.svg.png){kind=icon}
- La AEPD expresa su preocupación por este tipo de actuaciones, que suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias.
La paulatina retirada de las medidas de
confinamiento y limitación de la actividad económica y social está
determinando la implantación de medidas encaminadas a prevenir nuevos
contagios de COVID – 19.
Entre estas medidas se está incluyendo,
aparentemente de forma generalizada y en muy variados entornos, la toma
de temperatura de las personas para determinar la posibilidad de que
puedan acceder a centros de trabajo, comercios, centros educativos u
otro tipo de establecimientos o equipamientos.
En esta situación, la Agencia Española de
Protección de Datos considera necesario destacar su preocupación por
este tipo de actuaciones, que se están realizando sin el criterio previo
y necesario de las autoridades sanitarias.
Tratamiento de datos personales sensibles
Debe señalarse, en primer lugar, que este
tipo de operación supone un tratamiento de datos personales que, como
tal, debe ajustarse a las previsiones de la legislación correspondiente.
Esta normativa contiene apartados específicos que contemplan
situaciones como la actual, al tiempo que permiten seguir aplicando los
principios y garantías que protegen el derecho fundamental a la
protección de datos.
Este tratamiento de toma de temperatura
supone una injerencia particularmente intensa en los derechos de los
afectados. Por una parte, porque afecta a datos relativos a la salud de las personas,
no sólo porque el valor de la temperatura corporal es un dato de salud
en sí mismo sino también porque, a partir de él, se asume que una
persona padece o no una concreta enfermedad, como es en estos casos la
infección por coronavirus.
Por otro lado, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos,
de forma que una eventual denegación de acceso a un centro educativo,
laboral o comercial estaría desvelando a terceros que no tienen ninguna
justificación para conocerlo que la persona afectada tiene una
temperatura por encima de lo que se considere no relevante y, sobre
todo, que puede haber sido contagiada por el virus.
En último extremo, y dependiendo del
contexto en que se aplique esta medida, las consecuencias de una posible
denegación de acceso pueden tener un importante impacto para la persona
afectada.
Criterios de implantación
La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente,
que en estos momentos es el Ministerio de Sanidad, de su necesidad y
adecuación al objetivo de contribuir eficazmente a prevenir la
diseminación de la enfermedad en los ámbitos en los que se apliquen,
regulando los límites y garantías específicos para el tratamiento de los
datos personales de los afectados.
En ese sentido, debe tenerse en cuenta,
entre otras cuestiones, que según las informaciones proporcionadas por
las autoridades sanitarias, hay un porcentaje de personas contagiadas
asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de
los síntomas presentes en pacientes sintomáticos, en particular en los
primeros estadios del desarrollo de la enfermedad, y que, por otro lado,
puede haber personas que presenten elevadas temperaturas por causas
ajenas al coronavirus.
Es por ello que estas medidas deben
aplicarse solo atendiendo a los criterios definidos por las autoridades
sanitarias, tanto en lo relativo a su utilidad como a su
proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente
para justificar el sacrificio de los derechos individuales que las
medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.
Por otro lado, esos criterios deben
incluir también precisiones sobre los aspectos centrales de la
aplicación de estas medidas. Así, por ejemplo, la temperatura a partir
de la cual se consideraría que una persona puede estar contagiada por la
COVID – 19 debería establecerse atendiendo a la evidencia científica
disponible. No debería ser una decisión que asuma cada entidad que
implante estas prácticas, ya que ello supondría una aplicación
heterogénea que disminuiría en cualquier caso su eficacia y podría dar
lugar a discriminaciones injustificadas.
Principio de legalidad
Como todo tratamiento de datos, la
recogida de datos de temperatura debe regirse por los principios
establecidos en el Reglamento General de Protección de Datos (RGPD) y,
entre ellos, el principio de legalidad. Este tratamiento debe basarse en
una causa legitimadora de las previstas en la legislación de protección
de datos para las categorías especiales de datos (artículos 6.1 y 9.2
del RGPD).
En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados.
Las personas afectadas no pueden negarse a someterse a la toma de
temperatura sin perder, al mismo tiempo, la posibilidad de entrar en
unos centros de trabajo, educativos o comerciales, o en los medios de
transporte, a los que están interesados en acceder. Por tanto, ese
consentimiento no sería libre, uno de los requisitos necesarios para
invocar esta base legitimadora.
En el entorno laboral, y
siempre que se hayan tenido en consideración las demás cuestiones que se
abordan en esta comunicación, la posible base jurídica podría
encontrarse en la obligación que tienen los empleadores de garantizar la
seguridad y salud de las personas trabajadoras a su servicio en los
aspectos relacionados con el trabajo. Esa obligación operaría a la vez
como excepción que permite el tratamiento de datos de salud y como base
jurídica que legitima el tratamiento.
Sin embargo, y adicionalmente, el RGPD
requiere también en estos casos que la norma que permita este
tratamiento ha de establecer también garantías adecuadas. Dichas garantías habrán de ser especificadas por el responsable del tratamiento.
Esa base jurídica podría ser tenida en
cuenta con un alcance amplio, atendiendo a que, aunque un centro o local
estén destinados a unas finalidades específicas que impliquen que en
ellos se concentren un elevado número de clientes o usuarios ajenos a la
empresa que los gestiona, siempre estarán presentes en ellos personas
trabajadoras sobre las que el empleador mantiene sus obligaciones.
Esta aproximación, no obstante, requiere
de una adecuada ponderación entre el impacto sobre los derechos de los
clientes o usuarios de estas medidas y el impacto en el nivel de
protección de las personas empleadas. Esa ponderación debe basarse en
diferentes factores. Ante todo, los criterios establecidos por las
autoridades sanitarias. Pero también los relacionados con el mayor o
menor riesgo que se pueda producir en cada caso concreto o con la
posibilidad de aplicar medidas alternativas de protección para el
personal. Por ejemplo, el riesgo será menor en un establecimiento en el
que las personas empleadas estén físicamente separadas de la clientela
que en otro en que esa barrera física no exista o sea más precaria.
En otros ámbitos en que no sea relevante
esta base jurídica, cabría plantear la existencia de intereses generales
en el terreno de la salud pública que deben ser protegidos. No
obstante, esta posibilidad requeriría igualmente, como establece el
artículo 9.2.i RGPD, de un soporte normativo a través de leyes
que establezcan ese interés y que aporten las garantías adecuadas y
específicas para proteger los derechos y libertades de los interesados.
La utilización del interés legítimo
de los responsables del tratamiento como base legitimadora quedaría en
todo caso excluida, por un doble motivo. Por una parte, porque ninguna
disposición del artículo 9.2 del RGPD permite levantar la prohibición de
tratamiento de datos sensibles por razones de interés legítimo (salvo
que en determinadas materias así lo contemple el derecho de la Unión o
de los Estados Miembro). Por otra, porque el impacto de este tipo de
tratamientos sobre los derechos, libertades e intereses de los afectados
haría que ese interés legítimo no resultara prevalente con carácter
general.
Limitación de finalidad y exactitud de los datos
La normativa de protección de datos
contiene otras disposiciones que resultan también especialmente
aplicables en el caso de las mediciones de temperatura como medida de
prevención contra la expansión de la COVID – 19.
Entre los principios de protección de
datos recogidos en el RGPD, debe mencionarse el de limitación de la
finalidad. Este principio supone que los datos (de temperatura) solo
pueden obtenerse con la finalidad específica de detectar posibles
personas contagiadas y evitar su acceso a un determinado lugar y su
contacto dentro de él con otras personas. Pero esos datos no deben ser
utilizados para ninguna otra finalidad. Esto es especialmente aplicable
en los casos en que la toma de temperatura se realice utilizando
dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la
posibilidad de grabar y conservar los datos o tratar información
adicional, en particular, información biométrica.
De igual modo, el principio de exactitud,
aplicado en este contexto, implica que los equipos de medición que se
empleen deben ser los adecuados para poder registrar con fiabilidad los
intervalos de temperatura que se consideren relevantes. Esta adecuación
debiera establecerse utilizando solo equipos homologados para estos
fines y con criterios que tengan en cuenta esos niveles de sensibilidad y
precisión. El personal que los emplee debe reunir los requisitos
legalmente establecidos y estar formado en su uso. Conviene insistir, a
este respecto, en el impacto que sobre los interesados tendría que la
identificación de un posible indicador de la existencia de contagio
resultara errónea como consecuencia de un equipo inapropiado o de un mal
desarrollo de la medición.
Derechos y garantías
En todo caso, los afectados siguen
manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de
aplicación las demás garantías que el Reglamento establece, si bien
adaptadas a las condiciones y circunstancias específicas de este tipo de
tratamiento.
En ese sentido, debieran considerarse, entre otras, medidas relativas a la información a
los trabajadores, clientes o usuarios sobre estos tratamientos (en
particular si se va a producir una grabación y conservación de la
información), u otras para permitir que las personas en que se detecte
una temperatura superior a la normal puedan reaccionar ante la decisión
de impedirles el acceso a un recinto determinado (por ejemplo,
justificando que su temperatura elevada obedece a otras razones).
Para
ello, el personal deberá estar cualificado para poder valorar esas
razones adicionales o debe establecerse un procedimiento para que la
reclamación pueda dirigirse a una persona que pueda atenderla y, en su
caso, permitir el acceso.
Es igualmente importante establecer los plazos y criterios de conservación
de los datos en los casos en que sean registrados. En principio, y
dadas las finalidades del tratamiento, este registro y conservación no
debieran producirse, salvo que pueda justificarse suficientemente ante
la necesidad de hacer frente a eventuales acciones legales derivadas de
la decisión de denegación de accesos.
Debe señalarse, por último, que esta
comunicación se refiere con carácter general a cualquier proceso de toma
de temperatura en los escenarios más probables en este periodo de
mitigación del confinamiento y limitaciones a la movilidad y a la
actividad social y económica.
Sin embargo, dependiendo del tipo de
tecnología que se emplee, puede ser necesario tomar en consideración
otros elementos que, aunque relacionados con los mencionados, tienen una
especial incidencia en una u otra de esas diferentes tecnologías.
Este es el caso de las cámaras térmicas,
a las que ya se ha hecho alusión, en la medida en que pueden ofrecer
posibilidades adicionales a la toma de temperatura y que, por ello,
deben ser utilizadas prestando especial atención a los principios de
limitación de finalidad y minimización de datos establecidos por el
artículo 5.1 RGPD.
