La paulatina retirada de las medidas de confinamiento y limitación de la actividad económica y social se está determinando la implantación de medidas encaminadas a prevenir nuevos contagios de COVID – 19. Entre dichas medidas, se está llevando a cabo la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos.
En esta situación, la AEPD, en su comunicación del 30 de abril, destaca su preocupación por este tipo de actuaciones, que se están realizando sin el criterio previo y necesario de las autoridades sanitarias. Ante esta situación, la Agencia resalta lo siguiente:
1. Tratamiento de datos personales sensibles
La AEPD recuerda que la toma de temperatura supone un tratamiento de datos personales que, como tal, debe ajustarse a las previsiones de la legislación correspondiente. En este sentido, nuestra normativa permite ante situaciones como la actual, el tratamiento siempre y cuando se apliquen los principios y garantías que protegen el derecho fundamental a la protección de datos.
Este tratamiento de toma de temperatura supone una injerencia intensa en los derechos de los afectados. Debido a que afecta a datos relativos a la salud de las personas y porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como la infección por coronavirus.
Estos controles de temperatura se van a realizar con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros que no tienen ninguna justificación para conocerlo que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus. Las consecuencias de una posible denegación de acceso pueden tener un impacto para la persona afectada.
2. Criterios de implantación
La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente (el Ministerio de Sanidad), de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.
En ese sentido, debe tenerse en cuenta que:
(i) hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre, (ii) la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, (iii) puede haber personas que presenten temperaturas altas por causas ajenas al coronavirus.
Es por ello por lo que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias. Esos criterios deben incluir precisiones sobre los aspectos centrales de la aplicación de estas medidas.
3. Principio de legalidad
La recogida de datos de temperatura debe regirse por los principio establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad. Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos.
En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser,
con carácter general, el consentimiento de los interesados. Este consentimiento no sería libre, ya que los afectados no pueden negarse a someterse a la toma de temperatura sin perder, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, a los que están interesados en acceder o requieren acceder para realizar sus funciones laborales.
En el entorno laboral, y siempre que se hayan tenido en consideración las demás cuestiones que se abordan en esta comunicación, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.
Adicionalmente, el RGPD requiere también en estos casos que la norma que permita este tratamiento ha de establecer también garantías adecuadas. Dichas garantías habrán de ser especificadas por el responsable del tratamiento.
Esa base jurídica, no obstante, requiere una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas. Esa ponderación debe basarse en diferentes factores. Ante todo, los criterios establecidos por las autoridades sanitarias. Pero también los relacionados con el mayor o menor riesgo que se pueda producir en cada caso concreto o con la posibilidad de aplicar medidas alternativas de protección para el personal.
La utilización del interés legítimo de los responsables del tratamiento como base legitimadora quedaría en todo caso excluida, por un doble motivo: (i) el RGPD no permite levantar la prohibición de tratamiento de datos sensibles por razones de interés legítimo y (ii) porque el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de los afectados haría que ese interés legítimo no resultara prevalente con carácter general.
4. Limitación de finalidad y exactitud de los datos
Entre los principios de protección de datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad. Esto implica que los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.
De igual modo, el principio de exactitud implica que los equipos de medición que se empleen deben ser los adecuados para registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. En este sentido, la AEPD insiste en el impacto que sobre los interesados tendría la identificación de un posible indicador de la existencia de contagio resultara errónea como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición.
5. Derechos y garantías
Ante las condiciones específicas de estos tratamientos, los afectados siguen manteniendo sus derechos y garantías establecidas en el RGPD.
Por ello, debe tenerse en cuenta medidas en relación a:
La información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información),
Permitir que las personas en que se detecte una temperatura elevada puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla.
Establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.