Background
La Autoridad Nacional de Protección de Datos Personales[1] es ejercida por La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales[2].
La Autoridad Nacional de Protección de Datos Personales, que depende jerárquicamente del Despacho Viceministerial de Justicia del Ministerio de Justicia y Derechos Humanos, tiene como principal función garantizar el derecho fundamental de protección de datos personales.
El Ministerio de Salud (en adelante MINSA) mediante Resolución Ministerial Nº 239- 2020-MINSA, de fecha 28 de abril de 2020, aprobó el documento técnico “Lineamientos para la vigilancia de la salud de los trabajadores con riesgo de exposición a COVID-19” que tiene como finalidad contribuir a la prevención de contagio de esta enfermedad en el ámbito laboral tanto público como privado y que incluye instrumentos para recoger datos sensibles de los trabajadores a efectos controlar el riesgo de contagio de coronavirus en los centros de trabajo.
Mediante Decreto Supremo N° 080-2020-PCM, de fecha 3 de mayo de 2020, se aprobó la reanudación de actividades económicas en forma gradual y progresiva dentro del marco de la declaratoria de Emergencia Sanitaria Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del COVID-19.
Tratamiento de datos de salud durante la pandemia en el ámbito laboral
La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) emitió la Opinión Consultiva N° 32-2020-JUS/DGTAIPD el 05 de mayo de 2020 a partir de una serie de consultas sobre el tratamiento de datos personales de los trabajadores en el contexto de la pandemia COVID-19.
Los datos personales son toda información que permite identificar a una persona natural o la hace identificable. Asimismo, estos datos, al estar estrechamente vinculados con la intimidad de la persona, pueden ser datos sensibles como por ejemplo: Datos biométricos, origen racial y étnico, ingresos económicos, opiniones o convicciones políticas, religión, afiliación sindical, toda información relacionada con la salud o la orientación sexual.
Para el tratamiento de estos datos, entendido como “Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”[3]debe mediar el consentimiento de su titular. De conformidad con el Reglamento de la Ley de Datos Personales “el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones deberá manifestarse en forma expresa y clara”[4].
No obstante, debido a que el ejercicio del derecho fundamental de protección de datos personales no es absoluto, la Ley de Protección de Datos Personales desarrolla una serie de excepciones[5]:
(…)
- Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
- Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
- Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de tratamiento de datos personales.
En tal sentido, el tratamiento de la información sobre los datos de salud se sostiene en el cumplimiento de una obligación legal. La Ley de Seguridad y Salud en el Trabajo[6], dispone lo siguiente:
Artículo 49. Obligaciones del empleador El empleador, entre otras, tiene las siguientes obligaciones:
- a) Garantizar la seguridad y la salud de los trabajadores en el desempeño de todos los aspectos relacionados con su labor, en el centro de trabajo o con ocasión del mismo.
- b) Desarrollar acciones permanentes con el fin de perfeccionar los niveles de protección existentes.
- c) Identificar las modificaciones que puedan darse en las condiciones de trabajo y disponer lo necesario para la adopción de medidas de prevención de los riesgos laborales (…)”.
Es deber del empleador la protección de los trabajadores garantizando la seguridad y salud. Por tanto, de conformidad con “Los Lineamientos para la vigilancia de la salud de los trabajadores con riesgo de exposición a COVID-19” deberá, a través del profesional de salud del servicio de seguridad y salud en el trabajo, gestionar el control de temperatura corporal de todos los trabajadores al ingreso, además de aplicar pruebas serológicas o molecular para COVID-19 a todos los trabajadores que regresan o se reincorporan a puesto de trabajo con “muy alto riesgo”, “alto riesgo” y “mediano riesgo” de exposición a dicha enfermedad.
Finalmente, la tercera excepción hace referencia a la protección de los intereses de salud del titular del dato personal a través del encargado del tratamiento de este.
En tal sentido, si bien es cierto que no se necesita el consentimiento sobre el tratamiento de estos datos, el empleador deberá respetar los principios de finalidad[7], proporcionalidad[8], calidad[9] y seguridad[10] conforme lo señala la Ley de Protección de Datos Personales.
Conclusiones
Uno de los principios rectores del tratamiento de datos personales es el consentimiento. No obstante, existen una serie de excepciones necesarias para proteger otros derechos e intereses de igual o mayor relevancia.
De este modo, la situación de la pandemia Covid-19 se sitúa como una excepción del tratamiento de datos sensible, así como también la obligación normativa de seguridad y salud en el trabajo y la protección del legítimo interés del titular del dato personal.
Finalmente, es importante tomar en consideración que el tratamiento de datos sensibles sin excepción por la pandemia Covid-19 deberá seguir los demás preceptos establecidos en la normativa, en particular los principios de finalidad, proporcionalidad, calidad y seguridad.
[1] Ley de Protección de Datos Personales – Ley No. 29733
[2] Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses – Decreto Legislativo No. 1353
[3] Artículo 19 Ley de Protección de Datos Personales – Ley No. 29733
[4] Artículo 7 del Reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales – Decreto Supremo No. 003-2013-JUS
[5] Artículo 14 Ley de Protección de Datos Personales – Ley No. 29733
[6] Ley Nº 29783, Ley de Seguridad y Salud en el Trabajo
[7] Artículo 6. Principio de finalidad
Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
[8] Artículo 7. Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
[9] Artículo 8. Principio de calidad
Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.
[10] Artículo 9. Principio de seguridad
El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
Alejandro Castro Angulo
Abogado – Director General