Coronavirus COVID-19

Crisis Coronavirus: Toma de temperatura por parte de comercios…

Comentamos en este artículo el comunicado de la AEPD (Agencia Española de Protección de Datos) con relación a la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos.

 

Durante este tiempo de confinamiento motivado por la pandemia del COVID-19, hemos visto cómo algunos establecimientos, e incluso algunas empresas, en la entrada a los mismos, ha implantado, como requisito para poder acceder, el poder pasar un control de temperatura corporal, impidiendo la entrada a aquellas personas que superen una determinada temperatura.

Toma de temperatura, dato de salud

A las puertas del proceso de desescalada, vemos como muchas empresas, aportan, entre otras, como solución para asegurar sus locales libres de virus estos controles de temperatura. La idea no es mala, y seguramente beneficiosa para poder asegurar que los clientes regresen a sus negocios, pero estas empresas van a que tener en cuenta que cuando están accediendo al dato de la temperatura de sus clientes, lo hacen a un dato de salud, y por ello hay que dar cumplimiento a la normativa sobre protección de datos, que no ha quedado nunca derogada como consecuencia del estado de alarma.

AEPD, tratamiento de datos

La Agencia Española de Protección de Datos (AEPD), a nuestro juicio, con buen criterio, ha emitido el 30 de abril de 2020 un comunicado por el cual recuerda que la toma de temperatura para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos, es un tratamiento de datos. De este comunicado, cuya lectura íntegra es recomendable, hemos elaborado el presente resumen.

Resumen del comunicado

Datos sensibles

Estamos ante un tratamiento de datos sensibles: Los datos de salud son datos sensibles, y la temperatura corporal lo es, como dice la AEPD no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.

Revelación de datos a terceros

La Agencia recuerda que la denegación de la entrada por no superar el control de temperatura, dado que normalmente se lleva a cabo en lugares públicos, conlleva que terceros puedan conocer este dato, lo que, además, en la creencia de que ello puede significar la infección de esa persona por coronavirus pueda derivar en un impacto importante para la persona afectada.

Pensemos, por ejemplo, que se deniegue la entrada en un supermercado a una persona por tener una temperatura elevada, y en la cola de espera se encuentra un vecino, el cual lo cuenta al resto de vecinos, todos somos conscientes de lo que puede suponer que estos vecinos crean que esta persona esté infectada, a pesar de que la causa de la fiebre pueda ser otra.

La AEPD lo primero que señala es que para implantar estas medidas de control y el tratamiento de datos se requeriría la determinación previa que haga la autoridad sanitaria competente, que es la que puede determinar su necesidad, ámbito de aplicación, límites y garantías.

Atender a los criterios de la autoridad

Como hemos visto, estas medidas afectan de lleno al derecho a la protección de datos de las personas afectadas, por ello, sólo se deberían aplicar atendiendo a los criterios que definan la autoridades sanitarias, su utilidad y proporcionalidad, teniendo en cuentas que esta medidas no puedan ser sustituidas por otras menos invasivas para el afectado.

Principio de legalidad

La AEPD recuerda que hay que cumplir con los principios del tratamiento de datos que se establecen en el Reglamento General de Protección de Datos (RGPD), entre ellos el de legalidad, es decir que hay que tener legitimación para tratar esos datos, y según la APED esta legitimación no puede ser, con carácter general, sólo el consentimiento del afectado, ya que este no sería libre, pues si este se niega a la toma de temperatura no podría entrar al establecimiento comercial o al centro de trabajo.

Posible base legitimadora

La AEPD señala como posible base legitimadora, en el entorno laboral, la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo, proponiendo la AEPD ampliar el campo de esta legitimación para implantar la medida a los clientes, pues en el establecimiento no sólo se encontrarán los clientes sino también los empleados, sobre los que la empresa tiene la obligación de garantizar la salud en su puesto de trabajo.

Pero recuerda la AEPD que el Responsable del Tratamiento tendrá que ofrecer garantías adecuadas y en el caso de los clientes tendría que llevarse a cabo una ponderación entre los derechos de los trabajadores y el impacto sobre los derechos de los clientes.

La AEPD no descarta como base legitimadora la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos, pero recuerda que para ello seria necesaria una ley que establezca ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.

Y rechaza la AEPD el interés legitimo como base legitimadora, por no estar permitido por el RGPD para el tratamiento de datos sensibles.

Principio de finalidad

Recuerda también la AEPD la necesidad de cumplir con el principio de finalidad, los datos obtenidos de medición de temperatura no podrán ser utilizados para ningún otro fin, sobre todo, cuando hay posibilidad de grabar las mediciones, como pudiera ser con el uso de cámaras térmicas.

Principio de exactitud

Debe ser respetado así mismo el principio de exactitud, de ahí la necesidad de que los equipos de medición que se utilicen deberán ser homologados y fiables, que no den lugar a error.

Derechos de los afectados

Se han de respetar así mismo los derechos de los afectados que se regulan en el RGPD y ofrecer las garantías adecuadas. Hay que informar del tratamiento, hay que establecer plazos de conservación de los datos cuando ésta se grabe, hay que respetar los principios de limitación de la finalidad y el de minimización de datos.