A propósito de la Resolución Ministerial N° 448-2020-MINSA, ¿resulta lícito publicar la identidad de los trabajadores pertenecientes al grupo de riesgo? | Jefrie Rojas y Rosa Sobrados

Durante el Estado de Emergencia, la Dirección General de Protección de Datos Personales se manifestó de forma expresa reafirmando que la información relativa a la salud de los trabajadores se encuentra especialmente protegida bajo la categoría de información sensible por la legislación en materia de datos personales. No obstante, se estableció que, como excepción, que el empleador puede prescindir del consentimiento escrito del titular de la información en algunos supuestos. ¿Por qué la DGPDP consideró que excepcionalmente no era necesario el consentimiento de los trabajadores para el tratamiento de información relativa a la salud (en específico, el diagnóstico de COVID-19)? Julio Jefrie Rojas Saravia es Abogado por la PUCP con estudios en Legislación Laboral, Recursos Humanos y Datos Personales. Actualmente, trabaja en el Área Laboral y de Datos Personales del Estudio Dentons. Rosa Sobrados Burgos es estudiante de noveno ciclo de la Facultad de Derecho de la PUCP y practicante del Área Laboral y de Datos Personales del Estudio Dentons.

2797
0
Compartir

1. Antecedentes: Protección de los datos personales de los trabajadores diagnosticados con COVID-19

Durante el Estado de Emergencia, la Dirección General de Protección de Datos Personales (en adelante, la DGPDP) se manifestó de forma expresa reafirmando que la información relativa a la salud de los trabajadores se encuentra especialmente protegida bajo la categoría de información sensible por la legislación en materia de datos personales, de acuerdo a los artículos 2° numeral 5 y 13° numeral 6 de la Ley de Protección de Datos Personales (en adelante, la LPDP).

En ese sentido, la DGPDP a través de la Opinión Consultiva N° 32-2020-JUS/DGTAIPD señaló que el diagnóstico de COVID-19 de un trabajador era información para cuyo tratamiento es preciso contar con el consentimiento expreso y escrito de su titular, debido a que la información relativa a la salud se encuentra protegida como información sensible. Ahora bien, en la misma Opinión Consultiva, la DGPDP con acierto establece, como excepción, que el empleador puede prescindir del consentimiento escrito del titular de la información, en virtud de los numerales 5, 6 y 9 del artículo 14 de la LPDP.

2. ¿Por qué la DGPDP consideró que excepcionalmente no era necesario el consentimiento de los trabajadores para el tratamiento de información relativa a la salud (en específico, el diagnóstico de COVID-19)?

El fundamento principal se sustentó en razones de interés público ya que el tratamiento de dichos datos es necesario para aplicar las medidas destinadas a prevenir, controlar y evitar la propagación del COVID-19 dentro del lugar de trabajo, constituyendo una razón de salud pública prevista como excepción al principio de consentimiento. Sin embargo, esta excepción al principio del consentimiento no habilita al empleador a realizar cualquier tratamiento de la información sensible de los trabajadores.

De hecho, en la referida Opinión Consultiva, la DGPDP indica que únicamente es válido comunicar el diagnóstico de COVID-19 de un trabajador a otro cuando ello sea necesario para reconstruir la cadena de posibles contagios y de esa forma prevenir a los trabajadores que hayan tenido contacto y controlar la propagación del virus.

Sin perjuicio de ello, que no se requiera el consentimiento del titular de datos personales, no libera al empleador de garantizar los demás principios que rigen el tratamiento de los datos personales como el de finalidad, proporcionalidad, seguridad y calidad. Entre estos principios, es importante resaltar que el de proporcionalidad, previsto en el artículo 7° de la LPDP, exige que el tratamiento de datos personales deba ser adecuado, relevante y no excesivo a la finalidad con que fueron recopilados.

En este caso, la finalidad de comunicar el diagnóstico de COVID-19 a algunos trabajadores es reconstruir la cadena de contagios, y de esa forma garantizar la prevención y control de la propagación del COVID-19. Cabe indicar que esto únicamente puede ser ejecutado por el responsable de seguridad y salud de los trabajadores en el centro de trabajo.

En línea de lo indicado, el Reglamento de la LPDP establece en los numerales 2 y 3 del artículo 132° que dar tratamiento a datos personales sensibles incumpliendo las medidas de seguridad o recopilar datos sensibles que no sean necesarios, pertinentes ni adecuados con relación a sus finalidades, son consideradas infracciones graves con multas que ascienden desde las 05 UIT (S/ 21,500.00 soles) hasta las 50 UIT (S/ 215,000.00 soles).

3. Introducción del problema: Resolución Ministerial N° 448-2020-MINSA y Decreto Supremo N° 117-2020-PCM

Hemos visto que la difusión indiscriminada del diagnóstico de una enfermedad como el COVID-19 en el caso de los trabajadores, constituiría una infracción grave al correcto tratamiento de datos personales. Sin embargo, a través de la Resolución Ministerial N° 448-2020-MINSA y el Decreto Supremo N° 117-2020-PCM, se introduce a cargo del empleador una obligación que consideramos contraria a la lógica tutelar anteriormente expuesta sobre la protección de la información sensible, en este caso, referida a la salud de los trabajadores. Nos explicamos.

Como resulta conocido en nuestro país, la reanudación de actividades económicas se ha venido desarrollando en forma gradual y progresiva. En ese sentido, el Decreto Supremo N° 80-2020-PCM, mediante el cual se aprueba la Fase 1 de la Reanudación de Actividades Económicas, dispone que, de forma previa a retomar sus operaciones, las empresas deben elaborar un “Plan para la vigilancia, prevención y control de COVID-19 en el trabajo” y registrarlo al Sistema Integrado para COVID-19 (SICOVID-19).

Posterior a ello, mediante la Disposición Complementaria Modificatoria Única del Decreto Supremo N° 101-2020-PCM se aprueba la Fase 2 y se establece la reanudación automática luego de que las empresas registren el referido Plan. Ello sin perjuicio de la fiscalización posterior a la que estuviera sujeto por las autoridades competentes.  Por último, mediante el Decreto Supremo N° 117-2020-PCM, se establece que el mencionado Plan debe ser enviado por correo electrónico al Ministerio de Salud, con lo cual se cumpliría el requisito previsto para el reinicio de actividades por parte de las empresas.

Así, elaborar un Plan de vigilancia, prevención y control de COVID-19 es presupuesto necesario para que cualquier empresa que desee reiniciar sus actividades. Ahora bien, este Plan debía ser elaborado atendiendo a los lineamientos determinados en la Resolución Ministerial N° 239-2020-MINSA.

Sin embargo, esta resolución fue derogada por la Resolución Ministerial N° 448-2020-MINSA, mediante la cual se aprueba el vigente Documento Técnico “Lineamientos para la Vigilancia, Prevención y Control de la salud de los trabajadores con riesgo de exposición a COVID-19” (“los Lineamientos”), que aquí cuestionamos.

Respecto a esta última resolución ministerial, nos resulta cuestionable la validez de la obligación de las empresas de tener que exponer en su Plan la información referida a la salud de los trabajadores que presentan factores de riesgo. Máxime tomando en consideración que este Plan deberá estar disponible tanto para los trabajadores como para los clientes de la empresa, de conformidad con la Disposición Complementaria Final Primera del Decreto Supremo N° 117-2020-PCM.

Con esto, pues, se introduce la obligación del empleador de prácticamente difundir de forma indistinta información sensible de los trabajadores, lo cual contradice el razonamiento de la DGPDP que ya hemos expuesto. Y es que, de acuerdo al numeral 7.1.4. de los Lineamientos, el Plan para la vigilancia, prevención y control de COVID en el Trabajo de las empresas “debe incluir una guía breve de actividades, acciones e intervenciones que aseguren el cumplimiento de los lineamientos establecidos en el numeral 7.2, los que serán detallados en la lista de chequeo básico (Anexo 5)”.

Ahora bien, este Anexo 5 tiene un apartado denominado “Nómina de trabajadores por riesgo a exposición a COVID-19” donde se exige al empleador listar a todos los trabajadores e indicar uno por uno si es que padecen de algún factor de riesgo. Ello a pesar que dicha información esté protegida como información sensible al referirse a la salud de la persona.

Recordemos, pues, que de acuerdo al numeral 6.1.14 de los Lineamientos, el grupo de riesgo está conformado por los trabajadores que padecen de condiciones como hipertensión arterial refractaria, diabetes mellitus, obesidad, asma moderada o grave, enfermedades cardiovasculares graves, enfermedad pulmonar crónica, cáncer, entre otros.

Así, resulta sorprendente que, de forma totalmente contraria a la tutela de la reserva y confidencialidad de la información sensible de los trabajadores, no solo se exija al empleador exponer estos datos en su Plan, sino que además dicho plan deba ser accesible a clientes y trabajadores.

4. Problemática: ¿el empleador debe exponer la identidad de los trabajadores pertenecientes al grupo de riesgo?

Esta obligación de comunicación indiscriminada introducida por la referida Resolución Ministerial N° 448-2020-MINSA y el antedicho Decreto Supremo N° 117-2020-PCM.

Debemos recordar que el criterio de la DGPDP expuesto en la Opinión Consultiva N° 032-2020 establece que la regla general es la confidencialidad de los datos sensibles de los trabajadores, y que excepcionalmente y solo por razones de garantizar la salud de los trabajadores se permite el tratamiento de estos datos sin el consentimiento de su titular con la finalidad de evitar la propagación del virus.

Bajo esta misma lógica, podemos concluir razonablemente que la finalidad de que el empleador recopile información de los trabajadores pertenecientes al grupo de riesgo es identificarlos para poder tutelar de forma especial sus condiciones laborales, así como resguardar su salud[1].

Sin embargo, ¿resulta necesario o indispensable que el empleador comunique a clientes y trabajadores sobre si un trabajador posee un factor de riesgo para garantizar la finalidad señalada? La respuesta es que ello es innecesario y excesivo, por lo que esta nueva obligación de identificar al trabajador y señalar si tiene o no un factor de riesgo, vulnera el derecho fundamental a la protección de datos personales.

En la misma línea, Eduardo Luna, director de la Dirección General de Protección de Datos Personales, en una entrevista realizada por “World Compliance Association” dentro del contexto del Estado de Emergencia decretado con ocasión del COVID-19, indica que ni siquiera el MINSA o SUNAFIL en sus labores de fiscalización están habilitadas para conocer el nombre y apellido de los trabajadores con determinada condición de salud, pues sus funciones pueden ser cumplidas incluso si se anonimiza dicha información (2020).  Además, sostiene que en todo caso estas entidades públicas tendrán la carga de la prueba para acreditar ante el empleador que en efecto es indispensable y absolutamente necesario conocer la identidad exacta de los trabajadores y la condición de su salud para verificar el cumplimiento de alguna obligación (2020).

Ante este escenario, sorprende que en aplicación de la Resolución Ministerial N° 448-2020-MINSA y el Decreto Supremo N° 117-2020-PCM, se exija ahora al empleador publicar detalladamente los datos sensibles de los trabajadores, identificando a cada uno, de forma irrestricta en el referido plan. Y es que, como lo hemos indicado, la LPDP establece distintos principios para el tratamiento de los datos personales. En el caso del principio de finalidad (artículo 6 de la LPDP) este señala que los datos deben ser recopilados para una finalidad determinada, explicita y lícita.

Por ejemplo, esta información resultaría importante para que el área de Seguridad y Salud en el Trabajo determine si un trabajador puede desarrollar trabajo presencial o debe seguir desarrollando sus labores de forma remota.  Entonces, la finalidad de conocer quiénes poseen factores de riesgo es poder fijar sus condiciones laborales y el resguardo de su salud. En este proceso, la intervención de clientes u otros trabajadores no tiene incidencia alguna.

Sin perjuicio de lo anterior, el principio de proporcionalidad (artículo 7 de la LPDP) establece que el tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados. Es decir, el empleador en calidad de titular del banco de datos personales debe realizar un tratamiento de datos que resulte imprescindible para cumplir la finalidad autorizada. Así, claramente compartir información sensible como la pertenencia o no al grupo de riesgo de un trabajador con otros trabajadores o clientes únicamente resulta imprescindible para quien lidera el sistema de gestión de seguridad y salud en el trabajo y el área de relaciones laborales.

Bajo estas premisas no resulta razonable ni proporcional que datos sensibles sean compartidos con clientes y trabajadores de forma indiscriminada.

5. CONCLUSIONES

A partir de lo antes indicado, se ha evidenciado que la Resolución Ministerial N° 448-2020-MINSA no tomó en cuenta los principios generales en materia de protección de datos personales ni los criterios asumidos por la DGPDP, contrariamente a los esfuerzos de la DGPDP de armonizar las obligaciones laborales con las obligaciones relativas al correcto tratamiento de datos personales.

Frente a este escenario, consideramos que el empleador tiene dos opciones: (i) podría dar cumplimiento literal a la Resolución Ministerial N° 448-2020-MINSA y al Decreto Supremo N° 117-2020-PCM, exponiéndose a ser sancionado por la DGPDP; o (ii) el empleador podría compartir el “Plan para la vigilancia, prevención y control de COVID-19 en el trabajo” entre trabajadores y clientes, ocultando la información referida al factor de riesgo de cada uno de sus trabajadores, exponiéndose a sanciones por parte de la autoridad laboral, sin perjuicio de almacenarla de forma interna y remitirla a las autoridades sanitarias si así lo requieren.

De esta forma, el empleador es expuesto a tomar decisiones sin certeza sobre si el cumplimiento de una obligación laboral está infringiendo al mismo tiempo normas respecto al adecuado tratamiento de datos personales.


BIBLIOGRAFÍA

Luna, E. (2020) Entrevista al Dr. Eduardo Luna Cervantes, Director General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. World Compliance Association. https://vimeo.com/434842769/e71d119338


Julio Jefrie Rojas Saravia es Abogado por la PUCP con estudios en Legislación Laboral, Recursos Humanos y Datos Personales. Ex-Miembro del Equipo de Derecho Laboral de la Asociación Civil Taller de Derecho de la PUCP. Ha realizado publicaciones en revistas jurídicas como «Soluciones Laborales» del Grupo Gaceta Jurídica, “Ius 360” de Ius Et Veritas y «Jurídica» del Diario Oficial El Peruano. Actualmente, trabaja en el Área Laboral y de Datos Personales del Estudio Dentons.

Rosa Sobrados Burgos es estudiante de noveno ciclo de la Facultad de Derecho de la PUCP. Practicante del Área Laboral y de Datos Personales del Estudio Dentons.


[1] Por ejemplo, el trabajo remoto debe aplicarse de forma prioritaria a este grupo en virtud del artículo 20° del Decreto de Urgencia N° 026-2020; y no se les puede aplicar la suspensión perfecta de labores permitida por el Decreto de Urgencia N° 038-2020, de acuerdo al numeral 7.5. de la Versión 3 del Protocolo de N° 004-2020-SUNAFIL/INII aprobada mediante la Resolución de Superintendencia N° 0096-2020-SUNAFIL.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here