Informes AEPD – Especial COVID-19

 

Esta semana queremos detallar el uso y tratamiento de datos sensibles por parte del empresario y más medidas que puede aplicar para garantizar la seguridad de los datos en base a los informes emitidos por parte de la AEPD.

La Agencia de Protección de Datos en un nuevo informe sobre el coronavirus, da respuesta a las preguntas habituales que estos días los empresarios se están haciendo y que pasamos a comentar:

¿Cómo obtener los datos para conocer si la persona trabajadora está infectada de COVID-19 o no?

Para averiguar si el trabajador/a está contagiado/a o debe permanecer en cuarentena, podemos hacer preguntas exclusivamente dirigidas a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena.

Para poder tratar los datos mencionados, debemos aplicar el principio de minimización, es decir, que no debemos hacer circular cuestionarios de salud extensos y detallados o que incluyan preguntas no relacionadas con la enfermedad.

¿Se pueden comunicar los datos de las personas infectadas?

Deberemos anonimizar los datos de la persona infectada para mantener su privacidad, ya que divulgando la existencia de un contagio nos ayudará a alcanzar la finalidad de protección de la salud del personal.

Ahora bien, si con el procedimiento anterior las autoridades sanitarias creen que no puede conseguirse la finalidad de proteger la salud del personal, podría ser necesario proporcionar la información identificativa.

¿Se pueden pedir a los visitantes o trabajadores datos sobre países visitados afectados por el coronavirus o sobre si tienen síntomas relacionados?

Está justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito en base a la obligación legal de los empleadores de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios.

No debemos olvidar que la solicitud de datos debe cumplir siempre con los principios de proporcionalidad y minimización. Así que, no hacer circular cuestionarios de salud extensos y detallados o que incluyan preguntas no relacionadas con la enfermedad.

Si el trabajador está o puede estar afectado por el COVID-19, ¿debe comunicarlo al empleador?

Si el trabajador está infectado o tiene contacto con alguien que lo esté, en cumplimiento de las normas sanitarias deberá mantener el aislamiento preventivo adecuado. Por tanto, deberá comunicarlo al empleador y al servicio de Prevención de Riesgos Laborales o al Delegado de Prevención.

En la situación en la que estamos y primando la protección de la salud del colectivo de trabajadores y de la sociedad en situaciones de pandemia, aunque el trabajador esté de baja se aplica la necesidad de protección de la salud, por lo cual se debe comunicar la razón de la baja.

¿El empleador puede tomar la temperatura?

La vigilancia de la salud de los trabajadores, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y por tanto, es una medida que puede llevarse a cabo y si se realiza, debería ser hecha por personal sanitario.

Recordemos que la finalidad principal es contener la propagación del Covid-19 y que por tanto el tratamiento de estos datos deberá limitarse a esa finalidad y no extenderse a otras distintas. Los datos deberán mantenerse no más del tiempo necesario para la finalidad mencionada.

Timos aprovechando el contexto

A pesar de todo lo comentado y de la gravedad del asunto, hay gente que aprovecha el estado de miedo que vivimos por la situación actual utilizando técnicas de ingeniería social como el timo del phishing. El Phishing es un método a través del cual los ciberdelincuentes obtienen información confidencial y pueden hacerse pasar por otra persona.

En el momento actual, los ciberdelincuentes tratarán de suplantar organizaciones como el Ministerio de Sanidad, una Consejería de Sanidad de una Comunidad Autónoma, Fuerzas del Orden, Organizaciones Internacionales, etc. con información relevante sobre el COVID-19, simulando prestar ayuda y consejo o incluso fingiendo ser el CEO de la empresa en la que trabajamos y conseguir así que les demos nuestros datos personales, y utilizarlos posteriormente para cometer algún ciberdelito.

Por ello, queremos ofreceros una serie de recomendaciones ante este tipo de fraude:

No abrir whatsapps o emails que nos hagan sospechar:

Estos pueden contener un enlace, por ejemplo, que al abrirlo se descarga y ejecuta un archivo adjunto con un malware que permite al ciberdelincuente tomar el control del dispositivo y acceder a los datos de la empresa, cifrándolos o accediendo de forma ilegítima a datos sensibles; o contener un enlace que nos lleve a una página web, en apariencia verdadera, que capte nuestras credenciales y suplante nuestra identidad, pudiendo acceder de esta forma a las aplicaciones empresariales que estemos usando o a nuestra información personal, como el número de la seguridad social o datos bancarios.

No dar datos de salud:

No dar datos de salud en páginas webs o apps que ofrecen ayuda y servicios para auto evaluar y aconsejar en relación con el coronavirus y no son oficiales. Además de haber fraudes vía email o whatsapp, también se han creado aplicaciones móviles y páginas web no oficiales. Debemos mirar si en esta página o aplicación se identifica al responsable del tratamiento y si informan sobre las finalidades de uso de los datos de salud que podamos poner.

Más consideraciones a tener en cuenta:

  • Obtener la información de fuentes oficiales y confiables directamente en la web institucional, no a través de un enlace.
  • Verificar la dirección del correo electrónico que remita el mensaje.
  • Sospechar de mensajes con faltas de ortografía, errores gramaticales y saludos genéricos sin aportar ningún dato tuyo.
  • Sospechar si el contenido del mensaje contiene “urge” o “urgencia” injustificada.
  • Sobre todo, actuar con calma y reflexionar antes de realizar alguna decisión llevada a cabo por el miedo. 

Comunicado de AEPD

Asimismo, la propia AEPD ha emitido un comunicado (lo podéis encontrar aquí) donde se nos advierte a toda la ciudadanía de los riesgos que implica el facilitar nuestra información sensible, como la de salud, a las webs y apps que están proliferando donde nos solicitan información personal y de salud, para ofrecernos ayuda y servicios para auto evaluar y aconsejar en relación con el coronavirus.

Estas webs y apps, incluso en aquellos casos en los que parece que nuestra identidad como usuario no queda reflejada, pueden llegar a determinar quiénes estamos detrás como usuario a la hora de utilizar dicha app o web.

La Agencia, según dice en este comunicado, ha podido constatar que algunas de estas páginas web y apps no informan a los responsables de los mismos, ni incluyen las finalidades para las que podrían tratarse los datos. A ello se suma que se han detectado casos en los que se suplanta al Ministerio de Sanidad.

La Agencia va a iniciar actuaciones de investigación para constatar estos tratamientos ilícitos de datos personales, identificar a sus responsables e imponerles en tal caso importantes sanciones económicas.

Estaremos muy pendientes de toda la información que vaya saliendo al respecto y os mantendremos informados.

Cuando está en riesgo nuestra salud y la de todos, debemos ponernos más alerta que nunca ante posibles situaciones de riesgo, tanto de nuestra información personal como de nuestro día a día.

#QuédateEnCasa