La pandemia afectó las formas en las que interactuamos, impulsando significativamente la transición de las relaciones humanas al entorno en línea, resultando en un procesamiento aún más frecuente de los datos personales y una maduración del uso de nuevas plataformas que podrían sustentar este nuevo modelo basado en cuarentena y distanciamiento social. Esta realidad, entre muchos otros impactos, requirió que organizaciones de todo el mundo acelerarán la adaptación de procesos al uso de soluciones tecnológicas, en el proceso conocido como transformación digital. Parte de esta demanda se dirige especialmente a la operacionalización del régimen de teletrabajo. Los problemas relacionados con la privacidad fueron parte de los muchos desafíos de este nuevo escenario.

Actualmente, casi dos años después de la identificación del primer caso de COVID–19 en China, el avance de la vacunación a nivel global ha permitido, en algunas regiones del mundo, la transición paulatina de los empleados al modelo híbrido (presencial y remoto) o en persona. Como forma de proteger a la comunidad y garantizar la seguridad en el ambiente laboral, las empresas han adoptado acciones de control para prevenir la proliferación y contagio del COVID–19. Estas medidas preventivas están asociadas con la detección de síntomas, como medir la temperatura corporal, realizar pruebas de infección—como RT–PCR—y el requisito de presentación de cartillas de vacunación por parte de los empleados.

En general, estas actividades profilácticas representan la recopilación relevante de datos personales, especialmente datos de salud personal, considerados datos personales sensibles en la mayoría de las regulaciones de protección de datos personales. Por tanto, la vuelta al trabajo presencial trae consigo nuevas cuestiones relacionadas con la protección de datos personales, lo que obliga a las organizaciones a adoptar algunas medidas para proteger la privacidad de los empleados.

BASE LEGAL 

La mayoría de las normas de protección de datos exigen que el tratamiento de los datos personales tenga una base legal, es decir, que exista una justificación para el uso de determinada información personal y que se corresponda con las hipótesis previstas en la legislación. En Brasil, la Ley General de Protección de Datos Personales (LGPD) establece 10 bases legales para los datos personales (enumerados en los ítems del artículo 7 de la Ley) y 7 bases legales (las indicadas en el artículo 11 de la Ley) para los datos sensibles. Las hipótesis en las que la LGPD permite el tratamiento de datos personales sensibles son más restringidas que las generalmente aplicables a los datos personales. Esta limitación se hace evidente cuando se observa que importantes bases legales pueden hacer posible el tratamiento de datos personales en general, como el interés legítimo, pero no son aplicables al tratamiento de datos personales sensibles. Este es el primer aspecto por considerar al implementar medidas de control que involucran datos de salud personal.

Entre las bases legales aplicables al procesamiento de datos sensibles en el contexto brasileño, se encuentra el consentimiento. En las relaciones laborales, la adopción del consentimiento no siempre es la mejor forma, considerando que tiene como una de sus características ser libre. En la relación empleador-empleado, existe un margen de cuestionamiento relevante respecto al hecho de que esta relación muchas veces no permite al titular dar su consentimiento a una determinada situación de procesamiento de datos, lo que puede significar la anulación del consentimiento. Además, el consentimiento, al ser susceptible de denegación y revocable, puede imposibilitar la aplicación de medidas preventivas, que muchas veces deben ser obligatorias, en riesgo y no efectivas.

En este contexto se pueden considerar otras bases legales, como el cumplimiento de una obligación legal o regulatoria. En Brasil, existen varias disposiciones en el ámbito laboral que exigen al empleador salvaguardar la salud y seguridad en el trabajo de sus empleados, lo que puede representar una base legítima para las actividades de control y combate de COVID–19. Como otra alternativa, existe una base para el ejercicio regular de derechos, incluso en un contrato, que es una innovación de la ley brasileña. En este último caso, que aún necesita ser regulado e interpretado, se podría entender que salvaguardar la salud del ambiente laboral es un derecho del empleador.

La legislación brasileña también establece las bases legales para proteger la vida y proteger la salud, pero su contenido y líneas generales aún no están bien definidos. Considerando la interpretación probablemente más restrictiva de la aplicación de estas hipótesis autorizadoras, como ocurre en el contexto europeo, tienen una aplicación limitada en situaciones asociadas a la reincorporación al trabajo. 

MEDIDAS A TOMAR

Además del cuidado que representa la adopción y elección de la base legal, se debe analizar y respetar los principios establecidos por la LGPD, en particular los principios de necesidad, finalidad, adecuación, transparencia, prevención, seguridad y no discriminación.

En cuanto a la necesidad, debe existir la preocupación de recolectar únicamente los datos necesarios para la ejecución de la actividad propuesta, así como asegurar que exista un tiempo específico para el almacenamiento de esta información por parte de la empresa. Asimismo, dichos datos únicamente deben utilizarse para las finalidades asociadas a la realización de acciones preventivas.

En materia de seguridad y prevención, es importante adoptar medidas técnicas y administrativas para proteger los datos personales del acceso no autorizado y de situaciones accidentales o ilegales de destrucción, pérdida, alteración, comunicación o difusión de los datos recabados. Estos controles deberían incluir, por ejemplo, restringir el acceso a la información y el almacenamiento seguro (si existe tal retención). Todo este trabajo debe considerar los detalles del procesamiento, especialmente en relación con los datos personales sensibles.

También es importante que dicha información no sea utilizada de forma discriminatoria por parte del empleador y que se adopte un modelo de transparencia (que se puede estructurar, por ejemplo, en un formato de aviso de privacidad), para que el titular pueda tener la información principal en relación con ese tratamiento de datos personales (por ejemplo, qué datos personales se recopilarán, con qué fines, con quién se compartirán, quién es el controlador en ese contexto y cómo pueden acceder a sus derechos en virtud de la legislación).

Es esencial que haya diligencia en la elección de los terceros involucrados, como los laboratorios que realizan la recopilación y análisis de datos personales de los exámenes COVID–19. En estos casos, también se requieren algunas medidas adicionales, con énfasis en las cláusulas o instrumentos contractuales correspondientes, que deben suscribirse con estos terceros.

Es importante resaltar que las diversas formas de prevención contra COVID 19 por parte de los empleadores al regresar a los modelos híbridos y presenciales pueden variar. En este sentido, como ocurre con cualquier análisis de privacidad y protección de datos, el alcance de interpretación de los riesgos y ajustes necesarios debe ser contextual. Con carácter general, la elaboración de un informe de impacto de protección de datos personales, que está previsto en la LGPD de forma similar al modelo europeo, es un medio adecuado para analizar y registrar los riesgos asociados e indicar las medidas de mitigación correspondientes, de acuerdo con los detalles de cada acción profiláctica planificada.

Es cierto que controlar la transmisión de una enfermedad en un contexto pandémico y cuidar la salud de los empleados son propósitos legítimos, imprescindibles para cualquier organización. Sin embargo, siempre es importante tener en cuenta que la protección de datos personales es también un derecho a estar protegido y que el ordenamiento jurídico asociado a él permanece vigente y debe ser respetado. Por ello, es fundamental que los empresarios, incluso cuando promuevan medidas de salud, tengan un estricto cuidado en relación con la privacidad de sus empleados.