El virus ha cambiado nuestra forma de trabajar, de aprender, de comunicarnos con nuestro entorno social, en definitiva, ha cambiado nuestro modo de vida. Dada la evolución favorable del mismo, a partir de ahora entramos en fase de “Desescalada”, en la que poco a poco los ciudadanos iremos adquiriendo derechos en cuanto a movilidad e interacción social.
En este escenario de miedo por el no saber qué pasará, están surgiendo multitud de sistemas de control poblacional como son la geolocalización de movimientos de los ciudadanos, la idea de tener un pasaporte inmunológico por haber pasado la enfermedad e incluso la toma de temperatura para acceder a ciertos lugares, todas estas medidas deben regularse bien para no generar más polémica y alarma entre los ciudadanos.
En este Post voy a centrarme en la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. El pasado 30 de abril de 2020 la Agencia Española de Protección de Datos (AEPD) emitió un comunicado en el que se realiza un análisis de las implicaciones que tendría este tipo de controles sobre la privacidad y la protección de datos.
A continuación analizo alguno de los puntos que se desprenden del citado comunicado:
¿Cuál es la implicación de las autoridades sanitarias en la implantación de este tipo de controles?
La AEPD el primer punto que analiza es que este control se esté haciendo sin que las autoridades sanitarias se hayan pronunciado al respecto, hasta el momento, el Ministerio de sanidad no ha establecido si estas medidas pueden contribuir eficazmente a prevenir la propagación de la enfermedad o por el contrario son medidas que no aportan un valor significativo en la lucha contra el coronavirus, pero sí pueden ocasionar una vulneración de la privacidad y la protección de datos. Entre otras cosas, las autoridades sanitarias, deberían delimitar:
- Si la fiebre es un síntoma fiable que pueda determinar que una persona está en un riesgo alto de padecer coronavirus
- En el caso de que lo sea, delimitar a partir de qué temperatura se debe considerar que una persona tiene fiebre.
- Otras cuestiones que justifiquen que se puedan aplicar estas medias en pro del interés público, aún a costa de la privacidad.
¿La fiebre, cómo dato numérico, es un dato de salud?
En el Artículo 4 del RGPD, se define:
«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
A mí me entra la duda de si el dato aislado de la fiebre, sin estar asociado a nada más puede considerarse un dato de salud, pero la AEPD en su comunicado establece “Este tratamiento de toma de temperatura supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus”
Por tanto, consideramos que, si tomamos la temperatura de nuestros trabajadores , clientes, visitantes, etc. -con la intención de detectar posibles indicios de padecer una enfermedad- estamos tratando un dato de salud.
El Artículo 9 Reglamento General de Protección de Datos (RGPD) Tratamiento de categorías especiales de datos personales
- Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
- El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.
A esto se le suma que el Considerando 46 del RGPD establece: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
Por tanto, haciendo el correspondiente examen de ponderación podríamos salvar el escollo de la prohibición de tratar datos de salud, ya que nos podríamos escudar en alguna de las excepciones que contempla el apartado 2.
¿Cuál sería la base de legitimación para el tratamiento de los datos?
Como todo tratamiento de datos, la recogida de datos de temperatura debe regirse por los principios establecidos en el RGPD y, entre ellos, el principio de legalidad. Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD).
La AEPD establece en su comunicado que no podríamos acogernos como base de legitimación a:
- El consentimiento de los interesados. Ya que considera que ese consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.
- Interés legítimo de los responsables del tratamiento, porque ninguna disposición del artículo 9.2 del RGPD permite levantar la prohibición de tratamiento de datos sensibles por razones de interés legítimo
Además, analiza por un lado la base legitimadora cuando se haga en el entorno laboral (control de trabajadores y trabajadoras) y cuando el control sea para clientes y visitantes.
- En el entorno laboral, la posible base jurídica podría encontrarse en la obligación legal que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.
- Clientes y visitantes,
- La obligación legal con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones. Aquí habría que hacer una ponderación para valorar cómo es el contacto que hay entre clientes y trabajadores, y si se pueden utilizar otras vías de prevención de contagios como es la de mantener distancias de seguridad.
- Intereses generales en el terreno de la salud pública que deben ser protegidos, para ello necesitaríamos de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.
Además, de este principio de legalidad habría que cumplir con el resto de principios establecidos en el Artículo 5 RGPD:
- Principio de transparencia, Se deberá disponer de un cartel informativo indicando porqué y para qué se va a realizar el tratamiento de datos de las personas que accedan a las instalaciones.
- Limitación de finalidad, Los datos de temperatura sólo se obtienen con la finalidad específica de detectar posibles personas contagiadas y esos datos no pueden ser utilizados para ninguna otra finalidad.
- Minimización de los datos, La idea sería captar únicamente la imagen y no guardarla, pero si por cuestiones de justificación de denegación de accesos se requiere captar y guardar estas imágenes, debería hacerse durante el tiempo mínimo y siempre realizando el correspondiente análisis de proporcionalidad.
- Exactitud, los equipos de medición empleados deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperaturas.
Conclusión
La temperatura como indicio de enfermedad puede considerarse datos de salud. Ello implica que los tratamientos de este dato deben realizarse con sumo cuidado y el máximo de precauciones para cumplir la normativa, incluido el adecuado análisis de proporcionalidad. Si se puede o no realizar estos tratamientos dependerá de cada caso concreto. No hay respuestas generales actualmente ante esta situación. Todos los puntos indicados anteriormente habrá que tenerlos en cuenta, pero el tema da para mucho más.
Estamos en una situación de cambio constante, en el que cada día se hacen diferentes interpretaciones de las diferentes normas, y si bien el presente análisis responde a la situación actual puede haber cambios normativos en los próximos días o semanas que cambien el enfoque, por lo que ahora más que nunca es muy importante tener un buen asesoramiento. En LEGITEC estaremos encantados de ayudarle.
