La Agencia Española de Protección de Datos (“AEPD”) se pronuncia y establece determinadas pautas.

A raíz de la desescalada hacia la «nueva normalidad» se está incluyendo como medida para prevenir y evitar contagios por Covid – 19, la toma de temperatura de las personas para determinar su acceso a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos.

Ante esta situación, la Agencia Española de Protección de Datos considera necesario destacar su preocupación por este tipo de actuaciones que se están realizando sin el criterio previo y necesario de las autoridades sanitarias y que suponen una injerencia particularmente intensa en los derechos de los afectados, ya que este tipo de actuaciones afectan a datos relativos a la salud de las personas.

Por un lado, la toma de temperatura supone asumir que una persona padece o no una concreta enfermedad, en este caso, la infección por coronavirus.

Por otro lado, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros, que no tienen ninguna justificación para conocerlo, que la persona afectada puede haber sido contagiada por el virus.

Criterios de implantación

En ese sentido, debe tenerse en cuenta, entre otras cuestiones, que:

  • Según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre.
  • Que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad.
  • Y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.

Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, en estos momentos el Ministerio de Sanidad, tanto en lo relativo a su utilidad como a su proporcionalidad.

Desde un punto de vista muy lógico, la AEPD analiza la falsa sensación de seguridad que puede ofrecer la misma acción ya que, como sabemos hasta ahora, la fiebre no es siempre un síntoma de contagio por coronavirus.

Principio de legalidad

Como todo tratamiento de datos, la toma de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad.

Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD).

En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID-19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados, aclara la AEPD, pues éste no sería libre, ya que las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder.

En el entorno laboral, la base jurídica podría ser la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo.

Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento. Sin embargo, el RGPD requiere en estos casos que se establezcan garantías adecuadas.

Dichas garantías habrán de ser especificadas por el responsable del tratamiento.

Limitación de finalidad y exactitud de los datos

La normativa de protección de datos contiene otras disposiciones que resultan también especialmente aplicables en el caso de las mediciones de temperatura como medida de prevención contra la expansión de la COVID – 19.

Entre los principios de protección de datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad.

Este principio supone que los datos (de temperatura):

  • Solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas.
  • Esos datos no deben ser utilizados para ninguna otra finalidad.

Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.

De igual modo, el principio de exactitud, aplicado en este contexto, implica que:

  • Los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.
  • Deben utilizarse solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión.
  • El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso.

Conviene insistir, a este respecto, en el impacto que sobre los interesados tendría que la identificación de un posible indicador de la existencia de contagio resultara errónea como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición.

Recuerda:

  • Los datos obtenidos no deben ser utilizados para ninguna otra finalidad.
  • Deben usarse solo equipos homologados.
  • El personal que los emplee debe estar formado en su uso.

Derechos y garantías

En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece, si bien adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento.

En ese sentido, debieran considerarse, entre otras, medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones).

Para ello:

  • El personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.
  • Deben establecerse los plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.

Por último aclarar que dependiendo del tipo de tecnología que se emplee, puede ser necesario tomar en consideración otros elementos que, aunque relacionados con los mencionados, tienen una especial incidencia en una u otra de esas diferentes tecnologías. 

Este es el caso de las cámaras térmicas, a las que ya se ha hecho alusión, en la medida en que pueden ofrecer posibilidades adicionales a la toma de temperatura y que, por ello, deben ser utilizadas prestando especial atención a los principios de limitación de finalidad y minimización de datos establecidos por el artículo 5.1 RGPD.

Es importante valorar hasta qué punto estas medidas podrían o no se sustituidas, con igual eficacia, por otras menos intrusivas.