Antecedentes de hecho
La retirada de las medidas de confinamiento está determinando la implantación de medidas encaminadas a prevenir nuevos contagios de COVID – 19.
Entre estas medidas se está incluyendo la toma de temperatura COVID de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.
En esta situación, la Agencia Española de Protección de Datos (AEPD) muestra su preocupación por este tipo de actuaciones, que se están realizando sin el criterio previo y necesario de las autoridades sanitarias.
Fundamentos de derecho
Este tratamiento de datos, consistente en la toma de temperatura supone una injerencia particularmente intensa en los derechos de los afectados.
- Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por COVID-19.
- Por otro lado, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a unas determinadas instalaciones estaría desvelando a terceros, que no tienen ninguna justificación para conocerlo, que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.
Criterios de implantación
En cuanto a los criterios de implantación, la aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, (Ministerio de Sanidad) de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad.
En este sentido, debe tenerse en cuenta, que, según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al COVID-19.
Es por ello, que estas medidas deben aplicarse sólo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.
Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID–19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.
Como todo tratamiento de datos, la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad.
Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos. Para ello debemos tener en cuenta lo dispuesto en los artículos 6.1. y 9.2. del RGPD.
Posibles bases jurídicas
Uno de los requisitos necesarios para que el consentimiento sea la base legitimadora, es que dicho consentimiento sea libre. En este caso, no podría ser la base jurídica con carácter general, ya que las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder.
En el entorno laboral, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.
Sin embargo, y adicionalmente, el RGPD requiere también en estos casos que la norma que permita este tratamiento ha de establecer también garantías adecuadas. Dichas garantías habrán de ser especificadas por el responsable del tratamiento.
Esa base jurídica podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones.
Esta aproximación, no obstante, requiere de una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas. Esa ponderación debe basarse en diferentes factores. Ante todo, los criterios establecidos por las autoridades sanitarias. Pero también los relacionados con el mayor o menor riesgo que se pueda producir en cada caso concreto o con la posibilidad de aplicar medidas alternativas de protección para el personal. Por ejemplo, el riesgo será menor en un establecimiento en el que las personas empleadas estén físicamente separadas de la clientela que en otro en que esa barrera física no exista o sea más precaria.
En otros ámbitos, en que no sea relevante esta base jurídica, cabría plantear la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos. No obstante, esta posibilidad requeriría igualmente, como establece el artículo 9.2.i RGPD, de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.
La utilización del interés legítimo de los responsables del tratamiento como base legitimadora quedaría en todo caso excluida, por un doble motivo. Por una parte, porque ninguna disposición del artículo 9.2 del RGPD permite levantar la prohibición de tratamiento de datos sensibles por razones de interés legítimo (salvo que en determinadas materias así lo contemple el derecho de la Unión o de los Estados Miembro). Por otra, porque el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de los afectados haría que ese interés legítimo no resultara prevalente con carácter general.
Entre los principios de protección de datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad. Este principio supone que los datos, en este caso los de temperatura solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Pero esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.
De igual modo, el principio de exactitud implica que los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. Esta adecuación debiera establecerse utilizando solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso.
En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece, si bien adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento.
En ese sentido, debieran considerarse, entre otras:
- Medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.
- Plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.
Dependiendo del tipo de tecnología que se emplee, puede ser necesario tomar en consideración otros elementos que, aunque relacionados con los mencionados, tienen una especial incidencia en una u otra de esas diferentes tecnologías.
Este es el caso de las cámaras térmicas, en la medida en que pueden ofrecer posibilidades adicionales a la toma de temperatura y que, por ello, deben ser utilizadas prestando especial atención a los principios de limitación de finalidad y minimización de datos establecidos por el artículo 5.1 RGPD.
Conclusiones
De este informe se establecen una serie de conclusiones en relación a la toma de temperatura COVID, que se agrupan por áreas:
- Tratamiento de datos: Este tipo de tratamiento de datos personales (temperatura) viene regulado en lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación.
- Criterios de implantación:
- Se requiere la determinación previa que haga la autoridad sanitaria competente (Ministerio de Sanidad)
- Debe considerarse dos medidas: utilidad y proporcionalidad. ¿Hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusiva?
- la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible.
- Principio de legalidad
- Consentimiento: No puede ser la base jurídica con carácter general.
- Garantizar la seguridad y salud de las personas trabajadoras: Posible base jurídica en el entorno laboral. Valorar la posibilidad de que las personas empleadas estén físicamente separadas de la clientela.
- El tratamiento es necesario por razones de interés público: Para aplicar esta base jurídica, requeriría un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.
- Interés legítimo: Esta base jurídica queda excluida por dos motivos:
- Por una parte, porque ninguna disposición del artículo 9.2 del RGPD permite levantar la prohibición de tratamiento de datos sensibles por razones de interés legítimo
- Por otra, porque el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de los afectados haría que ese interés legítimo no resultara prevalente con carácter general.
- Limitación de finalidad y exactitud de los datos: los datos, en este caso los de temperatura solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar.
- Exactitud de los datos: los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso.
- Derechos y garantías:
- Información al personal, clientes y usuarios sobre el tratamiento
- Personal cualificado para valorar cualquier razón adicional aportada por los clientes, usuarios…
El registro y conservación de los datos, no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.