Durante este tiempo de confinamiento motivado por la pandemia del COVID-19, hemos visto cómo algunos establecimientos, e incluso algunas empresas, en la entrada a los mismos, ha implantado, como requisito para poder acceder, el poder pasar un control de temperatura corporal, impidiendo la entrada a aquellas personas que superen una determinada temperatura.
La idea en si no es mala, y seguramente beneficiosa para poder asegurar que los clientes regresen a sus negocios, pero estas empresas van a que tener en cuenta que cuando están accediendo al dato de la temperatura de sus clientes, lo hacen a un dato de salud, y por ello hay que dar cumplimiento a la normativa sobre protección de datos, que no ha quedado nunca derogada como consecuencia del estado de alarma.
En este punto nos podemos preguntar si esta apuesta tecnológica que ha despertado el fantasma de la intromisión a la intimidad. ¿Es una medida legal?
La Agencia Española de Protección de Datos ha emitido un informe sobre estas prácticas, que en ciertos casos pueden ser abusivas.
Este tipo de actuaciones, suponen una injerencia particularmente intensa en los derechos de los afectados y se están realizando sin el criterio previo de las autoridades sanitarias.
La implantación de esta medida se está llevando a cabo «de forma arbitraria y sin ningún tipo de rigor científico», a pie de calle por medio de los propios empresarios y no mediante facultativos cualificados, además de realizarse en algunos casos «mediante equipos no homologados y sin que se encuentren acompañadas de ningún otro tipo de medida adicionales», por lo que «son absolutamente contrarias» al RGPD.
Este tratamiento de toma de temperatura afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.
Por otro lado, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, la denegación de la entrada por no superar el control de temperatura, conlleva que terceros puedan conocer este dato, lo que, además, en la creencia de que ello puede significar la infección de esa persona por coronavirus pueda derivar en un impacto importante para la persona afectada.
La aplicación de estas medidas y el correspondiente tratamiento de datos requerirían la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, únicamente podría realizarse este tipo de pruebas si se publica una norma de carácter obligatorio por parte de las autoridades de salud que establezca la forma, los requisitos y las medidas de seguridad que se deberán aplicar.
Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.
Como todo tratamiento de datos, la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad. Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD).
Según la APED esta legitimación no puede ser, con carácter general, sólo el consentimiento del afectado, ya que este no sería libre (requisito necesario para invocar esta base legitimadora), pues si este se niega a la toma de temperatura no podría entrar al establecimiento comercial o al centro de trabajo.
En el entorno laboral, la posible base jurídica para el tratamiento de estos datos, podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo, proponiendo la AEPD ampliar el campo de esta legitimación para implantar la medida a los clientes, pues en el establecimiento no sólo se encontrarán los clientes sino también los empleados, sobre los que la empresa tiene la obligación de garantizar la salud en su puesto de trabajo.
Pero recuerda la AEPD que el Responsable del Tratamiento tendrá que ofrecer garantías adecuadas y en el caso de los clientes tendría que llevarse a cabo una ponderación entre los derechos de los trabajadores y el impacto sobre los derechos de los clientes.
Esa ponderación debe basarse en diferentes factores. Ante todo, los criterios establecidos por las autoridades sanitarias. Pero también los relacionados con el mayor o menor riesgo que se pueda producir en cada caso concreto o con la posibilidad de aplicar medidas alternativas de protección para el personal. Por ejemplo, el riesgo será menor en un establecimiento en el que las personas empleadas estén físicamente separadas de la clientela que en otro en que esa barrera física no exista o sea más precaria.
La AEPD no descarta como base legitimadora la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos, pero recuerda que para ello sería necesario un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.
La AEPD rechaza el interés legítimo como base legitimadora, por no estar permitido por el RGPD para el tratamiento de datos sensibles.
También hay que tener en cuenta que entre los principios de protección de datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad. Los datos obtenidos de medición de temperatura no podrán ser utilizados para ningún otro fin que el de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas.
De igual modo, el principio de exactitud, aplicado en este contexto, implica que los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes, de ahí la necesidad de que los equipos de medición que se utilicen deberán ser homologados y fiables, que no den lugar a error. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso.
Se han de respetar así mismo los derechos de los afectados que se regulan en el RGPD y ofrecer las garantías adecuadas. Hay que informar del tratamiento, hay que establecer plazos de conservación de los datos cuando ésta se grabe, hay que respetar los principios de limitación de la finalidad y el de minimización de datos.
Pueden obtener más información en: