Comunicado de la AEPD sobre la información acerca de tener anticuerpos de la COVID-19 para la oferta y búsqueda de empleo
La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado.
La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado.
La Agencia Española de Protección de Datos considera necesario advertir que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.
La información de haber padecido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativo a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9, por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.
El RGPD requiere para el tratamiento de datos personales la existencia en todo caso de una base jurídica de las previstas en su artículo 6.1, y cuando se traten categorías especiales de datos personales, como son los datos relativos a la salud, es necesaria también la concurrencia de una de las excepciones previstas en el artículo 9.2 del RGPD que permiten levantar la prohibición de su tratamiento.
Entre las bases jurídicas que en principio podrían fundamentar dicho tratamiento por la empresa empleadora estarían el consentimiento del interesado, conforme al artículo 6.1.a) del RGPD, o la prevista en su artículo 6.1.b), relativa al tratamiento necesario para la ejecución de un contrato en el que la persona candidata es parte o para la aplicación a petición de esta de medidas precontractuales. Sin embargo, ni una ni otra base serían aplicables en el presente caso.
Consentimiento libre
Para que el consentimiento sea válido debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. El RGPD ha dejado bien claro que el consentimiento no debe considerarse libremente prestado cuando no se goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (considerando 42), o cuando exista un desequilibro claro entre las partes (considerando 43), como sucedería en el presente caso, en el que el consentimiento estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona.
En ese sentido, el Comité Europeo de Protección de Datos ha ratificado las “Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679”, adoptadas el 28 de noviembre de 2017 por el Grupo de Trabajo del Artículo 29 y revisadas por última vez el 10 de abril de 2018 (WP259), que consideran que en el contexto del empleo se produce un desequilibrio de poder dada la dependencia que resulta de la relación entre las partes, y no es probable que la persona candidata pueda negar a la empresa el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales; y, por tanto, considera problemático que la empresa realice el tratamiento de datos personales de empleados y empleadas actuales o futuros sobre la base del consentimiento, ya que no es probable que éste se otorgue libremente.
En consecuencia, no sería lícito un tratamiento de datos de salud como el expuesto por parte de la empresa basándose en el consentimiento de la persona candidata, por no ser este un consentimiento libre.
Del mismo modo, tampoco podría considerarse aplicable la base jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos fijado en el artículo 5.1.c) del RGPD, en relación con lo que se dispone en el artículo 7.4.
Desde el punto de vista de las excepciones que levantarían la prohibición de tratar estos datos sensibles, el consentimiento, que para funcionar como excepción debiera ser, además, explícito, no sería válido, por las mismas razones que se han indicado al analizarlo como base jurídica.
Cabría analizar si alguna otra de las excepciones previstas en el artículo 9.2 del RGPD, podría ser aplicable. En concreto cuando el tratamiento es necesario para atender a las obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del derecho laboral, de acuerdo con lo previsto por el derecho de la Unión o de los Estados Miembros.
En este contexto, solicitar información sobre el estado de inmunidad frente a la COVID-19 iría más allá de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales.
En primer lugar, porque la persona interesada aún no es empleada y la empresa no tiene por tanto obligaciones o derechos específicos frente a ella. En segundo lugar, porque la información sobre una posible inmunidad frente a la enfermedad no contribuye significativamente a la protección del resto del personal o de la propia persona, en la medida en que los protocolos de prevención de riesgos adoptados por las autoridades sanitarias y laborales se aplican por igual a todo el personal, orientándose por lo que se refiere a la presencia de infección a los casos sospechosos. Estos protocolos no establecen excepción alguna para personas que ya hayan padecido la enfermedad. Finalmente, porque la misma consideración habría de atribuirse a la COVID-19 que a cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de infección, sin que se plantee esta cuestión en la actualidad sobre otras enfermedades que pudieran resultar de declaración obligatoria a las autoridades sanitarias conforme al Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica.
Finalidad del tratamiento
Además de no existir base jurídica lícita para su tratamiento, la finalidad del tratamiento tampoco sería legítima.
Todo tratamiento de datos debe cumplir con los principios establecidos en el artículo 5 del RGPD, en particular ser tratados de manera lícita y que su recogida obedezca a finalidades legítimas. La solicitud de información sobre la inmunidad a la COVID-19, como requisito para acceder a un puesto de trabajo, daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.
Situación que el RGPD tiene en cuenta, pues parte de que hay que proteger los derechos fundamentales y la dignidad de las personas en los tratamientos que se produzcan en el ámbito laboral, en particular, a efectos de contratación de personal, pudiendo los Estados miembros establecer disposiciones más específicas que las previstas para los tratamientos de datos personales con carácter general “para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento…” (artículo 88 y considerando 155 del RGPD).
En definitiva, dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.
Inclusión del dato en el currículum
En relación con el acceso al empleo, también se ha observado la práctica de reflejar en los currículums de quienes buscan un empleo, que envían a empresas, información de ser inmune a la COVID-19 por haber generado anticuerpos frente a dicha enfermedad.
Por las razones ya expuestas, no se debe incluir la información de ser inmune a la COVID-19 en un currículum. El potencial destinatario del mismo no puede utilizar esa información que por lo demás requeriría de una verificación que, como se ha señalado, sería ilícita, por lo que la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando no fuera posible asegurar que el dato de la inmunidad no va a influir en la decisión que finalmente se adopte, y la eliminación del candidato del proceso selectivo.
La difusión de datos de salud, al estar considerados éstos como una categoría especial de datos personales, cuyo tratamiento implica la exigencia de garantías reforzadas, supone un riesgo para la privacidad y los derechos y libertades de los interesados. El RGPD, en su considerando 75, recoge que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la COVID-19.