Skip to content Skip to footer
Search

Loading Results

Equilibrio entre la privacidad de los empleados, salud y salud pública

La fórmula para evaluar el impacto en la privacidad de la respuesta de los empleadores frente al COVID-19

La privacidad de los empleados podría ser un gigante dormido en la pandemia del COVID-19. Es previsible que los empleados de cualquier parte del mundo, preocupados por sus puestos de trabajo y por sus seres queridos, cooperen con las medidas consistentes en exámenes médicos, y de seguimiento de su salud, que pudieran ser adoptadas por sus empleadores. Pero ¿son todas las medidas lícitas?

Actualmente nos encontramos ante una carrera de obstáculos a nivel legislativo. Los gobiernos de diferentes partes del mundo han emitido más de 60 directrices sobre el tratamiento de datos personales en el entorno del COVID-19.

Ante esta situación, ¿cómo pueden las empresas proporcionar un lugar de trabajo seguro a sus empleados de manera que sea defendible ante las autoridades competentes en materia privacidad? Una opción es llevar a cabo evaluaciones de impacto en la privacidad (PIAs). En este informe, mostraremos cómo se puede evaluar la afectación a los datos personales de los empleados, mediante ejemplos prácticos, durante las fases de movilización, estabilización y de idear estrategias frente a la crisis del COVID-19.

Resumen de los requisitos en materia de privacidad relativos a la respuesta durante la pandemia por parte de las empresas de determinados territorios

Movilización:

Durante la fase de movilización de la pandemia del COVID-19, las compañías observaron un cambio en la forma de trabajar de sus empleados, ya que millones de trabajadores tuvieron que empezar a teletrabajar, y recibieron los primeros resultados positivos en COVID-19 de algunos de ellos. ¿Qué hemos aprendido sobre la posibilidad de ofrecer un entorno laboral seguro, minimizando, al mismo tiempo, el impacto en la privacidad de los empleados durante esta fase de la pandemia?

Más información


Estabilización:

Durante la fase de estabilización de la crisis, empresas alrededor el mundo se enfrentan a un mismo reto: una disminución de la energía, el ánimo y la productividad de sus trabajadores como resultado de altos niveles de angustia. ¿Qué alternativas tienen las empresas para medir y gestionar esta nueva realidad sin causar más ansiedad a los empleados, ni incumplir la normativa aplicable en materia de protección de datos?

Más información


Idear estrategias:

Cuando las tasas de infección de COVID-19 disminuyan y los gobiernos comiencen a levantar las restricciones derivadas del confinamiento, es probable que las empresas se tengan que enfrentar a un nuevo reto: proporcionar un entorno de trabajo seguro a medida que los empleados regresen a sus oficinas. ¿Qué opciones tendrán para examinar y realizar un seguimiento de los posibles contagios de los trabajadores de la manera menos invasiva, y paralelamente cumplir con todas las diferentes normativas aprobadas a nivel global?

Más información

Movilización: Minimización del impacto en la privacidad durante la gestión de los primeros contagios

Como ha ocurrido con infinidad de cuestiones en el contexto de la pandemia del COVID-19, las empresas no estaban preparadas. Este hecho quedó patente con las fórmulas adhoc que gran parte de las compañías utilizaban para dar instrucciones a aquellos empleados que suponían un riesgo para los demás, así como para informar a las personas que podrían haber estado en una situación de riesgo, y con los esfuerzos realizados para contener la pandemia.

Las directrices en materia de protección de datos personales en el entorno del COVID-19 emitidas por las distintas autoridades de control (de los países a los que hacíamos referencia en nuestra encuesta) identifican los elementos clave que analizarán en futuros procedimientos de respuesta a una pandemia. Estos elementos son los siguientes:

  • Adaptar el máximo posible los cuestionarios de salud. Varios países— incluyendo España, Australia, Bermudas, Canadá, Chipre, Estonia, Alemania, Gibraltar, Irlanda, Lituania, Filipinas y el Reino Unido — exigen restringir la recogida, utilización y divulgación de información personal al mínimo necesario para prevenir y gestionar el COVID-19. En las versiones iniciales de los cuestionarios se preguntaba a los empleados si habían viajado a China, Italia o a Corea del Sur, si habían estado en contacto con alguien infectado, o si habían tenido algún síntoma de la enfermedad.
  • Designar personas autorizadas a manejar estos cuestionarios. Bélgica, Croacia, Hungría, los Países Bajos, Rumanía y España recomiendan o incluso exigen que sea personal sanitario quien se encargue de realizar las pruebas. Otros países, como Colombia, Finlandia y Georgia, requieren un equipo de intervención dedicado a la correcta realización de las pruebas y así minimizar las divulgaciones.
  • Informar a los empleados evaluados sobre sus derechos. En algunos países, como Austria, los empleados pueden oponerse a que se revele la información sobre su estado. Otros, como Suiza y Uruguay, requieren el consentimiento de los empleados. . No obstante, en otros países, como Letonia, los empleadores pueden informar a la policía si los trabajadores no cumplen con las órdenes de confinamiento.
  • Sin perjuicio de ello, debemos recordar que en los países pertenecientes al Espacio Económico Europeo, los responsables del tratamiento deberán cumplir con deber de información a los interesados, de conformidad con lo establecido en el Reglamento General de Protección de Datos (RGPD).
  • El equipo de intervención no debe revelar los nombres de las personas que den positivo en las pruebas. En la mayoría de los países que disponen de normativa en materia de protección de datos, como México, Nueva Zelanda y Estados Unidos (EE.UU.), no se debe informar de la identidad de aquellos empleados que den positivo en una prueba para detectar una enfermedad contagiosa a los equipos directivos ni al resto de trabajadores. En países como Dinamarca, cuando sea necesario informar a los equipos de trabajo de la baja de un empleado, no se debe informar del motivo de la baja o de la cuarentena.

En España, la Agencia Española de Protección de Datos ha establecido que, sí es posible alcanzar la finalidad de protección de la salud del personal de una empresa divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa.

Excepciones a los requisitos nacionales en materia de privacidad
 

Movilización: Transición al teletrabajo

 

Problema clave del negocio

  • Transición segura de los empleados de sus oficinas, de las oficinas de los clientes o de sus vacaciones a sus domicilios.

 

Potenciales nuevos tratamientos de datos

  • Dificultades de movilidad de los trabajadores y dificultades técnicas del teletrabajo.
  • Oleada inicial de informes de infecciones y rastreo de contactos.
 

Actividades de tratamiento de datos

  • Informes verbales.
  • Encuestas realizadas con software.
  • Monitorización técnica.
 

Riesgos para la privacidad

  • Recopilación de datos desproporcionada: Análisis del estado de salud de los empleados mediante preguntas excesivamente generales, revelando información innecesaria y sensible.
  • Divulgación excesiva de datos personales: Revelar los nombres de aquellas personas que den positivo en las pruebas del COVID-19 a personas que no forman parte del equipo de intervención designado.
  • Almacenamiento no seguro de los datos: Almacenamiento de exámenes médicos e información de los miembros de una familia en correos electrónicos o en unidades compartidas.
 

Ejemplos de pronunciamientos de las autoridades competentes de diferentes países o previsiones normativas

  • Estados Unidos restringe las pruebas médicas a empleados que pudieran dar como resultado información médica protegida; Vietnam permite a los empleadores informar internamente de cualquier posible peligro en el lugar de trabajo; China ordena que se informe de los nombres de los empleados que presentan síntomas de COVID-19; España, por su parte, establece que se deben adoptar las medidas que establezcan las autoridades competentes, incluidas las relativas a la implementación de las medidas que aseguren el derecho a la protección de la salud del resto del personal en plantilla para evitar contagios o propagación de la enfermedad al conjunto de la población.
 

Minimización del impacto en la privacidad

  • Aviso: Antes de la próxima pandemia, facilitar a los empleados, de forma completa y repetida, información sobre la recopilación, almacenamiento, protección y comunicación de sus datos en el contexto de una crisis.
  • Minimización de datos: Realización de encuestas anónimas y promover entre los empleados la utilización de las líneas habilitadas para la prestación de ayuda; únicamente debería tener conocimiento de la identificación de las personas infectadas el equipo de intervención y las autoridades competentes.
  • Consentimiento: No cumplimentación de las encuestas opcionales a menos que lo exija la normativa aplicable.
  • Seguridad: Almacenar datos de las pruebas de detección de enfermedades en sistemas de acceso restringido.
 

Estabilización: Minimización del impacto en la privacidad de los empleados de la monitorización de su productividad

"¿Cómo estás?" Esta pregunta se ha realizado millones de veces en todo el mundo, ya que los superiores jerárquicos de las empresas se conectan con sus equipos para apoyarlos en estos momentos especialmente complejos. No obstante, ¿qué ocurre con aquellas cuestiones más específicas? ¿Hasta qué punto pueden las empresas recoger, de forma sistemática, información sobre el ánimo de los empleados o monitorizar su productividad?

La respuesta depende de los detalles de la monitorización, así como el lugar en el que se lleva a cabo. Por ejemplo:

  • Las compañías en la mayoría de los países de Oriente Medio, así como de Brasil, China, Chipre, Singapur y Estados Unidos, pueden exigir a sus empleados que permitan la monitorización de su productividad. En cambio, en Rusia, se permite siempre que sea voluntario.
  • Los empleadores en Colombia y Estados Unidos pueden exigir a sus empleados que cumplimenten una encuesta nominativa sobre su grado de energía, así como de confianza en la empresa. En cambio, en Australia, Brasil, Canadá, República Checa y Alemania las encuestas nominativas deben ser voluntarias. En Francia, Hong Kong, India, Italia, Sudáfrica el Reino Unido y España, la participación debe ser siempre voluntaria y anónima.
Monitorización de la productividad de los empleados
 

Estabilización: optimizar el teletrabajo

Problema clave del negocio

  • Mantener la energía, la moral y la productividad de los empleados que teletrabajan.

Potenciales nuevos tratamientos de datos

  • Estado de los empleados: salud mental y física, responsabilidades de cuidado de niños y ancianos, y productividad del teletrabajo.

Tratamientos de datos

  • Informes verbales.
  • Encuestas basadas en software.
  • Monitorización técnica.

Riesgos para la privacidad de las personas

  • Recogida de datos desproporcionada: Los riesgos sin precedentes del COVID-19 y el teletrabajo puede llevar a los empleadores a utilizar medios técnicos o de otro tipo que no habrían utilizado en la oficina para inferir en la productividad de sus trabajadores o en otras capacidades personales relacionadas.
  • Inseguridades derivadas del teletrabajo: Los miembros de la familia y compañeros de piso podrían escuchar conversaciones confidenciales y acceder a dispositivos del trabajo, así como a documentación impresa.

Ejemplos de pronunciamientos de las autoridades competentes de diferentes países o previsiones normativas

  • En España, la Agencia Española de Protección de Datos ha publicado una serie de recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo.
  • EE. UU. establece que el empleador es responsable de lo que realicen los empleados en sus domicilios particulares.

Minimización del impacto en la privacidad

  • Minimización de datos: Anonimizar encuestas y preguntas relacionadas con la gestión de la capacidad de trabajar; limitar la monitorización de la productividad a casos anómalos cuando otros indicadores sugieren limitaciones en la capacidad de trabajar.
  • Seguridad: Proporcionar a los trabajadores orientaciones claras y específicas con relación a seguridad durante el teletrabajo, incluido el acceso a espacios, dispositivos y documentos relacionados con el trabajo; alertas relativas a estafas a través de phishing relacionadas con el COVID-19; y el uso seguro del software o aplicaciones utilizadas para mantener reuniones online.

Idear estrategias: Mitigación del impacto en la privacidad de los pasaportes sanitarios, las tomas de temperatura y el rastreo de contactos

A medida que la pandemia causada por el COVID-19 disminuye, los empleadores deberán establecer la manera en que los empleados regresarán a sus puestos de trabajo, así como la manera de gestionar las visitas de contratistas, clientes y otros posibles visitantes a sus oficinas, con el fin de mantener un lugar de trabajo seguro. Algunas empresas se están planteando exigir un "pasaporte sanitario" —una certificación de un facultativo sanitario que establezca que el titular ha dado negativo en COVID-19 o no ha presentado síntomas recientemente— para permitir el acceso a las instalaciones de la empresa. Este sistema puede funcionar en países en los que la normativa de protección de datos permita a los empleadores recoger datos personales de sus empleados a través de diversos medios —y sin el consentimiento de los empleados— durante situaciones de emergencia pública o de emergencia sanitaria que amenacen la vida, la salud o la seguridad de las personas.

Muchas empresas también están sopesando los pros y los contras de establecer puntos de toma de temperatura en algunas o en todas las entradas a sus instalaciones. No obstante, es probable que las multinacionales se enfrenten a dificultades para adoptar una misma posición en todo el mundo. En este sentido, de acuerdo con los resultados de la encuesta realizada a los especialistas en materia de privacidad de PwC de 47 países diferentes:

  • En España, se permite, entre otras medidas para garantizar la salud y evitar contagios, la toma de temperatura en el ámbito de las medidas de vigilancia de la salud de los trabajadores, que debería ser realizada por personal sanitario. No obstante, los datos recogidos a través de las tomas de temperatura deberán respetar la normativa aplicable en materia de protección de datos, y limitarse a lo que sea necesario para adoptar las medidas pertinentes para contener la propagación del coronavirus y conservarse únicamente durante el tiempo necesario para la finalidad de emergencia sanitaria.
  • En China, la Ley de Prevención de Enfermedades Contagiosas requiere que los empleadores informen debidamente a las autoridades sanitarias chinas sobre los casos de infección de una enfermedad contagiosa confirmados, así como de los casos sospechosos de haberse contagiado. Por tanto, los empleadores están obligados a realizar tomas de temperatura de forma regular y frecuente a sus empleados y a los que visiten las instalaciones de la empresa. Asimismo, también pueden exigir a los empleados que informen de cualquier problema de salud a un equipo designado para mantener la seguridad en el lugar de trabajo.
  • En Eslovaquia, las mediciones de temperatura han pasado a ser obligatorias en todas las entradas a los lugares de trabajo; en cambio, en otros Estados miembros de la UE, como Francia e Islandia, los empleadores pueden realizarlos, pero no pueden exigirlos.
  • Rusia exige a los empleadores que notifiquen a sus empleados de cualquier uso que se haga de imágenes térmicas, y éstas deben ser destruidas en el plazo de 24 horas.
  • En Estados Unidos, la Comisión de Igualdad de Oportunidades en el Empleo publicó recientemente una guía que permite las tomas de temperatura durante una pandemia generalizada con el fin de ayudar a identificar las personas con temperaturas generalmente asociadas con los virus.
  • Luxemburgo prohíbe los controles diarios de temperatura y la recopilación sistemática de síntomas de salud de los empleados.

El rastreo de contactos a través de aplicaciones móviles pronto llegará a muchas personas de una manera u otra. Diferentes versiones procedentes de gobiernos, empleadores y fabricantes de teléfonos móviles son ofrecidas a los empleados para su uso en dispositivos personales y corporativos que utilizan para trabajar. Todas ellas se basan en la misma idea: notificar a los usuarios de la aplicación si han estado cerca de otro usuario que haya dado positivo en la prueba del COVID-19, o que muestre síntomas de la enfermedad. En el caso de que este supuesto tenga lugar, estaría justificado que el usuario que recibe la notificación se aísle y que se le haga la prueba del COVID-19. Muchos agentes del sector sanitario ven estas soluciones como una herramienta importante para que los empleados de todo el mundo puedan volver a sus puestos de trabajo de forma segura, siempre y cuando una mayoría de la población opte por instalarse una de estas aplicaciones.

Pero ¿cuál es la forma más respetuosa con la privacidad de las personas que tienen las empresas para lanzar la versión corporativa de una aplicación basada en el rastreo de contactos? Estas son algunas recomendaciones que los responsables en materia de protección de datos de las compañías deben abordar a la hora de llevar a cabo las Evaluaciones de Impacto relativas a la implementación de estas soluciones:

  • Conseguir la implicación de los trabajadores. Los empleadores necesitan que un alto porcentaje de los empleados que vuelvan a las oficinas se descarguen la aplicación; lleven el teléfono consigo mientras se encuentren en la oficina; se hagan la prueba si aumentan sus factores de riesgo; e informen internamente si obtienen un resultado positivo en la prueba del COVID-19, a sabiendas de que tendrán que pasar otra cuarentena. Es posible que los empleadores no necesiten adoptar una postura impositiva para lograr ese objetivo, siempre y cuando informen a sus empleados de manera clara y recurrente acerca del funcionamiento de la aplicación, apelando al interés del trabajador en ayudar a crear un lugar de trabajo seguro y productivo para todos.
  • Mantener los datos de geolocalización anónimos y cifrados. Los empleados deberían poder confiar en que sus empleadores, compañeros de trabajo, vecinos y hackers no van a poder rastrear su ubicación mientras usen la aplicación. Algunas versiones de estas aplicaciones lo consiguen mediante la desidentificación de los datos de ubicación de un dispositivo y cifrándolos en el propio dispositivo, no en un servidor de la empresa. Es necesario que los responsables de protección de datos investiguen y comprendan estas tecnologías y flujos de datos como parte de su Evaluación de Impacto.
  • Obtención de la información por parte de las autoridades gubernamentales. Los empleadores deberían ejercer todos los derechos disponibles para mantener la confidencialidad de los datos de sus empleados con el fin de que éstos confíen en la aplicación y lograr así resultados positivos para todos los involucrados. Sin embargo, la autoridad española de protección de datos establece que se podría trasladar la información a las autoridades competentes, en particular a las sanitarias, a requerimiento de éstas.
  • Establecer que todo sea temporal. Para cumplir con el principio de proporcionalidad al que hacen referencia las diferentes normativas en materia de protección de datos alrededor del mundo, la aplicación y todos los datos asociados a ella se deben eliminar una vez que se vuelva a una situación de riesgo de contagio aceptable, que haya sido predefinida y comunicada o cuando los mismos no sean ya necesarios para el fin legítimo, esto es, evitar el contagio. Los empleadores no podrán usar estos datos para otros fines no relacionados con la gestión del COVID-19.

En el caso de España, la información recabada en relación con la gestión de la pandemia debe tratarse de acuerdo con el principio de proporcionalidad y limitarse exclusivamente a obtener información relacionada con la enfermedad, limitada al ámbito temporal relativo al periodo de incubación o a la existencia de síntomas.

Los empleadores pueden desempeñar un papel único en el ecosistema de la monitorización de los contactos a través de aplicaciones. Como empleadores, pueden tener una relación diaria y más influyente con sus empleados que los fabricantes de sus teléfonos o los organismos gubernamentales. Las compañías pueden explicar a sus empleados su funcionamiento y diseñarlo de manera que respete sus derechos y libertades, así como proporcionarles un feedback muy relevante.

Una multinacional que se plantee implantar una solución de este tipo deberá tener siempre en cuenta su privacidad desde el diseño y por defecto, y llevar a cabo una Evaluación de Impacto en materia de protección de datos, que tenga en cuenta las circunstancias de los diferentes países en los que tenga intención de implementarla.

 

Idear estrategias: regreso a la oficina

Problema clave del negocio

  • Garantizar un entorno de trabajo seguro en el marco de un contexto empresarial complejo.

Potenciales nuevos tratamientos de datos

  • Indicadores de padecimiento de una enfermedad por parte de los trabajadores: temperatura elevada y tos.
  • Proximidad de los empleados con compañeros contagiados.

Tratamientos de datos

  • Informes verbales.
  • Tomas de temperatura, u otras medidas, manuales y automatizadas.
  • Monitorización de los contactos de forma manual y mediante la utilización de dispositivos.

Riesgos para la privacidad de las personas

  • Recogida de datos desproporcionada: Las aplicaciones que monitorizan los contactos de los empleados requieren que éstos lleven siempre consigo el teléfono, incluso en su tiempo libre, si se quiere obtener la máxima eficacia, pudiendo recopilar los datos de geolocalización de todas las aplicaciones del teléfono.
  • Divulgación de datos personales: Las colas para realizar tomas de temperatura en las entradas a las oficinas pueden provocar la estigmatización de aquellos empleados que tengan una temperatura alta y deban marcharse a su domicilio.

Ejemplos de pronunciamientos de las autoridades competentes de diferentes países o previsiones normativas

  • Estados Unidos permite hacer controles de temperatura que no sean invasivos físicamente; Eslovaquia exige que, en las entradas a las oficinas se lleven a cabo tomas de temperatura; Francia permite que los empleadores ofrezcan a sus empleados la posibilidad de tomarles la temperatura, pero no debe ser obligatorio; y en España, se permite la toma de temperatura en el ámbito de las medidas de vigilancia de la salud de los trabajadores, que debería ser realizada por personal sanitario.

Minimización del impacto de la privacidad

  • Recogida de datos desproporcionada: diferentes versiones de las aplicaciones de monitorización de contactos pueden resultar en el tratamiento de más datos de los necesarios para la finalidad de notificación de posible contagio a las personas afectadas.
  • Minimización de datos: Proporcionar áreas privadas con salidas privadas para llevar a cabo las tomas de temperatura, y minimizar el almacenamiento de datos personales relacionados con las tomas de temperatura.
  • Voluntariedad: se debería conseguir la implicación de los empleados para realizar el rastreo de proximidad a través de sus dispositivos, así como llevar a cabo el mismo de forma anonimizada.
Realizar exámenes médicos a los empleados durante una pandemia

El consumidor ha dominado el debate global sobre la protección de datos desde sus inicios hace dos décadas. Pero la mayoría de esos consumidores son también empleados que llegan a sus puestos de trabajo con las mismas expectativas de respeto a su privacidad que tienen como consumidores.

Teniendo en cuenta que las personas se sienten atrapadas en relación a las opciones en materia de privacidad que tienen a su disposición como consumidores, el seguimiento y monitorización que pretenden llevar a cabo sus empleadores para gestionar la pandemia del COVID-19 podría acentuar estas sensaciones y afectar a la confianza depositada en sus compañeros de trabajo, empleadores y en la sociedad en general.

A todos los miembros de la alta dirección de las corporaciones, no solo a los líderes en materia de privacidad, les preocupa el bienestar de sus empleados y su compromiso con los valores de la compañía. A medida que los equipos de los líderes empresariales planeen sus estrategias para ajustar sus modelos de negocio a la nueva realidad post-COVID-19, una de las cuestiones a tratar debería ser la preparación de una política de ética en el tratamiento de datos personales de los empleados. El pilar de esa política debería ser el principio de información y transparencia a los empleados de forma que puedan identificar aquello que les interesa, y disponer de la facultad de poder tomar decisiones sobre su salud y sus datos. La garantía de este principio probablemente ayudará al cumplimiento normativo a nivel global y favorecerá que los empleados recuperen la confianza en el cambiante y desafiante mundo que les rodea.

Post-COVID-19 workforce privacy action plan
1
Actualizar las políticas globales relativas a la privacidad de los datos de los empleados, así como la formación de los empleados en caso de pandemia.
2
Informar de manera frecuente a los empleados sobre la recogida, uso, protección y comunicación de sus datos personales.
3
Proporcionar a los empleados los recursos necesarios para que puedan teletrabajar de forma segura y privada con todas las funcionalidades estandarizadas y verificadas.
4
Diseñar configuraciones predeterminadas que protejan la privacidad de los empleados que utilicen las tecnologías que han sido puestas a su disposición por parte de la empresa, de manera que sean los empleados los que controlen el uso de su información personal, y eliminando los datos de los empleados recogidos durante la crisis cuando ya no sean necesarios.
5
Sistematizar la monitorización y respuesta en materia de privacidad de forma global, utilizando una red de asesores locales.

Contacta con nosotros

Assumpta Zorraquino

Assumpta Zorraquino

Socia de PwC Tax & Legal

Alejandra Matas Brancós

Alejandra Matas Brancós

Directora de PwC Tax & Legal

Síguenos en

Síguenos en Facebook Síguenos en Twitter Síguenos en Linkedin Síguenos en YouTube Síguenos en Instagram

Hide