La crisis sanitaria provocada por la COVID-19 ha puesto de manifiesto ciertas prácticas en el ámbito de la contratación laboral que consisten en solicitar a los candidatos a un puesto de trabajo información de si han pasado la COVID-19 y desarrollado anticuerpos como requisito para acceder al puesto de trabajo ofertado.

La Agencia Española de Protección de Datos considera necesario advertir que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.

La información de haber padecido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativo a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9, por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.

El RGPD requiere para el tratamiento de datos personales la existencia en todo caso de una base jurídica de las previstas en su artículo 6.1, y cuando se traten categorías especiales de datos personales, como son los datos relativos a la salud, es necesaria también la concurrencia de una de las excepciones previstas en el artículo 9.2 del RGPD que permiten levantar la prohibición de su tratamiento.

Entre las bases jurídicas que en principio podrían fundamentar dicho tratamiento por la empresa empleadora estarían el consentimiento del interesado, conforme al artículo 6.1.a) del RGPD, o la prevista en su artículo 6.1.b), relativa al tratamiento necesario para la ejecución de un contrato en el que la persona candidata es parte o para la aplicación a petición de esta de medidas precontractuales. Sin embargo, ni una ni otra base serían aplicables en el presente caso.

Consentimiento libre
Para que el consentimiento sea válido debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. El RGPD ha dejado bien claro que el consentimiento no debe considerarse libremente prestado cuando no se goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (considerando 42), o cuando exista un desequilibro claro entre las partes (considerando 43), como sucedería en el presente caso, en el que el consentimiento estaría condicionado por la necesidad o la voluntad de acceder a un puesto de trabajo, lo que anularía la libertad de la persona.

En ese sentido, el Comité Europeo de Protección de Datos ha ratificado las “Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679”, adoptadas el 28 de noviembre de 2017 por el Grupo de Trabajo del Artículo 29 y revisadas por última vez el 10 de abril de 2018 (WP259), que consideran que en el contexto del empleo se produce un desequilibrio de poder dada la dependencia que resulta de la relación entre las partes, y no es probable que la persona candidata pueda negar a la empresa el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales; y, por tanto, considera problemático que la empresa realice el tratamiento de datos personales de empleados y empleadas actuales o futuros sobre la base del consentimiento, ya que no es probable que éste se otorgue libremente.

En consecuencia, no sería lícito un tratamiento de datos de salud como el expuesto por parte de la empresa basándose en el consentimiento de la persona candidata, por no ser este un consentimiento libre.

Del mismo modo, tampoco podría considerarse aplicable la base jurídica del artículo 6.1.b) del RGPD (ejecución de un contrato), por cuanto la solicitud de dicho dato de salud no sería necesaria para la ejecución o formalización del contrato de trabajo y, por lo tanto, dicho tratamiento sería excesivo y contravendría el principio de minimización de datos fijado en el artículo 5.1.c) del RGPD, en relación con lo que se dispone en el artículo 7.4.

Desde el punto de vista de las excepciones que levantarían la prohibición de tratar estos datos sensibles, el consentimiento, que para funcionar como excepción debiera ser, además, explícito, no sería válido, por las mismas razones que se han indicado al analizarlo como base jurídica.

Cabría analizar si alguna otra de las excepciones previstas en el artículo 9.2 del RGPD, podría ser aplicable. En concreto cuando el tratamiento es necesario para atender a las obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del derecho laboral, de acuerdo con lo previsto por el derecho de la Unión o de los Estados Miembros.

En este contexto, solicitar información sobre el estado de inmunidad frente a la COVID-19 iría más allá de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales.

En primer lugar, porque la persona interesada aún no es empleada y la empresa no tiene por tanto obligaciones o derechos específicos frente a ella. En segundo lugar, porque la información sobre una posible inmunidad frente a la enfermedad no contribuye significativamente a la protección del resto del personal o de la propia persona, en la medida en que los protocolos de prevención de riesgos adoptados por las autoridades sanitarias y laborales se aplican por igual a todo el personal, orientándose por lo que se refiere a la presencia de infección a los casos sospechosos. Estos protocolos no estable