Con la puesta en marcha paulatina de la actividad durante el desconfinamiento y con el fin de intentar recuperar poco a poco la «normalidad» en los comercios, establecimientos y centros de trabajo, se está valorando la opción de implantar medidas de prevención de la transmisión del virus por medio de la toma de temperatura de los ciudadanos.
Esta medida que cada vez está tomando más peso y que entre la mayoría de la población se ve «inofensiva» para la Agencia Española de Protección de Datos supone un punto de preocupación, como así lo expresa en un informe publicado, ya que entiende que al llevar a cabo la toma de temperatura de forma generalizada se produce una intromisión directa e intensa en los derechos de los afectados, en especial porque se está valorando la implantación o se está ya realizando sin el criterio previo de las autoridades sanitarias. La implantación de estas medidas sin las indicaciones sanitarias pertinentes podría suponer una intromisión y rotura de los derechos individuales de cada ciudadano.
La preocupación de la AEPD viene derivada del posible uso masivo de esta medida por parte de los empresarios sin la aplicación de ningún criterio previo de carácter sanitario, teniendo en cuenta que el tratamiento de este tipo de datos supone un tratamiento de DATOS SENSIBLES del ciudadano y por tanto deberá regirse por las previsión de la legislación en esta materia.
Los controles de temperatura que se realicen en espacios públicos provocarán la perdida de privacidad, ya que una eventual denegación de acceso a un centro estaría desvelando, a terceros que no tienen ninguna justificación para conocerlo, que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.
En el caso de los centros de trabajo que decidan llevar a cabo la toma de temperatura de sus empleados, la legitimación viene más respaldada por la propia obligación del empresario de garantizar la seguridad y salud de las personas trabajadoras, tal como ya habíamos expuesto en nuestro anterior artículo «Tratamiento de Datos de Salud de los empleados por el COVID-19». En definitiva, la decisión de implantar un control de temperatura en la empresa corresponde a esta en virtud de la LPRL y del artículo 20 del Estatuto de los Trabajadores, y en base a las recomendaciones de su servicio de prevención de riesgos laborales, quienes seguirán las pautas y recomendaciones formuladas por las autoridades sanitarias.
¿Con que finalidad y legitimidad se tomará la temperatura?
La temperatura es uno de los síntomas del COVID-19, así que se utilizará esta medida con el objetivo de identificar una fiebre superior a los 37ºC y discriminar la entrada del ciudadano que los supere evitando así la entrada del virus en el propio establecimiento.
El tratamiento de esta información sensible del ciudadano es un indicio para la empresa de saber si el usuario, cliente, proveedor es portador o no del virus, y la negación de su entrada en los establecimientos, como indica la AEPD, puede entenderse como situaciones de perjuicio para el ciudadano, ya sea de forma material o inmaterial, debido a la prohibición de entrada a un lugar.
El tratamiento de estos datos sensibles debe tener una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD); de la cual se excluye la legitimación a través del consentimiento del propio interesado, ya que este consentimiento no podría asegurarse que se otorgue de forma libre; debido a que la negación del ciudadano a la toma de su temperatura previa entrada por ejemplo a un comercio, impediría que la dirección de este le permitiera entrar en él, por lo que a pesar de su negativa acabaría dando su consentimiento para la toma de su temperatura con el fin de poder acceder al comercio.
La base jurídica entonces más adecuada a aplicar es el cumplimiento de la obligación legal de garantizar la seguridad y la salud de los trabajadores por parte del empresario, desplegando las medidas que estime oportunas para evitar en este caso que el COVID-19 ingrese en el centro de trabajo, ya sea portado por un empleado, un proveedor o un cliente.
Teniendo en cuenta todo lo anteriormente expuesto, la limitación al tratamiento de este tipo de datos sensibles podría ser una opción a la hora de su aplicación, por ejemplo la toma de temperatura a través de cámaras térmicas se recogería única y exclusivamente para la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas, cumpliendo así el empresario con su obligación de mantener a su personal seguro en su puesto de trabajo. Es decir, los datos se recogerían por medio de las cámaras, serían tratados solamente con esa finalidad y posteriormente NUNCA serán utilizados para otra finalidad.
¿Qué dispositivos podrán ser utilizados para la toma de la temperatura?
Las herramientas utilizadas para esta finalidad deberán cumplir siempre con el PRINCIPIO DE EXACTITUD: deberán ser los pertinentes y los homologados para poder registrar con fiabilidad los intervalos de temperatura que se hayan establecido. Y mayor importancia adquiere la formación, precisión y transparencia de la persona designada para el manejo de los dispositivos, deberá ser conocedora del uso de las herramientas, así como de los requisitos sanitarios y en materia de protección de datos y privacidad legalmente establecidos, ya que un mal uso podría desencadenar un resultado erróneo y perjudicar a terceros.
Por ejemplo las cámaras de infrarrojos para la toma de temperatura utilizan algoritmos específicos identifican a los rostros humanos, los discriminan del resto de elementos que aparecen en la imagen y revelan la temperatura corporal aproximada de cada individuo.
Según la propia AEPD en su informe establece que: «La cámara térmica y la recogida del dato solo puede entenderse como parte de un tratamiento mayor, y no se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios. En estos casos, tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud. Todo ello se puede agravar con el riesgo de fugas de información sensible y el conflicto con aquellas personas entienden la medida como una agresión a sus derechos.»
Para la AEPD si que podría cobrar sentido la utilización de este tipo de protocolos dentro de la normativa específica de la prevención de riesgos laborales, convirtiendose en un protocolo más dentro de las medidas establecidas para garantizar la seguridad pero en todo caso, deberá como ya hemos indicado respetar los derechos y libertades establecidos en el RGPD.
Deber de Información por parte de la empresa
Al igual que para el tratamiento de otro tipo de datos, el empresario deberá informar sobre la recogida y tratamiento de estos datos sensibles tanto a los trabajadores como a sus clientes/usuarios, en especial si se va a producir una grabación y almacenamiento de ellos. Además deberá implantarse un canal en el las personas detectadas con una temperatura superior a la normal puedan justificar la razón de esa «fiebre».
En conclusión, antes de implantar este tipo de medidas en las empresas habrá que analizar de forma interna los riesgos y amenas que podrán suponer a nuestros empleados o clientes en relación a su privacidad, y ponderar hasta qué punto podrían implantarse otro tipo de protocolos con igual eficacia, por otras menos intrusivos. Y no olvidemos, como ya hemos comentado en otras ocasiones que los ciudadanos siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías del Reglamento.