La respuesta de OptimumTIC a la COVID-19. Más información

Blog

Ciberseguridad y COVID19. Parte III: RGPD

Publicado 14 de abril de 2020
Ciberseguridad y COVID19. Parte III: RGPD

Ciberseguridad y COVID19. Parte III: RGPD


Vivimos tiempos sin precedentes, inmersos en una crisis sanitaria global que ha incidido en la vida de todos y a todos los niveles, tanto en la esfera personal como la laboral. Pero esta crisis no solo afecta a la salud de las personas y los negocios, también a la privacidad y a la protección de los datos personales.

En este punto, cumplir con la normativa y proteger los datos personales recogidos para hacer frente a la crisis es más importante que nunca; no existe, como en EE.UU., una discreción de cumplimiento de algunas de las disposiciones de la ley que signifique la no imposición de sanciones; en Europa el derecho a la protección de datos personales se configura como un derecho fundamental y el RGPD sigue siendo exigible en todas sus disposiciones y a todas las entidades y organizaciones a las que aplique.

Visto esto, el tratamiento de los datos de salud en situaciones de pandemia es posible bajo el RGPD, que permite dicho tratamiento cuando existe un interés vital del afectado o de un tercero, un interés público esencial, o cuando es necesario para el cumplimiento de las obligaciones establecidas por el Derecho laboral y la Seguridad y protección social.

A mayor claridad, la situación está expresamente recogida en el considerando 46 de la norma, que presume la licitud del tratamiento cuando este es “necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones   de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

Por lo tanto, tratar datos de salud en una situación de pandemia como la que ha causado el COVID-19 está previsto y es posible bajo el RGPD. Es más, en base a la Ley de Prevención de Riesgos Laborales, tratar dichos datos es necesario, pues el empresario tiene el deber de garantizar la seguridad y salud en todos los aspectos relacionados con el trabajo.

Ahora bien, lo anterior no supone carta blanca al empresario para obtener cualquier tipo de dato de salud y utilizarlo para cualquier finalidad. Como decíamos, el RGPD sigue aplicando al tratamiento y es por ello que deben seguir observándose todos los principios de protección de datos. En consecuencia, es recomendable:

  1. En atención al principio de limitación de la finalidad, determinar cual es el objetivo de obtener y tratar los datos de salud y no utilizarlos para ninguna otra finalidad; i.e. evitar la propagación y velar por la integridad y la salud física de los trabajadores.
  2. En atención al principio de minimización, únicamente obtener los datos de salud que sean estrictamente necesarios para la finalidad para la que fueron recogidos. En este punto bastará con recabar información sobre los positivos dentro de la organización o incluso sobre la sintomatología siempre que se encuentre relacionada con la enfermedad, no puede aprovecharse para solicitar información no relacionada.
  3. En atención al principio de limitación del plazo de conservación, deberían establecerse periodos de conservación. Por ejemplo, siendo la finalidad del tratamiento prevenir contagios y proteger la salud de los trabajadores, deberían de establecerse periodos de conservación de los datos cortos y siempre atendiendo a dicha finalidad, procediendo a suprimir los datos una vez han dejado de ser necesarios.
  4. En atención al principio de seguridad de la información, deben implementarse medidas para salvaguardar la confidencialidad, integridad y disponibilidad de los registros de datos personales y, atendiendo a la naturaleza de dato sensible de los datos de salud, deberían considerarse medidas adicionales como la pseudonimización o anonimización allá donde fueran posibles, en base a los riesgos de tratar estos datos.

En OptimumTIC contamos con más de 10 años de experiencia asesorando y adecuando a empresas de todos los tamaños y sectores en ciberseguridad y protección de datos  e incluso desde la aprobación del reglamento en 2016 adecuando en estrategias completas en compañías. En algunas ocasiones de manera organizativa con herramientas de clientes y en otras sirviéndonos de herramientas líderes en el mercado de las que somos Partner referente y que optimizan y facilitan todas las tareas necesarias para llevar el programa de cumplimiento normativo en la organización y proteger la información empresarial y disponer de un buen plan de Compliance Global.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com

OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en la ISO 27001

ISO 27001

Certificados en higiene y control

Higiene y control

Gestión Excelencia Empresarial

Gestión Excelencia Einforma