Circular 1031-2020 Implicaciones de privacidad y protección de datos personales COVID-19, que preparó la firma especialista Greenberg Traurig, S.C. que es interesante y vale la pena tener en cuenta. Print E-mail
Friday, 20 March 2020 08:41
There are no translations available.

Circular 1031-2020

Implicaciones de privacidad y protección de datos personales COVID-19, que preparó la firma especialista Greenberg Traurig, S.C. que es interesante y vale la pena tener en cuenta.

 

  • La obtención y tratamiento por parte de los patrones de datos de estado de salud de empleados relacionados con el COVID-19 -en la fase de prevención, casos diagnosticados y seguimiento a los mismos-, está justificado y puede llevarse a cabo inclusive sin necesidad de obtener el consentimiento de los individuos. Esto, ya que su tratamiento es necesario: (i) para que los patrones puedan cumplir con su obligación de mantener la seguridad e higiene y la prevención de riesgos de trabajo en los centros de trabajo establecida en la Ley Federal del Trabajo, las NOMs aplicables, sus reglamentos interiores de trabajo y las políticas y procesos que implementen las empresas para atender esta situación, (ii) para el mantenimiento de la relación laboral, y (iii) para evitar daños al individuo y a terceros.  En caso de una declaratoria de contingencia sanitaria, los patrones deberán implementar las medidas señaladas en la misma, incluyendo en lo relacionado al tratamiento de datos personales
  • Los datos de salud u otros (por ejemplo, información sobre viajes previamente realizados) que obtenga el patrón, deben ser los mínimos necesarios para la implementación de las medidas para prevenir o contener la propagación del virus. Esto es, los datos deben ser solamente los necesarios para el cumplimiento de finalidades que se listan en el párrafo anterior. Esta información personal no se puede utilizar para propósitos distintos. Los datos solamente deben conservarse mientras sean necesarios para atender la crisis del COVID-19.
  • Se debe proteger la confidencialidad de las personas afectadas por el COVID-19.  En este contexto, y a falta del consentimiento previo y por escrito de la persona afectada, NO se debe identificar a ningún empleado de forma individual en las comunicaciones que realice la organización sobre la presencia (o posible presencia) de COVID-19 en el lugar de trabajo. Se podría señalar que existen casos, pero sin identificar a la persona por su nombre o por cualquier otra información. Solamente debe tener acceso y conocer los datos personales sobre estado de salud de los empleados, el personal que tenga una razón justificada para hacerlo; por ejemplo, gente del área de recursos humanos o gente del equipo de la persona afectada para que puedan tomar precauciones y para continuidad del trabajo. Estas excepciones se deben aplicar de forma restrictiva.
  • La transferencia de datos con autoridades de salud deberá ser documentada claramente y realizarse solamente si se cuenta con el consentimiento previo y por escrito de los empleados o si existe una solicitud debidamente fundada y motivada.
  • Los empleados deben conocer las finalidades para las que se están tratando sus datos de salud, por lo que las empresas deben revisar sus avisos de privacidad para que, en caso de ser necesario, actualizarlos e informarle a los empleados sobre tales cambios -a través del mecanismo señalado en el propio aviso-. En caso de que los empleados ya se encuentren trabajando de forma remota, se les podría enviar por correo electrónico o publicarlo en el intranet la empresa.
  • Las empresas deben considerar que los datos se salud son sensibles, por lo que en su tratamiento se requieren de medidas de seguridad reforzadas y en su tratamiento deben cumplir con los principios de protección de datos personales de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, y con los deberes de confidencialidad y seguridad.

 

Â