La AEPD, preocupada por la toma de temperaturas en comercios, oficinas y otros espacios

  • Normativa

La autoridad española de protección de datos ha expresado su preocupación sobre la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos, ya que considera que "suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias".

 

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

A medida que se retiran las medidas de confinamiento y empieza tímidamente la actividad económica, comercios y otros establecimientos están implantando medidas para prevenir contagios, conscientes de que si el consumidor no se siente en un entorno seguro, no entrará.

La autoridades sanitarias no han sido claras de qué hacer y, entre las medidas que se está incluyendo, se encuentra la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.

En esta situación, la Agencia Española de Protección de Datos considera necesario destacar su preocupación por este tipo de actuaciones, que se están realizando sin el criterio previo y necesario de las autoridades sanitarias.

Según un comunicado de este organismo, este tipo de operación supone un tratamiento de datos personales que, como tal, debe ajustarse a las previsiones de la legislación correspondiente. Esta normativa contiene apartados específicos que contemplan situaciones como la actual, al tiempo que permiten seguir aplicando los principios y garantías que protegen el derecho fundamental a la protección de datos.

Este tratamiento de toma de temperatura es “una injerencia particularmente intensa” en los derechos de los afectados porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una enfermedad. Además, si se le impide a una persona el acceso a un espacio, se desvela a terceros que puede estar contagiada y, por último, una denegación de acceso pueden tener un importante impacto para la persona afectada.

La AEPD considera que la adopción de esta medida requiere que el Ministerio de Sanidad determine si es necesaria y se adecúa al objetivo de prevenir contagios, pero que también regule los límites y garantías específicos para el tratamiento de los datos personales de los afectados. Esto todavía no se ha hecho.

La autoridad en este ámbito reflexiona sobre el hecho de que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus. Por tanto, concluye que las tomas de temperatura deben aplicarse “solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas”.

Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas como, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por el patógeno.

Legalidad 
Como todo tratamiento de datos, la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (GDPR, en sus siglas inglesas) y, entre ellos, el principio de legalidad. Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 de la norma).

En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión del coronavirus, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder. Por tanto, ese consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.

En el entorno laboral, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. “Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento”, explica la AEPD.

Con todo, GDPR requiere también en estos casos que la norma que permita este tratamiento ha de establecer también garantías adecuadas, que habrán de ser especificadas por el responsable del tratamiento de datos.

A su juicio, esa base jurídica podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones.

Esta aproximación, no obstante, requiere de una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas. Y esa ponderación debe basarse en diferentes factores, ante todo, en “los criterios establecidos por las autoridades sanitarias”, insiste el organismo.

En otros ámbitos en que no sea relevante esta base jurídica, cabría plantear la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos, aunque también es necesario que haya un soporte normativo, ya que la utilización del interés legítimo de los responsables del tratamiento como base, en este caso, no es posible.

Otros principios que se tienen que cumplir el de finalidad, es decir, que los datos solo se pueden emplear para un fin específico (detectar posibles personas contagiada)  y para solo ése, y el principio de exactitud, que implica que los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.

Derechos y garantías
Conforme a las explicaciones de la AEPD, los afectados siguen manteniendo sus derechos y garantías aunque adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento. En ese sentido, deberían considerarse, entre otras, medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.

Es igualmente importante establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no deberían producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.