Informes AEPD – Especial ‘COVID-19’

La setmana passada vam introduir el tractament de les dades dels treballadors en relació al coronovirus per part de l’ocupador i mesures que aquest podia dur a terme per a garantir la salut del personal. Aquesta setmana volem seguir detallant l’ús i tractament de dades sensibles per part de l’empresari i més mesures que pot aplicar per a garantir la seguretat de les dades segons els últims informes de la AEPD.

En el post anterior ja vam detallar que els empresaris, d’acord amb aquesta normativa i amb les garanties que aquestes normes estableixen, poden tractar les dades necessàries per a garantir la salut de tot el seu personal, a fi d’evitar contagis en el si del seu centre de treball i per tant, saber la informació de si les persones treballadores estan infectades pel coronavirus. L’Agència de Protecció de Dades en un nou informe sobre el coronavirus, dóna resposta a les preguntes habituals que aquests dies els empresaris i treballadors s’estan fent i que passem a comentar:

Com obtenir les dades per a conèixer si la persona treballadora està infectada o no?

Per esbrinar si el treballador/a està contagiat/da o ha de romandre en quarentena, podem fer preguntes exclusivament dirigides a indagar sobre l’existència de símptomes, o si la persona treballadora ha sigut diagnosticada com a contagiada, o subjecta a quarentena. Per a poder tractar les dades esmentades, hem d’aplicar el principi de minimització, és a dir, que no hem de fer circular qüestionaris de salut extensos i detallats o que incloguin preguntes no relacionades amb la malaltia.

Es poden comunicar les dades de les persones infectades?

Haurem d’anonimitzar les dades de la persona infectada per a mantenir la seva privacitat, ja que divulgant l’existència d’un contagi ens ajudarà a assolir la finalitat de protecció de la salut del personal.

Ara bé, si amb el procediment anterior les autoritats sanitàries creuen que no pot aconseguir-se la finalitat de protegir la salut del personal, podria ser necessari proporcionar la informació identificativa.

Es poden demanar als visitants o treballadors dades sobre països visitats afectats pel coronavirus o sobre si tenen símptomes relacionats?

Està justificada la sol·licitud d’informació als empleats i visitants externs sobre símptomes o factors de risc sense necessitat de demanar el seu consentiment explícit en base a l’obligació legal dels ocupadors de protegir la salut de les persones treballadores i mantenir el lloc de treball lliure de riscos sanitaris.

No hem d’oblidar que la sol·licitud de dades ha de complir sempre amb els principis de proporcionalitat i minimització. Així que, no fer circular qüestionaris de salut extensos i detallats o que incloguin preguntes no relacionades amb la malaltia.

Si el treballador està o pot estar afectat pel coronavirus, ¿ha de comunicar-ho a l’ocupador?

Si el treballador està infectat o té contacte amb algú que ho estigui, en compliment de les normes sanitàries haurà de mantenir l’aïllament preventiu adequat. Per tant, haurà de comunicar-ho a l’ocupador i al servei de Prevenció de Riscos Laborals o al Delegat de Prevenció.

En la situació en la que estem i prevalent la protecció de la salut del col·lectiu de treballadors i de la societat en situacions de pandèmia, encara que el treballador estigui de baixa s’aplica la necessitat de protecció de la salut, per la qual cosa s’ha de comunicar la raó de la baixa. 

L’ocupador pot prendre la temperatura?

La vigilància de la salut dels treballadors, conforme a la Llei de Prevenció de Riscos Laborals, resulta obligatòria per a l’ocupador i per tant, és una mesura que pot dur-se a terme i si es realitza, haurà de ser feta per personal sanitari.

Recordem que la finalitat principal és contenir la propagació del Covid-19 i que per tant, el tractament d’aquestes dades haurà de limitar-se a aquesta finalitat i no extendre’s a altres distintes. Les dades hauran de mantenir-se no més del temps necessari per a la finalitat esmentada.

Fraus en aquest context

Malgrat tot el comentat i de la gravetat de l’assumpte, hi ha gent que aprofita l’estat de por que vivim per la situació actual utilitzant tècniques d’enginyeria social com l’estafa del phishing. El Phishing és un mètode a través del qual els ciberdelinqüents obtenen informació confidencial i poden fer-se passar per una altra persona. En el moment actual, els ciberdelinqüents tractaran de suplantar organitzacions com el Ministeri de Sanitat, una Conselleria de Sanitat d’una Comunitat Autònoma, Forces de l’Ordre, Organitzacions Internacionals, etc. amb informació rellevant sobre el COVID-19, simulant prestar ajuda i consell o inclús fingint ser el CEO de l’empresa en la que treballem i aconseguir així que els donem les nostres dades personals, i utilitzar-les posteriorment per a cometre algun ciberdelicte. Per això, volem oferir-vos una sèrie de recomanacions davant aquest tipus de frau:

  • No obrir whatsapps o emails que ens facin sospitar: Aquests poden contenir un enllaç, per exemple, que a l’obrir-lo es descarrega i executa un arxiu adjunt amb un malware que permet al ciberdelinqüent prendre el control del dispositiu i accedir a les dades de l’empresa, xifrant-les o accedint de forma il·legítima a dades sensibles; o contenir un enllaç que ens dugui a una pàgina web, en aparença vertadera, que capti les nostres credencials i suplanti la nostra identitat, podent accedir d’aquesta manera a les aplicacions empresarials que estem usant o a la nostra informació personal, com el nombre de la seguretat social o dades bancàries.  
  • No donar dades de salut a pàgines webs o apps que ofereixen ajuda i serveis per auto avaluar i aconsellar en relació amb el coronavirus i no són oficials. A més, d’haver fraus via email o whatsapp, també s’han creat aplicacions mòbils i pàgines web no oficials. Haurem de mirar si en aquesta pàgina o aplicació s’identifica al responsable del tractament i si informen sobre les finalitats d’ús de les dades de salut que podem posar.
  • Obtenir la informació de fonts oficials i confiables directament al web institucional, no a través d’un enllaç.
  • Verificar l’adreça del correu electrònic que remeti el missatge.
  • Sospitar de missatge amb faltes d’ortografia, errors gramaticals i salutacions genèriques sense aportar cap dada teva.
  • Sospitar si el text del missatge conté “urgeix” o “urgència” injustificada.
  • Sobretot, actuar amb calma i reflexionar abans de realitzar alguna decisió portada a terme per la por. 

Així mateix, la pròpia AEPD ha emès un comunicat (el podeu trobar aquí) on se’ns adverteix a tota la ciutadania dels riscos que implica el facilitar la nostra informació sensible, com la de salut, als webs i a les apps que estan proliferant on ens sol·liciten informació personal i de salut, per  oferir-nos ajuda i serveis per auto avaluar i aconsellar en relació amb el coronavirus. Aquests webs i aquestes apps, inclús en aquells casos en els que sembla que la nostra identitat com a usuari no queda reflectida, poden arribar a determinar qui està darrere com a usuari a l’hora d’utilitzar aquesta app o aquest web. L’Agència, segons diu en aquest comunicat, ha pogut constatar que algunes d’aquestes pàgines web i apps no informen als responsables dels mateixos, ni inclouen les finalitats per a les que podrien tractar-se les dades. A això se suma que s’han detectat casos en els que es suplanta al Ministeri de Sanitat. L’Agència iniciarà actuacions d’investigació per a constatar aquests tractaments il·lícits de dades personals, identificar als seus responsables i imposar-los en aquest cas importants sancions econòmiques.

Estarem molt pendents de tota la informació que vagi sortint al respecte i us anirem mantenint informats.

Quan està en risc la nostra salut i la de tots, hem de posar-nos més alerta que mai davant possibles situacions de risc, tant de la nostra informació personal com del nostre dia a dia.

L’equip de PymeLegal.

#quedataCasa