Con el plan de desescalada del Gobierno surgen más y más dudas relacionadas con el uso y tratamiento de nuestros datos, ya que, por ejemplo, ¿será lícito que nos tomen la temperatura cuando vayamos al trabajo, a un comercio o centro escolar? La AEPD ha emitido un comunicado al respecto, donde expresa su preocupación por este tipo de actuaciones, pues como se dice en el propio informe, suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias.
Vamos a analizar este comunicado, ya que en estos tiempos de emergencia sanitaria las empresas están tomando múltiples medidas enfocadas a la prevención de nuevos contagios. Deberá valorarse en estos casos dónde está el límite, pues, ¿puede el RGPD ser obstáculo para la protección de la salud pública?
Primero es necesario preguntarnos, ¿con qué legitimidad pueden tomarnos la temperatura?
Ya sabemos que cuando se va a empezar un tratamiento de datos se debe valorar su licitud, determinando la base jurídica sobre la que se realizará dicho tratamiento.
La toma de la temperatura pertenece a la categoría de datos especialmente sensibles, por ser indicativo de la salud de las personas y, a partir de él, poder “determinar” si esa persona está o no infectada por Coronavirus. Lo ponemos entrecomillado ya que no todas las personas con fiebre han de tener Covid y puede pasar que personas asintomáticas (en este caso sin fiebre) puedan transmitirlo, como hemos ido viendo estos meses. La propia Agencia establece que la toma de temperatura es una injerencia particularmente intensa en los derechos de los afectados, pues denegar el acceso a un centro educativo, laboral o comercial estaría exponiendo a terceros que la persona afectada tiene una temperatura por encima de lo “normal” y que puede ser portadora del virus. Dependiendo del contexto en que se encuentre, esta denegación de acceso ante terceros puede tener un impacto negativo sobre la persona afectada.
Los artículos 6.1 y 9.2 del RGPD marcan las bases jurídicas en las que legitimar este tratamiento. En un entorno laboral, tal y como ya hablábamos al inicio del confinamiento, el tratamiento de datos de salud por parte de las empresas se basa en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo; el propio responsable del tratamiento deberá especificar todas las garantías adecuadas para dichos tratamientos. En un entorno educativo, comercial o incluso de transporte de viajeros se requerirá, según el 9.2.i del RGPD, un soporte normativo a través de leyes que determinen la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos y, que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.
La base legitimadora que no podrá aplicarse para el tratamiento de datos de salud es el interés legítimo del responsable del tratamiento. Ninguna de las disposiciones de la normativa permite el tratamiento de datos de salud por razones de interés legítimo.
Viendo que los datos de salud relativos a la temperatura pueden tener una base jurídica y por tanto pueden ser recogidos, ¿con qué finalidades se podrán tratar?
Sólo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Por eso, la temperatura no deberá ser utilizada para otra finalidad que la indicada.
Y esta medida de control, ¿cómo se deberá implantar?
Valorando el impacto que puede tener en la sociedad dicha medida, debería implantarse atendiendo a lo que establezcan las autoridades sanitarias competentes (actualmente el Ministerio de Sanidad), regulando los límites y garantías para el tratamiento de estos datos y ponderando hasta qué punto este control es suficiente para justificar la intromisión sobre los derechos individuales y si podría, o no, ser sustituida por otras menos intrusivas e igualmente eficaces. Con ello se uniformizaría esta práctica evitando que las empresas lo apliquen de forma heterogénea, perdiendo eficacia dicho control y generando discriminación sin motivo.
Asimismo, y en relación con este impacto sobre las personas, es importante tener presente el principio de exactitud del RGPD, ya que en este contexto conlleva que la medición de la temperatura se realice por personal formado en el uso de los equipos de medición, así como que estos sean equipos adecuados para registrar con fiabilidad la misma, pues una medición errónea consecuencia de este incumplimiento puede tener resultados negativos sobre los interesados.
¿Se puede usar cualquier método de obtención de la temperatura como cámaras térmicas?
La cámara térmica ofrece la posibilidad de grabar y conservar los datos o tratar información adicional, como, por ejemplo, información biométrica. Deben ser utilizadas prestando especial atención a los principios de limitación de finalidad para que el tratamiento de datos que se realice sea el que se informa a los usuarios y los datos personales recogidos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (artículo 5.1 del RGPD).
Los aspectos que deben tenerse en cuenta para llevar a cabo el correcto tratamiento son:
- Informar a los trabajadores, clientes o usuarios. Se puede realizar mediante un cartel, donde se indique la finalidad del tratamiento, la base jurídica, los plazos y criterios de conservación de esta información, los derechos del usuario y si habrá cesiones o transferencias internacionales de datos. (se puede utilizar un cartel como este)
- Formar a los trabajadores de forma específica y actualizada sobre las medidas que se implanten.
- Hacer partícipe del procedimiento a los servicios de prevención de riesgos laborales que realizan actividades sanitarias siguiendo lo establecido por el Ministerio de Sanidad.
- El tratamiento de estos datos deberá realizarse por personal cualificado, como el médico especialista en medicina del trabajo del servicio de prevención.
- El personal que emplee los datos de temperatura debe reunir los requisitos legalmente establecidos y estar formado en su uso. La identificación de un posible contagio erróneo como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición puede generar un impacto negativo en los interesados vulnerando sus derechos.
¿Durante cuánto tiempo se debe guardar esta información?
Es importante establecer los plazos y/o criterios de conservación de los datos, siguiendo con los principios del RGPD. El registro y conservación de esta tipología de datos no debe producirse más tiempo del necesario para la determinación del acceso a un local o centro, salvo que exista una necesidad suficientemente justificada por eventuales acciones legales derivadas de la decisión de denegación de accesos.
Recordamos que para el tratamiento de estos datos se deberán seguir las indicaciones del Ministerio de Sanidad y los cambios que puedan ir surgiendo. No se debe realizar sin el criterio previo y necesario de las autoridades sanitarias.
Fuente: AEPD
Y como siempre, si tenéis cualquier duda o consulta o precisáis el cartel informativo, no dudéis en contactar con nosotros.
Equipo de Pymelegal.