El tratamiento de los datos obtenidos a partir de las tomas de temperatura

Se acerca el momento de la reapertura de las actividades empresariales. La aparición en nuestras vidas, para quedarse, del COVID-19, obligará a compaginar el esfuerzo por mantener el negocio, el empleo y los rendimientos con la exigencia de protocolos de actuación higiénico-sanitarios. Teniendo en cuenta que, según la Organización Mundial de la Salud, los síntomas comunes del coronavirus son fiebre, cansancio y tos seca, nos planteamos si es posible obtener esta información y, en su caso, limitar el acceso de personas a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.

 

Según el Informe nº 0017/2020 de la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos, (RGPD) contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general.

 

En el ámbito laboral, los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales) para evitar contagios en el seno de la empresa y/o centros de trabajo.

 

Pero entonces, ¿Se puede tomar la temperatura a los trabajadores y a los clientes y/o usuarios con el fin de detectar casos de coronavirus?

 

Como indica la AEPD, en su Comunicado de 30 de abril de 2020, la temperatura corporal es un dato relativo a la salud de las personas, no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.

 

Normalmente, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros que no tienen ninguna justificación para conocerlo que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.

 

Como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente estas dos: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).

 

Dicha base jurídica del tratamiento (el interés vital) puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados.

 

Esta posibilidad, como establece el artículo 9.2.i RGPD, requiere de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.

 

Específicamente en materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado “a las autoridades sanitarias de las distintas Administraciones públicas” (art. 1 Ley Orgánica 3/1986, de 14 de abril) las competencias para adoptar las medidas necesarias previstas en dichas leyes cuando así lo exijan razones sanitarias de urgencia o necesidad.

 

Por estas razones, la AEPD determina que “la aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados”.

 

Hasta ahora, sólo contamos con la Guía de Buenas prácticas en los centros de trabajo elaborada por el Ministerio de Sanidad (en la actualización del 11 de abril de 2020) que establece que en los establecimientos abiertos al público “cuando sea posible, se habilitarán mecanismos de control de acceso en las entradas”.

 

Y es que, en estos casos, la base jurídica para tratar ese dato no podrá ser, con carácter general, el consentimiento de los interesados. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder. Por tanto, ese consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.

 

En el entorno laboral, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio y mantener el lugar de trabajo libre de riesgos sanitarios. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.

 

Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.

 

Dicho criterio exige atender a la evidencia científica disponible para precisar la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19, pues no debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que podría dar lugar a discriminaciones injustificadas.

 

En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.

 

Ello implica, por tanto, estudiar cada supuesto para aplicar medidas proporcionadas, pues el riesgo será menor en un establecimiento en el que las personas empleadas estén físicamente separadas de la clientela que en otro en que esa barrera física no exista o sea más precaria.

 

Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.

 

De igual modo, el principio de exactitud, aplicado en este contexto, implica que los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. Esta adecuación debiera establecerse utilizando solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso.