Como consecuencia de las medidas de desescalada del estado de alarma, y ante la incertidumbre jurídica que se plantea al respecto, la AEPD ha publicado una circular sobre la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.
Nuestro socio E&K Pro nos hace llegar un resumen de los aspectos clave:
Tratamiento de datos personales sensibles.
La toma de temperatura supone un tratamiento de datos personales que debe ajustarse a las previsiones de la legislación correspondiente, considerando especialmente que a partir de este dato se asume que una persona puede padecer la infección por coronavirus, desvelando en espacios públicos o abiertos a terceros que la persona afectada tiene una temperatura por encima de lo que se considere no relevante pudiendo tener la denegación de acceso a esa persona un importante impacto.
Criterios de implantación
La aplicación de estas medidas requeriría la determinación previa que haga la autoridad sanitaria competente. Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad. La temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible.
Principio de legalidad
La recogida de datos de temperatura debe regirse por los principios establecidos en el RGPD y, entre ellos, el principio de legalidad. Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD). En el caso de la comprobación de la temperatura corporal como medida preventiva esta base jurídica no podrá ser, con carácter general, el consentimiento de los interesados. En el entorno laboral la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento. Adicionalmente se ha de establecer también garantías adecuadas especificadas por el responsable del tratamiento.
Limitación de finalidad y exactitud de los datos
Entre los principios de protección de datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad. Este principio supone que los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Pero esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica. De igual modo, el principio de exactitud, implica que los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.
Derechos y garantías
Debieran considerarse, entre otras, medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso. Es igualmente importante establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.