con el deber de transparencia o de información al trabajador con toda la exhaustividad y rigor que dispone el art. 13 del RGPD.

Por otro lado, el personal trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, de estar en cuarentena preventiva o de estar afectado, con el fin último de salvaguardar, además de su propia salud, la de los demás trabajadores de la empresa o centro de trabajo para que se puedan adoptar las medidas oportunas [art. 9.2.b) del RGPD y art. 22.1 LPRL].

Ahora bien, esta información obtenida debería proporcionarse sin identificar a la persona afectada, respetando los principios de finalidad y proporcionalidad (art. 22.2 LPRL). También, se deberán de adoptar con la limitación del propósito y minimización de la conservación de los datos de salud de las personas trabajadoras relacionados con el coronavirus, tal y como determina los principios establecidos en el RGPD.

A este respecto, la AEPD ha determinado unas recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo ante el coronavirus. En este sentido, son dirigidas a los empleadores como responsables de su tratamiento en cuanto al diseño, planificación y gestión de una política específica para generar unas garantías adicionales sobre la protección de datos en trabajos con acceso remoto y teletrabajo. Así como a los trabajadores que utilizan datos de carácter personal y que han de respetar la política de protección de información establecida por la empresa, adoptando las precauciones para garantizar su confidencialidad, guardándola en los espacios de red habilitados y comunicando de manera inmediata si existen sospechas de que la información ha podido verse comprometida.

Por último, entendemos necesario, a pesar de no haber sido incluido por la AEDP, la necesidad de informar al empleador por parte del trabajador de tener unas patologías previas o circunstancias personales que agraven el riesgo de exposición al virus (personas con infecciones respiratorias crónicas, inmunodeprimidas, hipertensas, con enfermedades cardíacas, diabéticas, mujeres embarazadas, trabajadoras lactantes, etc.). Estas personas trabajadoras pasan a convertirse en grupos de riesgo por ser susceptibles de sufrir mayores consecuencias en su salud ante el coronavirus (art. 25 y 26 LPRL). De hecho, en el Procedimiento de actuación para los Servicios de Prevención de Riesgos Laborales frente a la exposición al Nuevo coronavirus (SARS-COV-2) determina que “en función de sus características personales o estado biológico conocido, debido a patologías previas, medicación, trastornos inmunitarios o embarazo, sean considerados especialmente sensibles a este riesgo”. Por ello, se pasaría a aplicar el principio de precaución[1] para la protección al derecho a la vida y a la integridad física y moral (art. 15 CE) a pesar de que aún no existan amplios conocimientos científicos y técnicos sobre el riesgo concreto[2] del SARS-COV-2. Por lo tanto, implica más un modo concreto de actuar sobre el tratamiento de datos en relación a una protección más efectiva de la seguridad y salud en el trabajo –un juez exime de trabajar a una enfermera por ser grupo de riesgo-.

4.El Big Data y la IA son aliados en tiempos tenebrosos de coronavirus, ¿pero a costa de la privacidad?

La abrumadora capacidad de transmisión y contagio del COVID-19 ha hecho saltar todas las alarmas sanitarias a nivel mundial y sin duda la tecnología no podía faltar para hacer frente al coronavirus – la IA dectectó el brote de la Covid-19 antes de que se hiciera público oficialmente-.

Ante el escenario, España ya se han empezado a desarrollar proyectos sobre el Big Data y la IA (Orden SND/297/2020, de 27 de marzo) para tratar de contener la pandemia. Si es cierto que durante años a nivel mundial se han utilizado para la investigación del cáncer, el ébola, el alzheirmer, el parkinson o la enfermedad de Huntington -el sistema BlueDot, basado en IA, predijo con seis meses de antelación la llegada del virus Zika-, ahora es el turno del Covid-19.

Como consecuencia de ello, debemos distinguir distintas iniciativas para contener el contagio que se han propuesto durante estas semanas por diferentes países de manera oficial. Algunos de ellos podemos clasificarlos de la siguiente manera:

Aplicaciones de cercanía utilizadas en Singapur, China e Israel

Singapur (TraceTogether o PEPP-PT): Identificación de las personas que han estado en contacto mediante el smartphone del usuario por vía Bluetooth. Además, registran todos los smartphones cercanos a un metro de distancia.

China: Identificación de ciudadanos que hayan estado en contacto a través de apps de pago con móviles, pasarelas de pago (Alipay) y apps de servicios de mensajería y llamada gratis (WeChat).

Israel: Comparación de las localizaciones del usuario con datos proporcionados por el Ministerio de Salud de Israel, determinando si la persona en algún momento ha estado en contacto alguien infectado (Hamagen).

Sirve para avisar si la persona ha pasado por algún lugar en el que se ha dado un contagio y se les pide que contacten con las autoridades sanitarias. Además, rastrea y registra a las personas que no siguen las recomendaciones sobre distanciamiento social o que se salten las cuarentenas.

Aplicaciones de control de propagación y de control de cuarentena en Corea del Sur

Apps que solicitan el acceso al GPS del móvil como medio coercitivo por las autoridades.

Los usuarios pueden conocer si han transitado por lugares donde previamente se han detectado casos de COVID-19, incluso la fecha en la que se confirmó el contagio.

Asimismo, sirven a las autoridades para conocer si la persona que se encuentra en cuarentena ha salido de casa.

Empleo del código QR en China

Utilización de apps mediante la lectura de códigos QR como instrumento sancionador o no por las autoridades.

La app asigna un código QR con tres códigos de color –rojo, amarillo y verde- y que determinarán si el ciudadano es libre de moverse por la ciudad o si deberá quedarse en cuarentena.

Utilización de los datos de las operadoras de telefonía, propuesto por la Comisión Europea

Grandes operadoras ceden sus datos para realizar un seguimiento del flujo de movilidad de la población.

Uso de los datos anonimizados y agregados que son proporcionados por las operadoras de telefonía con la finalidad de conocer los movimientos de la población entre territorios para la toma de decisiones.

Aplicaciones de autoevaluación empleadas en Italia, España, etc.

Los usuarios se registran en la app para poder desarrollar una autoevaluación.

Los datos aportados en las apps por los usuarios serán procesados por un sistema y solo estarán a disposición de la autoridad sanitaria.

En España se han establecido, por un lado, el uso de los datos anonimizados y agregados de las operadoras de telefonía –más de 40 millones de teléfonos móviles serán usados para rastrear el coronavirus en toda España-, que permitirá conocer los movimientos de la población, contribuyendo a la toma de decisiones para hacer frente al coronavirus.

Por otro, también, se han implementado las aplicaciones de autoevaluación. Aquellas que han sido impulsadas por diferentes Comunidades Autónomas (CoronaMadrid, Stop Covid19 CAT, Test COVID-19, CoronaTest, entre otras), o bien, la app de autodiagnóstico impulsada por el Gobierno, siendo la más novedosa, AsistenciaCOVID-19.

Éstas últimas son aplicaciones que solicitan de datos personales -el número de teléfono móvil, el dni o el número de la tarjeta sanitaria y la localización, así como la activación o no del GPS- para acceder a la evaluación de síntomas del virus, realizar un seguimiento médico y, en caso de necesidad, dirigir al enfermo al centro sanitario correspondiente. La finalidad última es descongestionar los teléfonos habilitados para realizar autodiagnósticos, además de la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. No obstante, los datos personales solo pueden ser utilizados, únicamente, para el control del COVID-19 – La app y el estudio de movilidad encargados por el Gobierno están supeditados a la privacidad-.

Igualmente, la AEDP recuerda  que la posibilidad que tienen las autoridades sanitarias de la geolocalización a través del teléfono móvil de las personas contagiadas y de su seguimiento de cuarentena, parten de las competencias que se establecen en situaciones excepcionales, como es la presente pandemia y el estado de alarma decretado (Considerando 46 del RGPD) – El Gobierno estudia la posibilidad de aislar a pacientes, incluso de forma obligatoria, en infraestructuras públicas y privadas denominadas arcas de Noé-.

5.El recurrente debate sobre la privacidad en tiempos de crisis.

La privacidad es la gran paradoja de la Protección de Datos y el Big Data. Así lo hemos podido comprobar con China, pasando de ser el principal foco de la pandemia a casi eliminar las infecciones, si bien, renunciando casi por completo a la privacidad de los ciudadanos –China receta “big data” para luchar contra el coronavirus-, algo que en Occidente no parece tarea fácil. De hecho, hace sólo unos meses, noviembre de 2019, se generó un debate sobre el uso del Instituto Nacional de Estadística del Big Data a partir de los datos que les iban a ceder diferente operadoras de telefonía. Esto puede ser debido a que, con carácter general, entendemos que el Big data y la IA responden a un interés eminentemente económico, con la finalidad de promover crecimientos más competitivos, de análisis comercial, etc.[3]

¿Pensamos ahora lo mismo si la cesión de nuestros datos pudiera ayudar en la actual crisis sanitaria? Todo depende de la proporcionalidad y la necesidad. Puede ser muy útil la flexibilización de la privacidad en el tratamiento de los datos personales, pero siempre estimando que es necesaria para lograr el fin, esto es, para gestión de la actual crisis sanitaria. De hecho, la Comisión Europea analiza patrones de movilidad.

Igualmente, la tecnología digital ya se está utilizando por empresas privadas, siendo una práctica habitual. Es el ejemplo de Google, que ha puesto a disposición “informes de movilidad” personalizados por países acerca de cuál es el impacto del COVID-19. Estos datos anónimos agregados trazan las tendencias de movimiento en distintos lugares y mediante los datos personales que guardan en sus servidores, permitiéndoles conocer al detalle qué hacemos –Apple y Google se alían para facilitar que las apps para rastrear el coronavirus estén en todos los móviles-.

En suma, en toda situación de crisis siempre se ha producido una mayor flexibilidad de la privacidad a la hora de adoptar medidas, acelerando un debate que ya estaba latente, solo cambia en función de la situación que nos rodea –el 11S, la lucha contra el terrorismo, etc.-. Por lo tanto, los gobiernos deben ser capaces de aplicar de forma globalizada una transparencia y garantía en la protección y tratamiento de los datos personales, con un sistema de supervisión y control adecuados, dando confianza a la sociedad. Entendemos que, a partir de estos criterios, a mayor y mejor información que se disponga mediante el Big Data y la IA, mejores resultados se obtendrán para hacer frente al coronavirus.

[1] Vid. MUÑOR RUIZ, A.B. Aplicación práctica del principio de precaución o cautela ante el coronavirus, en https://forodelabos.blogspot.com/2020/04/aplicacion-practica-del-principio-de.html

[2] Vid. MOLINA NAVARRETE, C. Usos sociolaborales de “Big Data” e “IA” y principio de precaución: ¿mejoras de eficiencia o riesgo de discriminación?, en https://www.transformaw.com/

[3] Vid. MOLINA NAVARRETE, C. Usos sociolaborales de “Big Data” e “IA” y principio de precaución: ¿mejoras de eficiencia o riesgo de discriminación?, en https://www.transformaw.com/