En el contexto de la pandemia global del COVID-19, consideramos relevante mencionar las principales implicaciones en temas de privacidad y protección de datos personales de empleados en México.
- La obtención y tratamiento de datos de estado de salud de empleados relacionados con el COVID-19 por parte de los patrones -en la fase de prevención, casos diagnosticados y seguimiento a los mismos-, está justificado y puede llevarse a cabo inclusive sin necesidad de obtener el consentimiento de los individuos. Esto, debido a que su tratamiento es necesario para:
i. que los patrones puedan cumplir con su obligación de mantener la seguridad e higiene y la prevención de riesgos de trabajo en los centros de trabajo establecida en la Ley Federal del Trabajo (LFT), las NOMs aplicables, sus reglamentos interiores de trabajo y las políticas y procesos que implementen las empresas para atender esta situación,
ii. para el mantenimiento de la relación laboral, y
iii. para evitar daños al individuo y a terceros.
En caso de una declaratoria de contingencia sanitaria, los patrones deberán implementar las medidas señaladas en la LFT, incluyendo en lo relacionado al tratamiento de datos personales.
- Los datos de salud u otros (por ejemplo, información sobre viajes previamente realizados) que obtenga el patrón, deben ser los mínimos necesarios para la implementación de las medidas para prevenir o contener la propagación del virus. Esto es, los datos deben ser solamente los necesarios para el cumplimiento de las finalidades que se listan en el párrafo anterior. Esta información personal no se puede utilizar para propósitos distintos. Los datos solamente deben conservarse mientras sean necesarios para atender la crisis del COVID-19.
- Se debe proteger la confidencialidad de las personas afectadas por el COVID-19. En este contexto, y a falta del consentimiento previo y por escrito de la persona afectada, no se debe identificar a ningún empleado de forma individual en las comunicaciones que realice la organización sobre la presencia (o posible presencia) de COVID-19 en el lugar de trabajo. Se podría informar que existen casos, pero sin identificar a la persona por su nombre o por cualquier otra información. El acceso y conocimiento de los datos personales sobre el estado de salud de los empleados, solamente debe tenerlo el personal que tenga una razón justificada para hacerlo; por ejemplo, personal del área de recursos humanos o miembros del equipo de la persona afectada para que puedan tomar precauciones y para continuidad del trabajo. Estas excepciones se deben aplicar de forma restrictiva.
- La transferencia de datos con autoridades de salud deberá ser documentada claramente y realizarse sólo si se cuenta con el consentimiento previo y por escrito de los empleados, o si existe una solicitud debidamente fundada y motivada.
- Los empleados deben conocer las finalidades para las que se están tratando sus datos de salud, por lo que se considera conveniente que las empresas revisen sus avisos de privacidad para que, en caso de ser necesario, se actualicen y se informe a los empleados sobre tales cambios -a través del mecanismo señalado en el propio aviso-. En caso de que los empleados se encuentren trabajando de forma remota, se les podría enviar por correo electrónico o publicarlo en el intranet de la empresa.
- Las empresas deben considerar que los datos de salud son sensibles, por lo que en su tratamiento se requieren de medidas de seguridad reforzadas y que cumplan con los principios de protección de datos personales de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, así como con los deberes de confidencialidad y seguridad.
For more information and updates on the developing situation, visit GT’s Health Emergency Preparedness Task Force: Coronavirus Disease 2019.
Esta Alerta GT no aplica para asuntos o leyes en Estados Unidos, ni para otras jurisdicciones fuera de México.