La pandemia COVID-19 ha supuesto un antes y un después en nuestra realidad social y económica. Tras unos meses en los que nuestra forma de vida se frenó en seco, la sociedad va retomando, poco a poco y conforme a las pautas marcadas por las autoridades competentes al respecto, la “normalidad”. Una nueva normalidad en la que entra en juego un elemento, hasta ahora impensable para muchos, la contención de una pandemia; concretamente, la COVID-19.
En el contexto de mantener la continuidad de la actividad productiva con las garantías sanitarias suficientes y respetando los protocolos de salud pública establecidos por las autoridades sanitarias competentes, las entidades, atendiendo a su situación práctica, deben instaurar medidas que eviten la propagación del virus y garanticen, a su vez, la seguridad de sus empleados, clientes y proveedores.
Así, una de las medidas que más notoriedad ha tenido, entre todas las previstas, es el uso de dispositivos de medición de la temperatura corporal, tales como cámaras térmicas, dispositivos estáticos…etc., que permiten medir, controlar y, en su caso, registrar la temperatura corporal de las personas tanto en los accesos a establecimientos abiertos al público como, sobre todo, a centros de trabajo.
Si esta medida ha alcanzado una cierta popularidad, es por la significativa alarma que ha causado, tanto a nivel social, por el posible impacto que puede suponer en la privacidad de los ciudadanos, cómo de cara a los profesionales de la privacidad entre quienes se han generado diferentes corrientes de pensamiento sobre la aplicabilidad, en este contexto, de la normativa en materia de protección de datos.
Debemos de partir de la base de que, a día de hoy, y a fecha de publicación de este artículo, no existe un criterio unánime a este respecto ni por parte de las autoridades sanitarias, ni desde la propia Agencia Española de Protección de Datos, (en adelante AEPD) acerca de este extremo.
Si bien es cierto que, el pasado 30 de abril, la AEPD emitía comunicado acerca de la aplicación de estas medidas de contención, en la práctica, este puede llegar a resultar un tanto confuso por no discernir los diferentes escenarios en los que dichas medidas pueden resultar de aplicación. Y lo cierto es que, no se puede aplicar la misma teoría para todos ellos.
En derecho no hay criterios absolutos y es por ello por lo que, en la situación que analizamos en este artículo, hemos de discernir un conjunto de escenarios en los que esta medida de contención resultaría de aplicación, siendo, algunos de ellos, más óptimos desde el punto de vista de protección de datos, que otros.
TOMA DE TEMPERATURA EN COMERCIOS, CENTROS DE RESTAURACION Y DEMÁS ZONAS DE ACCESO PÚBLICO CON AFORO LIMITADO.
1. La primera situación es que la medición de temperatura corporal se realice a través de sistemas que no identifiquen a personas físicas. ¿Cuáles existen y cómo funcionan? A pesar de la amplia variedad que, en una sociedad tecnológica como la actual, podemos encontrarnos, nos centramos en los siguientes dos sistemas:
a. Las cámaras termográficas, que ofrecen una imagen en la que se puede controlar en tiempo real las radiaciones de calor que emanan de un cuerpo. Así, y sin captar la imagen física de la persona, estos sistemas se ocupan de ‘pintar’ una imagen con esa radiación, invisible al ojo humano.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones.
La peculiaridad de este primer escenario es que, independientemente del sistema escogido, no se procedería a registrar la información de aquellos interesados que accedan a los diferentes espacios, si no, sencillamente, se tomaría su temperatura. Si bien es cierto que la fiebre es un dato de carácter personal, lo es en tanto en cuanto vaya vinculada a una persona física identificada o identificable y se deje un registro de dicha información.
Consecuentemente, si no hay una identificación del afectado ni tampoco se registra la información obtenida sobre el mismo, no existiría un tratamiento de datos de carácter personal en sentido estricto, ni sería, consecuentemente, de aplicación la normativa de protección de datos actualmente vigente, esto es, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).
Son muchas las voces contrarias a esta teoría, que destacan que la denegación de la entrada a un interesado a un espacio por no superar el control de temperatura puede conllevar que terceros conozcan de este extremo, derivando en un impacto para la persona afectada como consecuencia del ámbito público en el que este se realiza.
No obstante, no podemos olvidar que este impacto afectaría a la esfera social de la persona, pero, en ningún caso, a las obligaciones que, en materia de protección de datos, pudiese llegar a tener la entidad pues, como hemos indicado al principio de este escenario, no identificar al afectado, ni registrar la información relativa a su persona no conlleva un tratamiento de datos de carácter personal.
No obstante, lo anteriormente indicado no es óbice para que como entidad cumplamos con una serie de buenas prácticas desde un punto de vista de transparencia, tales como la colocación de un cartel que avise a los interesados de que estamos llevando a cabo un control de temperatura para la contención de la COVID-19, pero sin que se lleve a cabo un registro de aquella información que obtengan ni se vincule a su persona.
2. Cuestión, claramente diferente, sería que esos sistemas de medición sí que identificasen al interesado y registrasen la información que, de su persona, se va a recabar. En este escenario, volvemos a hacer referencia a dos sistemas de medición concretos:
a. Las cámaras térmicas que, no sólo recojan un mapa de calor del usuario si no que, además, vayan acompañadas de un reconocimiento facial como pueden realizar las cámaras de videovigilancia al uso.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones; acompañados, a su vez, de un registro, de datos, como pueden ser nombres y apellidos, o cualquier otro que permita la identificación de quién accede a las instalaciones.
En este segundo escenario, sí nos encontraríamos ante un tratamiento de datos de carácter personal atendiendo a la definición que de tal concepto se da en el artículo 4.2 del RGPD, un tratamiento de datos de carácter personal se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación…(…).
Nos parece oportuno recordar, en este punto, que si hablamos de tratamiento de datos, se ha de entender la fiebre como un dato de salud, especialmente protegido, por lo que, para que dicho tratamiento resulte válido, este ha de poder ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD en relación con su artículo 9. Así, atendiendo a los criterios emanados por la AEPD, el tratamiento resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (6.1.c y 9.2 letra b), concretamente:
– Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública cuyo artículo 3 señala que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria (…) podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato (…).
– Ley 33/2011, de 4 de octubre, General de Salud Pública que se remite, en sus artículos 4 y 5, a la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades.
– Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales pues, no olvidemos que, independientemente de a quién se tome la temperatura, siempre habrá intrínseca una protección de los trabajadores de la entidad.
En cuanto al uso del consentimiento como base legitimadora del tratamiento, la propia AEPD estableció al respecto que, no podrá ser el sustento de la aplicación de estas medidas al considerar que el mismo no sería libre al no poder, las personas afectadas, negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en un establecimiento.
Así, una vez hemos determinado la licitud del tratamiento de datos, el siguiente paso es conocer qué obligaciones tenemos que cumplir cómo entidad para actuar conforme a RGPD y LOPGDD:
– Llevar a cabo el tratamiento de los datos conforme a los principios de limitación de la finalidad, y minimización de datos, específicamente.
– Cumplir con el principio de información recogido en los artículos 13 del RGPD y 11 de la LOPDGDD:
– Mediante la colocación de un cartel informativo en cada uno de los accesos termo vigilados.
– Con la elaboración de una cláusula informativa a disposición de todo aquel usuario que acceda a las instalaciones y que recoja la información exigida en los artículos 13 del RGPD y 11 de la LOPDGDD.
– Adoptar las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (artículo 32 RGPD).
– Atendiendo al alcance de la novedosa tecnología utilizada, y siempre y cuando esta pueda suponer un alto riesgo para los derechos y libertades de las personas físicas por el registro de datos sensibles, sería necesaria la realización de una Evaluación de impacto ad hoc en los términos establecidos por el artículo 35 del RGPD y la AEPD en su Guía para la Evaluación de Impacto en la Protección de Datos Personales.
TOMA DE TEMPERATURA EN EL AMBITO LABORAL.
Centramos ahora, nuestra atención en otro ámbito en el que podemos encontrarnos el uso de este tipo de sistemas de contención de la pandemia COVID-19: el ámbito laboral.
Partimos del pronunciamiento que, la AEPD, hizo, a través de un documento de preguntas frecuentes en el que centraba su atención en el tratamiento de datos resultantes de la COVID-19 en el entorno laboral. Lo importante que debemos de tener en cuenta aquí es que, el criterio a aplicar variará dependiendo del volumen y tipología de entidad ante la que nos encontremos.
Así, nuestro análisis se centrará en la aplicabilidad, o no, de la normativa vigente en materia de protección de datos, dejando a un lado cuestiones relativas a la gestión de las medidas de contención tales como quién debe llevar a cabo la misma sobre las cuales ya se ha pronunciado la AEPD.
De nuevo, volvemos a encontrarnos con dos escenarios claramente diferenciados:
1. Entidades con un volumen de empleados elevado, como podría ser el caso de grandes fábricas, y en las que la toma de temperatura se lleva a cabo por una persona, incluso en ocasiones ajena a la entidad, que hace improbable la identificación de los trabajadores cuya temperatura se mide. En este caso, nos encontraríamos en el mismo escenario descrito al inicio de este artículo: si no hay identificación, ni tampoco un registro del personal, no habría tratamiento de datos.
No obstante, y aunque inicialmente podemos no estar ante un tratamiento de datos de carácter personal, este hecho, tendría una excepción, como sería el caso de que, se detectase un positivo entre los empleados, se iniciaría el correspondiente proceso de protección de salud por parte del empleador, y que conllevaría, entre otras cuestiones, la comunicación a las autoridades sanitarias competentes tal y como recoge la reciente Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad, publicada en el BOE el 12 de mayo.
2. Entidades en las que, el volumen de empleados sea menor y quién lleve la toma de temperatura de los empleados sea alguien interno de la entidad. En esta casuística, parece lógico pensar que la identificación del trabajador cuya temperatura corporal se toma, es perfectamente posible. Ello, sumado a la captación y registro de la temperatura, nos situaría en una situación de tratamiento de datos de carácter personal.
Así, y en el presente caso, sería la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales la que legitimaría a la entidad correspondiente al tratamiento de dichos datos de carácter personal. Así lo asevera la AEPD en su comunicado al indicar que los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.
Considera, asimismo, que verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la entidad constituye una medida relacionada con la vigilancia de la salud de los trabajadores que resulta obligatoria para el empleador para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la entidad y/o centros de trabajo.
Añade que, en todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y es por ello que, como entidad, deberemos cumplir con los principios de licitud, limitación del plazo de conservación, minimización de datos e información.
Asimismo, y tal y como mencionábamos anteriormente, atendiendo a la novedosa tecnología utilizada, y la incidencia en los derechos y libertades de los empleados, como consecuencia del dato de salud recogido, deberemos realizar una Evaluación de Impacto en los términos establecidos por el artículo 35 del RGPD y la AEPD en su Guía para la Evaluación de Impacto en la Protección de Datos Personales.
Conforme a todo lo antedicho, parece claro que aquellos escenarios en los que no identifiquemos ni registremos la información relativa al afectado, ni su temperatura corporal, serían los más óptimos desde el punto de vista de la privacidad por no considerar que exista un tratamiento de datos de carácter personal.
Aun así, y en el caso de que, finalmente se considerase que el mero hecho de tomar la temperatura a trabajadores, clientes y proveedores pudiese suponer un tratamiento de datos de carácter personal, nuestro esfuerzo como responsables del tratamiento deberá centrarse en minimizar el impacto que dicho tratamiento pueda tener en la esfera privada del afectado mediante la adopción de medidas que minimicen el impacto que estos métodos de contención puedan ocasionar:
– Recabando, exclusivamente, aquellos datos que resulten estrictamente necesarios en dicho contexto sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad (principio de minimización de datos).
– Tratar los datos atendiendo a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban (principio de limitación de la finalidad)
A modo conclusión, parece claro que deberemos esperar a tener un pronunciamiento específico al respecto, por parte de la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, acerca de la utilidad y proporcionalidad de estas medidas atendiendo al objetivo final que estas persiguen: la contención de la pandemia COVID-19.