LaAgencia Española de Protección de Datos (AEPD) ha expresado recientemente su preocupación en relación a algunas de las medidas que está impulsando el gobierno en la lucha contra el Covidien-19 y que pueden invadir la privacidad de los ciudadanos. Decisiones como tomar la temperatura a las personas en los comercios, centros de trabajo y otros establecimientos se están adoptando, según la AEPD, «sin el criterio previo de las autoridades sanitarias».
Para la AEPD que, para garantizar que el retorno a la «nueva normalidad» como la calificó el presidente de España, se realicen controles de temperatura a consumidores y trabajadores «supone un tratamiento de datos personales que debería ajustarse a las previsiones de la legislación correspondiente «. Esta legislación contiene apartados específicos que contemplan soluciones como el actual, al tiempo que permiten seguir aplicando los principios y garantías que protegen el derecho fundamental a la protección de datos «. El tratamiento de la toma de temperatura «es un injerencia particularmente intensa de los derechos de los afectados». Por un lado, porque «afecta a datos relativos a la salud de las personas; no sólo porque el valor de la temperatura corporal es un dato de salud, sino porque, a partir de él, se asume que una persona padece o no una enfermedad concreta, como es en estos casos la infección por el coronavirus «.
Por otra parte, los controles de temperatura se prevé que se lleven a cabo con frecuencia en espacios públicos, por lo que «una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros que no tienen ninguna justificación para a conocer que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus «. En último extremo, y en función del contexto en que se aplique esta medida, «las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada», afirma la AEPD.
Criterios de implantación
La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa de la autoridad sanitaria competente, que por ahora es el Ministerio de Sanidad. Adoptar esta decisión debería justificar en base a criterios de necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, siempre, «regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados «.
En este sentido, hay que tener en cuenta, entre otros, que según la información proporcionada por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre; que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios de desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.
Es por este motivo que la Agencia Española de Protección de Datos pide que estas medidas se apliquen sólo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en cuanto a su utilidad como su proporcionalidad. Es decir, hasta qué punto está justificado el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto podrían o no ser sustituidas, con la misma eficacia, por otras deciciones menos intrusivas.
Por otra parte, estos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por Covidien-19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, porque esto supondría «una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas», advierten los garantes de la protección de los datos personales.
El principio de legalidad
Como cualquier tratamiento de datos, la recogida de datos de temperatura se regirá por los principios establecidos en el Reglamento General de Protección de Datos (RGPD), empezando por el respeto al principio de legalidad ya la regulación prevista al respecto para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD). En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión del coronavirus, esta base jurídica no podrá ser, con carácter general, el consentimiento de los interesados. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte a los que están interesados en accedir- hay. Por lo tanto, este consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.
En cuanto al entorno laboral, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esta obligación operaría vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento. Sin embargo, y adicionalmente, el RGPD requiere también en estos casos que la norma que permita este tratamiento establecerá garantías adecuadas que deben estar especificadas por el responsable del tratamiento.
Esta base jurídica podría ser, teniendo en cuenta un alcance amplio, atendiendo a que, aunque un centro o local esté destinado a unas finalidades específicas que implican que se concentre un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones.
Esta aproximación, sin embargo, requiere de una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas. Esta ponderación debe basarse en diferentes factores. Ante todo, los criterios establecidos por las autoridades sanitarias. Pero también los relacionados con el mayor o menor riesgo de que se pueda producir en cada caso concreto o en la posibilidad de aplicar medidas alternativas de protección para el personal. Por ejemplo, el riesgo será menor en un establecimiento en el que las personas ocupadas estén físicamente separadas de la clientela que en otro en que esta barrera física no exista o sea más precaria.
Limitación de la finalidad y la exactitud de los datos
Entre los principios recogidos en el RGPD, cabe mencionar el de limitación de la finalidad del uso de los datos. Este principio supone que los datos (de temperatura) sólo se pueden obtener con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto con otras personas. Pero estos datos no deben ser usadas para ningún otro fin. Esto es especialmente aplicable en los casos en que la toma de temperatura se haga utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.
Del mismo modo, el principio de exactitud implica que los equipos de medición que se empleen deben ser los adecuados para registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. Esta adecuación se debería establecer utilizando sólo equipos homologados para estos fines y con criterios que tengan en cuenta estos niveles de sensibilidad y precisión. El personal que los use debe cumplir los requisitos legalmente establecidos y estar formado en su uso.
Derechos y garantías
Los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y están protegidos por las garantías que el Reglamento establece, si bien adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento. En este sentido, Deberían considerarse, entre Otras, Medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se producira una grabación y conservación de la información), uno Otros para permitirse que las personas a las que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedir el acceso a un Recinto determinación (por Ejemplo, justificando que sume temperatura elevada obedece a Otras Razón). Para ello, el personal deberá estar cualificado para valorar estas razones adicionales: esto, o bien se ha de establecer un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.
Es igualmente importante establecer los plazos y criterios de conservación de los datos en los casos donde se hagan grabaciones. En principio, no se deberían registrar los datos, a menos que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.
Finalmente hay que tener en cuenta que, en función de la tecnología que se emplee, puede ser necesario tomar en consideración otros elementos que tienen una especial incidencia en una u otra de estas distintas tecnologías. Es el caso de las cámaras térmicas deben ser utilizadas prestando especial atención a los principios de limitación de finalidad y minimización de datos que establece el artículo 5.1 del RGPD.