La Agencia Española de Protección de Datos considera que esta práctica supone una injerencia en los derechos de los afectados y que se está realizando sin el criterio previo de las autoridades sanitarias.

Con el inicio de la fase de desescalada del confinamiento y la vuelta paulatina a la actividad económica y social, todas las entidades se plantean las medidas más idóneas para evitar que se produzcan contagios en sus instalaciones, a la vez que se intenta trasladar tranquilidad a usuarios y trabajadores en la prestación y uso de sus servicios. Entre estas medidas, se está planteando de forma generalizada la toma de temperatura de las personas para determinar el riesgo de coronavirus y decidir si éstas pueden acceder o no a las instalaciones.

Ante lo generalizado de esta práctica la Agencia Española de Protección de Datos (AEPD) acaba de publicar un comunicado en el que expresa “su preocupación por este tipo de actuaciones, que suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias.” 

A continuación vamos a realizar un breve resumen con los aspectos más destacados del comunicado emitido por la AEPD sobre este asunto, con el fin de aclarar dudas a nuestros seguidores e intentar sacar unas conclusiones al respecto para saber qué decisión adoptar. 

En primer lugar, la AEPD destaca que con esta práctica se están tratando datos personales especialmente sensibles, como son los relativos a la salud de las personas, y no solo por determinar la temperatura corporal, sino lo que se asume a partir de la misma, como es que alguien pueda padecer una enfermedad concreta, el coronavirus, con todas las consecuencias sanitarias y sociales que esto representa para el interesado. A esto se le puede sumar la dificultad para evitar la confidencialidad de los resultados, ya que ante una eventual denegación de acceso, muy fácilmente el resultado quedará desvelado a otras personas que no tienen ninguna justificación para conocerlo.

Además, este tratamiento de datos personales debe estar amparado, como cualquier otro, por el principio de legalidad, y por lo tanto contar con una base legitimadora de las previstas en los artículos 6.1 y 9.2 del Reglamento General de Protección de Datos (RGPD). En este sentido, no parecería muy razonable basar dicho tratamiento en el consentimiento del interesado, ya que este consentimiento no sería libre, desde el punto de que negarse a la comprobación de la temperatura conllevaría la imposibilidad de acceder al espacio o servicio correspondiente. Por lo que respecta al ámbito laboral, la toma de temperatura platea la AEPD que podría estar basada en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras (art. 9.2.b) y h) RGPD). Sin embargo, el RGPD requiere también en estos casos que la norma que permita este tratamiento ha de establecer garantías adecuadas, basarse en los criterios establecidos por las autoridades sanitarias y ponderar la posibilidad de aplicar medidas alternativas según el mayor o menor riesgo del caso concreto y el impacto sobre los derechos de trabajadores, clientes y usuarios. Finalmente, respecto a la determinación de una base jurídica que justifique este tratamiento de datos, la AEPD analiza la posibilidad de que el mismo se basara en: 1) El interés general en el terreno de la salud pública, lo que requeriría, como establece el art. 9.2.i) RGPD, de una ley que aporte las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados (norma que aun no existe); o 2) El interés legítimo de los responsables del tratamiento de los datos, lo que es inviable, ya que el art. 9.2 del RGPD no permite levantar la prohibición de tratamiento de datos sensibles (como son los de salud) por razones de interés legítimo.   

Finalmente, más allá del análisis de la base jurídica para llevar a cabo el tratamiento de datos que nos ocupa, la AEPD hace referencia en su comunicado a la importancia de tener en cuenta una serie de requerimientos normativos de especial aplicación, y que hacen referencia al principio de limitación de la finalidadexactitud de los datos y derechos y garantías para los afectados. Los resumimos a continuación:

  1. Los datos de temperatura solo podrían obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Esto hay que tenerlo en cuenta para casos en que los dispositivos utilizados permitan grabar y conservar los datos o tratar la información adicional, tales como información biométrica.
  2. Los equipos que se utilizaran deben ser fiables y homologados con estos fines. Igualmente, el personal que los emplee deberá reunir los requisitos que se establezcan legalmente y estar formados en su uso.
  3. Se deberán adoptar todas las medidas correspondientes para garantizar una información transparente y clara a los afectados, así como facilitar el ejercicio de la reclamación correspondiente ante un positivo y con ello frente a la decisión de impedir el acceso a un recinto determinado.
  4. Será fundamental establecer plazos y criterios de conservación de los datos recabados.

Para terminar, la AEPD insiste en que la aplicación de este tratamiento de datos “requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que aplique, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.”. Así, se plantea la AEPD una serie de incógnitas que habría que dilucidar o sobre las que habría que fijar criterios por parte de la Autoridad competente, tanto en lo relativo a su utilidad como a su proporcionalidad: ¿qué ocurre con las personas asintomáticas contagiadas que no presentan fiebre?¿y si la fiebre no es uno de los síntomas presentes en el paciente sintomático concreto?¿y si la causa de la fiebre es ajena al coronavirus?¿qué temperatura determinará que una persona puede estar contagiada por el COVID-19?.  

Como conclusión, parece recomendable esperar para la implantación de este sistema de control de temperatura a que se pronuncie el Ministerio de Sanidad determinando, mediante la norma correspondiente, los criterios a seguir y, en todo caso, asesorarse en el momento en que se decida la instalación del sistema por un profesional de la privacidad que valore todos los aspectos a tener en cuenta y determine la necesidad de llevar a cabo una Evaluación del Impacto en la Protección de los Datos previa a dicha implantación.

Si está interesado en obtener más información sobre este tema póngase en contacto con nosotros aquí o llamándonos al teléfono 619 414 937.

Comunicado de la Agencia Española de Protección de Datos en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos   

Autor: Federico Rodríguez Ardila. Abogado. Delegado de Protección de Datos con nº de certificación ES2011226 del CEPER según el Esquema de la AEPD.   

Ir al contenido