La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado. La Agencia Española de Protección de Datos considera necesario advertir que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.
Le informamos que la Agencia Española de Protección de Datos (AEPD), ha publicado un Comunicado sobre la información acerca de tener anticuerpos de la COVID-19 para la oferta y búsqueda de empleo
La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto
ciertas prácticas en el ámbito de la contratación laboral que consisten
en solicitar a los candidatos a un puesto de trabajo información de si
han pasado la COVID-19 y desarrollado anticuerpos como requisito para
acceder al puesto de trabajo ofertado.
ciertas prácticas en el ámbito de la contratación laboral que consisten
en solicitar a los candidatos a un puesto de trabajo información de si
han pasado la COVID-19 y desarrollado anticuerpos como requisito para
acceder al puesto de trabajo ofertado.
La AEPD considera necesario advertir que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.
La información de haber padecido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativo a la salud,
que el Reglamento General de Protección de Datos (RGPD) califica de
categoría especial en su artículo 9, por lo que su recogida y
utilización por la posible empresa empleadora está sujeta a la normativa
de protección de datos, fundamentalmente el citado RGPD y la Ley
Orgánica de protección de datos personales y garantía de los derechos
digitales (LOPDPGDD), que resultan plenamente aplicables.
que el Reglamento General de Protección de Datos (RGPD) califica de
categoría especial en su artículo 9, por lo que su recogida y
utilización por la posible empresa empleadora está sujeta a la normativa
de protección de datos, fundamentalmente el citado RGPD y la Ley
Orgánica de protección de datos personales y garantía de los derechos
digitales (LOPDPGDD), que resultan plenamente aplicables.
El RGPD requiere para el tratamiento de datos personales la
existencia en todo caso de una base jurídica de las previstas en su
artículo 6.1, y cuando se traten categorías especiales de datos
personales, como son los datos relativos a la salud, es necesaria
también la concurrencia de una de las excepciones previstas en el
artículo 9.2 del RGPD que permiten levantar la prohibición de su
tratamiento.
existencia en todo caso de una base jurídica de las previstas en su
artículo 6.1, y cuando se traten categorías especiales de datos
personales, como son los datos relativos a la salud, es necesaria
también la concurrencia de una de las excepciones previstas en el
artículo 9.2 del RGPD que permiten levantar la prohibición de su
tratamiento.
Entre las bases jurídicas que en principio podrían fundamentar dicho
tratamiento por la empresa empleadora estarían el consentimiento del
interesado, conforme al artículo 6.1.a) del RGPD, o la prevista en su
artículo 6.1.b), relativa al tratamiento necesario para la ejecución de
un contrato en el que la persona candidata es parte o para la aplicación
a petición de esta de medidas precontractuales. Sin embargo, ni una ni
otra base serían aplicables en el presente caso.
tratamiento por la empresa empleadora estarían el consentimiento del
interesado, conforme al artículo 6.1.a) del RGPD, o la prevista en su
artículo 6.1.b), relativa al tratamiento necesario para la ejecución de
un contrato en el que la persona candidata es parte o para la aplicación
a petición de esta de medidas precontractuales. Sin embargo, ni una ni
otra base serían aplicables en el presente caso.
Consentimiento libre
Para que el consentimiento sea válido debe consistir en una
manifestación de voluntad libre, específica, informada e inequívoca. El
RGPD ha dejado bien claro que el consentimiento no debe
considerarse libremente prestado cuando no se goza de verdadera o libre
elección o no puede denegar o retirar su consentimiento sin sufrir
perjuicio alguno (considerando 42), o cuando exista un desequilibro claro entre
las partes (considerando 43), como sucedería en el presente caso, en el
que el consentimiento estaría condicionado por la necesidad o la
voluntad de acceder a un puesto de trabajo, lo que anularía la libertad
de la persona.
manifestación de voluntad libre, específica, informada e inequívoca. El
RGPD ha dejado bien claro que el consentimiento no debe
considerarse libremente prestado cuando no se goza de verdadera o libre
elección o no puede denegar o retirar su consentimiento sin sufrir
perjuicio alguno (considerando 42), o cuando exista un desequilibro claro entre
las partes (considerando 43), como sucedería en el presente caso, en el
que el consentimiento estaría condicionado por la necesidad o la
voluntad de acceder a un puesto de trabajo, lo que anularía la libertad
de la persona.
En ese sentido, el Comité Europeo de Protección de Datos ha
ratificado las «Directrices sobre el consentimiento en el sentido del
Reglamento (UE) 2016/679», adoptadas el 28 de noviembre de 2017 por el
Grupo de Trabajo del Artículo 29 y revisadas por última vez el 10 de
abril de 2018 (WP259), que consideran que en el contexto del empleo se
produce un desequilibrio de poder dada la dependencia que resulta de la
relación entre las partes, y no es probable que la persona candidata
pueda negar a la empresa el consentimiento para el tratamiento de datos
sin experimentar temor o riesgo real de que su negativa produzca efectos
perjudiciales; y, por tanto, considera problemático que la empresa
realice el tratamiento de datos personales de empleados y empleadas
actuales o futuros sobre la base del consentimiento, ya que no es
probable que éste se otorgue libremente.
ratificado las «Directrices sobre el consentimiento en el sentido del
Reglamento (UE) 2016/679», adoptadas el 28 de noviembre de 2017 por el
Grupo de Trabajo del Artículo 29 y revisadas por última vez el 10 de
abril de 2018 (WP259), que consideran que en el contexto del empleo se
produce un desequilibrio de poder dada la dependencia que resulta de la
relación entre las partes, y no es probable que la persona candidata
pueda negar a la empresa el consentimiento para el tratamiento de datos
sin experimentar temor o riesgo real de que su negativa produzca efectos
perjudiciales; y, por tanto, considera problemático que la empresa
realice el tratamiento de datos personales de empleados y empleadas
actuales o futuros sobre la base del consentimiento, ya que no es
probable que éste se otorgue libremente.
En consecuencia, no sería lícito un tratamiento de datos de salud
como el expuesto por parte de la empresa basándose en el consentimiento
de la persona candidata, por no ser este un consentimiento libre.
como el expuesto por parte de la empresa basándose en el consentimiento
de la persona candidata, por no ser este un consentimiento libre.
Del mismo modo, tampoco podría considerarse aplicable la base
jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por
cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos fijado en el artículo 5.1.c) del RGPD, en relación con lo que se dispone en el artículo 7.4.
jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por
cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos fijado en el artículo 5.1.c) del RGPD, en relación con lo que se dispone en el artículo 7.4.
Desde el punto de vista de las excepciones que levantarían la
prohibición de tratar estos datos sensibles, el consentimiento, que para
funcionar como excepción debiera ser, además, explícito, no sería
válido, por las mismas razones que se han indicado al analizarlo como
base jurídica.
prohibición de tratar estos datos sensibles, el consentimiento, que para
funcionar como excepción debiera ser, además, explícito, no sería
válido, por las mismas razones que se han indicado al analizarlo como
base jurídica.
Cabría analizar si alguna otra de las excepciones previstas en el
artículo 9.2 del RGPD, podría ser aplicable. En concreto cuando el
tratamiento es necesario para atender a las obligaciones y el ejercicio
de derechos específicos del responsable o del interesado en el ámbito
del derecho laboral, de acuerdo con lo previsto por el derecho de la
Unión o de los Estados Miembros.
artículo 9.2 del RGPD, podría ser aplicable. En concreto cuando el
tratamiento es necesario para atender a las obligaciones y el ejercicio
de derechos específicos del responsable o del interesado en el ámbito
del derecho laboral, de acuerdo con lo previsto por el derecho de la
Unión o de los Estados Miembros.
En este contexto, solicitar información sobre el estado de inmunidad frente a la COVID-19 iría más allá de las obligaciones y derechos específicos que
impone a la empresa la legislación de Derecho laboral y de la seguridad
y protección social, en particular del deber de proteger a los
trabajadores frente a los riesgos laborales previsto en la Ley 31/1995,
de 8 de noviembre, de prevención de riesgos laborales.
impone a la empresa la legislación de Derecho laboral y de la seguridad
y protección social, en particular del deber de proteger a los
trabajadores frente a los riesgos laborales previsto en la Ley 31/1995,
de 8 de noviembre, de prevención de riesgos laborales.
En primer lugar, porque la persona interesada aún no es empleada y la
empresa no tiene por tanto obligaciones o derechos específicos frente a
ella. En segundo lugar, porque la información sobre una posible
inmunidad frente a la enfermedad no contribuye significativamente a la
protección del resto del personal o de la propia persona, en la medida
en que los protocolos de prevención de riesgos adoptados por las
autoridades sanitarias y laborales se aplican por igual a todo el
personal, orientándose por lo que se refiere a la presencia de infección
a los casos sospechosos. Estos protocolos no establecen excepción
alguna para personas que ya hayan padecido la enfermedad. Finalmente,
porque la misma consideración habría de atribuirse a la COVID-19 que a
cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de
infección, sin que se plantee esta cuestión en la actualidad sobre otras
enfermedades que pudieran resultar de declaración obligatoria a las
autoridades sanitarias conforme al Real Decreto 2210/1995, de 28 de
diciembre, por el que se crea la red nacional de vigilancia
epidemiológica.
empresa no tiene por tanto obligaciones o derechos específicos frente a
ella. En segundo lugar, porque la información sobre una posible
inmunidad frente a la enfermedad no contribuye significativamente a la
protección del resto del personal o de la propia persona, en la medida
en que los protocolos de prevención de riesgos adoptados por las
autoridades sanitarias y laborales se aplican por igual a todo el
personal, orientándose por lo que se refiere a la presencia de infección
a los casos sospechosos. Estos protocolos no establecen excepción
alguna para personas que ya hayan padecido la enfermedad. Finalmente,
porque la misma consideración habría de atribuirse a la COVID-19 que a
cualquier otro tipo de enfermedad que pudiera conllevar un riesgo de
infección, sin que se plantee esta cuestión en la actualidad sobre otras
enfermedades que pudieran resultar de declaración obligatoria a las
autoridades sanitarias conforme al Real Decreto 2210/1995, de 28 de
diciembre, por el que se crea la red nacional de vigilancia
epidemiológica.
Finalidad del tratamiento
Además de no existir base jurídica lícita para su tratamiento, la finalidad del tratamiento tampoco sería legítima.
Todo tratamiento de datos debe cumplir con los principios
establecidos en el artículo 5 del RGPD, en particular ser tratados de
manera lícita y que su recogida obedezca a finalidades legítimas. La
solicitud de información sobre la inmunidad a la COVID-19, como
requisito para acceder a un puesto de trabajo, daría lugar a una
diferencia de trato que no obedece a una justificación objetiva y
razonable.
establecidos en el artículo 5 del RGPD, en particular ser tratados de
manera lícita y que su recogida obedezca a finalidades legítimas. La
solicitud de información sobre la inmunidad a la COVID-19, como
requisito para acceder a un puesto de trabajo, daría lugar a una
diferencia de trato que no obedece a una justificación objetiva y
razonable.
Situación que el RGPD tiene en cuenta, pues parte de que hay que
proteger los derechos fundamentales y la dignidad de las personas en los
tratamientos que se produzcan en el ámbito laboral, en particular, a
efectos de contratación de personal, pudiendo los Estados miembros
establecer disposiciones más específicas que las previstas para los
tratamientos de datos personales con carácter general «para preservar la
dignidad humana de los interesados así como sus intereses legítimos y
sus derechos fundamentales, prestando especial atención a la
transparencia del tratamiento…» (Artículo 88 y considerando 155 del
RGPD).
proteger los derechos fundamentales y la dignidad de las personas en los
tratamientos que se produzcan en el ámbito laboral, en particular, a
efectos de contratación de personal, pudiendo los Estados miembros
establecer disposiciones más específicas que las previstas para los
tratamientos de datos personales con carácter general «para preservar la
dignidad humana de los interesados así como sus intereses legítimos y
sus derechos fundamentales, prestando especial atención a la
transparencia del tratamiento…» (Artículo 88 y considerando 155 del
RGPD).
En definitiva, dicho dato de salud no puede ser objeto de tratamiento
por la empresa ni, en consecuencia, solicitado a los candidatos a un
empleo.
por la empresa ni, en consecuencia, solicitado a los candidatos a un
empleo.
Inclusión del dato en el currículum
En relación con el acceso al empleo, también se ha observado la
práctica de reflejar en los currículums de quienes buscan un empleo, que
envían a empresas, información de ser inmune a la COVID-19 por haber
generado anticuerpos frente a dicha enfermedad.
práctica de reflejar en los currículums de quienes buscan un empleo, que
envían a empresas, información de ser inmune a la COVID-19 por haber
generado anticuerpos frente a dicha enfermedad.
Por las razones ya expuestas, no se debe incluir la información de
ser inmune a la COVID-19 en un currículum. El potencial destinatario del
mismo no puede utilizar esa información que por lo demás requeriría de
una verificación que, como se ha señalado, sería ilícita, por lo que la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando
no fuera posible asegurar que el dato de la inmunidad no va a influir
en la decisión que finalmente se adopte, y la eliminación del candidato
del proceso selectivo.
ser inmune a la COVID-19 en un currículum. El potencial destinatario del
mismo no puede utilizar esa información que por lo demás requeriría de
una verificación que, como se ha señalado, sería ilícita, por lo que la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando
no fuera posible asegurar que el dato de la inmunidad no va a influir
en la decisión que finalmente se adopte, y la eliminación del candidato
del proceso selectivo.
La difusión de datos de salud, al estar considerados éstos como una
categoría especial de datos personales, cuyo tratamiento implica la
exigencia de garantías reforzadas, supone un riesgo para la privacidad y
los derechos y libertades de los interesados. El RGPD, en su
considerando 75, recoge que los riesgos para los derechos y libertades
de las personas físicas, de gravedad y probabilidad variables, pueden
deberse entre otros al tratamiento de datos relativos a la salud, como
sería un tratamiento de los datos sobre la inmunidad frente a la
COVID-19.
categoría especial de datos personales, cuyo tratamiento implica la
exigencia de garantías reforzadas, supone un riesgo para la privacidad y
los derechos y libertades de los interesados. El RGPD, en su
considerando 75, recoge que los riesgos para los derechos y libertades
de las personas físicas, de gravedad y probabilidad variables, pueden
deberse entre otros al tratamiento de datos relativos a la salud, como
sería un tratamiento de los datos sobre la inmunidad frente a la
COVID-19.
Fuente: AEPD
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi