En las últimas semanas, los países, las empresas y la sociedad en su conjunto, nos enfrentamos a una situación de crisis internacional que no posee antecedentes en la historia reciente.

Esta pandemia que nos expone a una grave situación de salud pública conlleva en su esencia, la génesis de una crisis económica que según organismos internaciones como la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y la Organización Internacional del Trabajo (OIT), resultará en una amenaza al sector laboral con pérdidas que se cuantificarán por decenas de millones de puestos de trabajo y una afectación al sistema financiero global comparable con la crisis del año 2009.

Bajo estas circunstancias, los sectores público y privado han tomado medidas de diferente calibre según el riesgo a los que se ven expuestos.

Las empresas poseen la responsabilidad exigible de proteger a los colaboradores sin escatimar ningún esfuerzo o inversión. Pero al mismo tiempo, deben concientizar a sus colaboradores y personal que opere en los centros de trabajo a la reciprocidad en este cuidado, debiendo tomar las medidas necesarias para evitar cualquier tipo de riesgo a su salud, la de su grupo de trabajo y consecuentemente, a la operatividad de la compañía.

En estos días hemos leído y analizado muchos artículos y opiniones sobre la responsabilidad en el marco de un contrato laboral ante la situación crítica, pero, ¿Qué responsabilidad poseen las empresas que manejan datos personales, y en especial, bases de datos de carácter sensible? ¿Las organizaciones tienen derecho o responsabilidad de divulgar información de sus empleados cuando existe una crisis sanitaria?

¿Acciones para el bien común o violación de la privacidad?

Bajo la crisis epidemiológica que atravesamos, los actores de la sociedad civil nos vemos tentados a querer obtener la mayor cantidad de información de todas las fuentes posibles y a tratarla con diferentes fines. Pero la sobreinformación conlleva un riesgo inherente, el potencial daño a su titular.

Entendemos que cuando hablamos de “datos sensibles”, nos referimos a toda información de carácter personal que pertenece al foro íntimo de su titular, y que, si es sometida a divulgación o mal uso, la misma puede generar un daño, como situaciones de discriminación o riesgo grave para su titular.

La normativa internacional en materia de protección de datos personales, se enfrente a su “bautismo de fuego” respecto de los intereses de las partes, tanto de los titulares de los datos como de los sujetos obligados a la protección de dicha información. Desde el lugar que nos coloquemos de este dilema, encontramos argumentos para defender la posición de una divulgación oportuna, o bien, la de velar por el resguardo total de la información.

Ante esta situación, y como medida de prevención, se ha justificado la solicitud de datos como puede ser el estado de salud de las personas, los viajes realizados en las últimas semanas, si presentan síntomas o ya cuentan con un diagnóstico, la información de personal que se encuentra en tratamiento, etcétera. Esta información debe ser tratada de manera confidencial, debiendo responder su uso solamente a razones suficientes relacionadas con la prevención o contención de los riesgos, con previo consentimiento del titular de dicha información y en cumplimiento con las leyes locales, así como también las políticas y procedimientos internos de las empresas.

Cualquier uso que no esté relacionado con este fin, sin el debido control y notificación pertinente, posee un grado de criticidad elevado, pudiendo derivar en una responsabilidad legal al sujeto que realice actos por fuera de la norma. Pero, ¿Cuál es el límite?

En el caso de las empresas, la privacidad de los colaboradores es una cuestión de gran importancia, pero no es un derecho ilimitado. Deben matizarse con un sano y necesario equilibrio de los deberes e intereses comunes de los ámbitos donde el titular de la información desarrolle sus actividades laborales o personales, velando por el bien comunitario con un grado de conciencia y deber de cuidado, y por el otro lado, quienes recaben los datos deben garantizar que la información solicitada sea proporcional y evitando caer en la recopilación excesiva e infundada.

Estos puntos están respaldados por el propio conjunto normativo, como ocurre con la Ley Federal de Protección de Datos Personales en Posesión de Particulares, donde el texto expresa que limita su ejercicio cuando se trate información destinada a la protección de la seguridad nacional, el orden y la salud pública, situaciones en las cuales no se requerirá el consentimiento del titular para su uso. A la fecha, nos encontramos con resoluciones en la órbita de una emergencia sanitaria, que, con cierto grado de laxitud, han sido emitidas por autoridades en el territorio de los Estados pero que aún no abordan los temas aquí expuestos.

Entonces, ¿qué datos puedo recabar para evitar riesgos sanitarios? ¿Cómo los debo tratar?

Las empresas podrán conocer el estado de salud de sus colaboradores para poder diseñar y desplegar las medidas necesarias con el fin de contener la expansión de los factores de riesgo sanitarios que consideren oportunos como aquellos que hayan sido previstos por la autoridad sanitaria Estatal o Federal.

Siempre es oportuno dirigirnos directamente a los colaboradores o personas que laboren en los centros de trabajo que pueden estar afectadas, pero las preguntas a desarrollar deberán ser limitadas a la existencia de síntomas, saber si la persona ha concurrido a alguna institución de salud o profesional médico autorizado y si ha sido diagnosticado de algún padecimiento que requiera tratamiento específico.

Como parte de la evaluación de riesgos se pueden requerir estudios específicos o tomas de muestras para poder garantizar las condiciones de salud de los colaboradores y de los lugares de trabajo.

Resultaría contrario al principio de minimización de datos realizar censos masivos de salud con preguntas extensas en formularios detallados, o que incluyan preguntas no relacionadas a los potenciales padecimientos.

Es fundamental que las organizaciones tengan una persona responsable de la custodia de la información e implementación de la norma local, de los lineamientos y los correspondientes documentos internos de las empresas para la protección de la información. En muchos países, la figura del oficial de protección de datos o DPO por sus siglas en inglés, es una obligación legal y aunque la norma no lo contemple en otras jurisdicciones, hoy ya representa una práctica que debemos implementar en nuestras estructuras empresariales. El oficial de protección de datos deberá evaluar los límites de las responsabilidades y riesgos del tratamiento de la información como así también entrenar y monitorear las actividades de las áreas y personal que esté a cargo del manejo de bases de datos, en especial de aquellas que la norma determina como “sensibles”.

Toda vez que sea necesario comunicar dentro de las empresas o a terceras partes la existencia de un caso de infección, se debe considerar los principios de finalidad y proporcionalidad, por lo tanto, siempre que sea posible realizar un aviso e identificar la magnitud del riesgo divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo.

Si por diferentes circunstancias debemos realizar una divulgación de toda la información para identificar al personal afectado, se deberá realizar un análisis legal de la circunstancia para tomar la decisión oportuna y mitigar las consecuencias que dicho acto conllevará a las partes involucradas.

Es recomendable que las empresas cuenten con una política de protección de datos robusta y a la medida de su giro comercial, que contemple situaciones y escenarios como los expuestos pero que la misma se base en un análisis de riesgos en temas de protección de datos y puedan formalizar comités tanto de manejo de datos con los grupos de interés interno como de crisis para enfrentar situaciones como las que nos afecta a nivel global.

Como hemos comentado nos encontramos ante una situación sin precedentes en la historia de la sociedad contemporánea. Durante las próximas semanas y meses nos enfrentaremos a una gran cantidad de escenarios que solamente hemos visto estipulados como extremos contractuales para prever situaciones como las que se avecinan, pero que no ha tenido antecedentes de manera general en los registros jurisprudenciales y de doctrina de nuestros ámbitos judiciales.

Se pondrá a prueba el temple de los gobiernos en materia de política económica, seguridad pública y sanitaria como del actuar conforme a la ley, pero también al criterio de responsabilidad social y empresarial.

Bajo esta realidad que nos ha tocado vivir, tenemos el deber de no sacrificar la privacidad y la información de las personas utilizando dichos datos como si fueran un “comodity”, pero si tenemos la gran responsabilidad de velar por dichos derechos con el deber de cuidar a nuestra gente por lo que debemos llegar al sano equilibrio donde debemos divulgar los datos necesarios custodiando y garantizando el cumplimiento de la ley para prevenir una crisis sanitaria aun mayor, realizando una debida diligencia que permita no afectar a los individuos en su foro íntimo.

Stepancic Markaida es Global Compliance Director

Linkedin: https://www.linkedin.com/in/ignacio-gabriel-s-b7270a25/