Recibimos regularmente solicitudes desde las empresas que tienen preguntas sobre la registración de los visitadores en relación al control de las infecciones, ambos en los lugares que desean registrar visitadores que desde proveedores de servicios por esta registración. El siguiente artículo lleva algunas indicaciones generales sobre cuáles normas de privacy se aplican en relación a esta registración.

Subrayamos que es entendido sólo como una guía general y que cada empresa en cumplimento con la norma de privacy del principio de responsabilidad tiene la responsabilidad independiente de familiarizarse con las leyes y las normas vigentes para el tratamiento de datos personales y documentar que sean respetadas.

Hemos también recibido solicitudes por parte de servicios que ofrecen la registración de empleados con el fin de un posible detectamiento de infecciones, pero no vamos hablar de esto en este artículo.

¿Por qué la registración de la visita?
La registración de los visitadores significa que una empresa tiene un registro de los visitadores. El fin es poder entregar a las autoridades sanitarias para el rastreo de eventuales contactos estrechos si, por ejemplo, un ospite en un restaurante resulta positivo a Covid-19.

Diferentes municipios han solicitado o aconsejado a las empresas registrar los visitadores en relación a cualquier detectamiento de infecciones. Algunos municipios han también solicitado la registración de los visitadores mediante reglamentos locales, mientras que en otros de ellos es la misión de la empresa decidir si mantener los registros de los visitadores.

Independientemente del hecho que la empresa debe o no tener un registro del municipio, es importante que cada empresa tenga en cuenta las reglas generales del tratamiento de los datos personales en la ordencia desde privacy si tiene que tener un registro de los visitadores.

Bases légales.
Cuando una empresa tiene que tener un registro de los visitadores, tiene que seguir las reglas generales de la ordenanza de privacy. Uno de los principios fundamentales es que todos los tratamiento de datos personales deben tener una base legal.

La ordenanza de privacy incluye diferentes razones alternativas, pero para la registración de los visitadores las motivaciones más importantes son:

1. que la empresa es autorizada para el reglamento (desempeña un papel de interés público) si es tenida a tener un registro,
2. o lo que se llama equilibrio de los interés si la empresa misma ha decidido registrar los visitadores.

También el consentimiento de cada visitador podría ser una base relevante para el tratamiento, pero es importante recordar que uno de los requisitos fundamentales para el consentimiento es que tiene que ser completamente voluntario. Esto significa que el consentimiento dejado bajo presión o para evitar consecuencias negativas no es válido. Nuestra recomendación es basar la registración de los visitadores sobre las normativas locales o un equilibrio de intereses como mencionado arriba.

Papeles y responsabilidad.
El punto de partida es que es la empresa que necesita de la registración a ser encargada del tratamiento, es decir lo que recibe las visitas y tiene que mantener una visión general. Si quieres utilizar un servicio para mantener los visitadores registrados, es importante que tu suscribas los acuerdos necesarios.

Si se utiliza un proveedor externo para procesar los datos personales en nombre de la empresa, este proveedor es el encargado del tratamiento. Esto significa que el derecho del proveedor de tratar los datos personales deriva desde el acuerdo con el responsable del tratamiento y que puede procesar los datos personales sólo según las instrucciones y no para su propio fines. El acuerdo entre el responsable del tratamiento (el restaurante) y el encargado (el proveedor de registración de visitas) se llama acuerdo de elaboración de datos, y los requisitos de privacy que un acuerdo tiene que incluir.

Necesidad y almacenamiento.
El principio de minimización de datos significa que las empresas pueden recoger solo los datos personales necesarios para lograr el fin de la registración.

Normalmente serán solo el nombre, las informaciones de contacto y el periodo de tiempo en el cual las personas se quedan en la actividad – y según las dimensiones de la habitación, posiblemente también donde se han puestos – para ser informaciones necesarias para la registración del visitador.

Seguridad de la información
El GDPR exige que todo el tratamiento de los datos personales se lleve a cabo con suficiente seguridad de la información, tanto durante la recopilación, el almacenamiento como cualquier transmisión.

Esto significa que la empresa individual debe asegurarse de que el registro de visitantes se almacena de forma segura, que las personas no autorizadas no pueden acceder a la información y que la información debe ser transmitida de forma segura a las autoridades sanitarias si corresponde.

Cuando una empresa decide utilizar un proveedor de registro de visitantes externo, es responsabilidad de la empresa asegurarse de que el proveedor que elija ofrece suficiente seguridad de la información en torno al almacenamiento del registro de visitantes.
Lea más sobre la seguridad de la información en nuestra página de recopilación

Canceladura
Cada empresa debe asegurarse de que los datos personales no se almacenan más tiempo del necesario para cualquier seguimiento de infecciones.

Normalmente no será necesario almacenar información sobre los visitantes por razones de control de infecciones durante más de 10 días, y las excepciones a esto deben estar justificadas específicamente.

¿Qué sucede en caso de un brote de infección?
Las normas para cuando el registro de visitantes puede ser entregado a las autoridades sanitarias y utilizado en el seguimiento de infecciones se rigen por la legislación de control de infecciones. Esto es normalmente hecho por las autoridades de salud que se ponen en contacto con el negocio individual y solicitan una visión general de los visitantes. Lea más sobre cómo se produce el seguimiento de infecciones en el sitio web del Instituto Noruego de Salud Pública

Un resumen

• Informar sobre el propósito. Dejó claro a los huéspedes qué información se está grabando, para qué se utilizará y cuánto tiempo se almacena. Por ejemplo, si va a utilizar un sistema de reserva en línea, también debe informar a los huéspedes si la información de la reserva se puede utilizar para el seguimiento de infecciones.
• Registre sólo lo necesario. Normalmente habrá nombres, datos de contacto y el período de tiempo que las personas han permanecido en las instalaciones, posiblemente en el lugar en el que se encuentra en las instalaciones si hay un caso de locales más grandes.
• Cuidado con la información. Asegúrese de que las personas no autorizadas no tengan acceso a la información registrada.
• No utilice la información para otros fines. La información debe ser capaz de ser utilizada para el seguimiento de infecciones si es necesario, y no otros fines tales como la comercialización.
• Elimine la información de forma continua. Cuando la información ya no es relevante y no es necesario almacenarla para cualquier seguimiento de infecciones, deben ser eliminadas. Normalmente habrá suficiente almacenamiento durante 10 días.
• Tener un acuerdo de procesamiento de datos. Si utiliza un proveedor externo para el registro de visitantes, este proveedor será un procesador de datos. Asegúrese de tener los acuerdos necesarios en su lugar.

Recuerde también que cuando se registran los datos personales, los huéspedes (los interesados) tienen una serie de derechos que la empresa individual debe tener en cuenta.
También le recordamos los otros deberes que tienen las empresas al procesar datos personales, sobre los que puede leer más en nuestra página de recopilación para las empresas.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA NORVEGIA