Medir la temperatura corporal a la entrada del curro y otras ideas para la «desescalada»
Control de temperatura corporal, test específico COVID 19, análisis serológicos, “interrogatorio” a trabajador, Apps de rastreo de contactos antiCOVID de uso empresarial… En este post veremos las medidas más barajadas desde el punto de vista de la normativa de protección de datos personales.
(He añadido mis comentarios sobre la Comunicación de la AEPD sobre el tema en este misma entrada, y publicado otro post adicional resumiendo cómo implementar la medida si de acuerdo con esta Comunicación si, a pesar de todo, hay que hacerlo)
Con la autorización gradual de reapertura de centros de trabajo y de cara a la famosa “desescalada” del confinamiento, la empresa española se pregunta:
- ¿Qué controles sobre el estado físico de sus trabajadores son posibles? y
- ¿Cómo hacerlos para evitar que un solo trabajador contagie el COVID 19 al resto de la plantilla?.
La cuestión es clave, lo será durante bastante tiempo, y anticipo brevemente la conclusión: los equipos de protección individual y medidas específicas de protección de trabajadores son caros y pueden entorpecer la actividad habitual de la empresa, pero son la única vía eficaz para evitar contagios.
Hoy por hoy, nadie tiene balas de plata contra el virus. Ni nada remotamente parecido.
Quien pretenda ahorrar dinero o molestias limitándose a instalar una cámara termográfica como medida principal de prevención, sólo conseguirá poner en riesgo al conjunto de sus trabajadores, incurriendo en responsabilidades.
Pero vamos por partes, como Jack.
Indice
- ¿Se puede someter al trabajador a un control de su salud sin su consentimiento?
- ¡Vale! Entonces ya podemos medir la temperatura corporal “por obligación legal”.
- 1.- Control de temperatura corporal
- ¿Son eficaces, y, por tanto, necesarias?
- Ojo cuidao
- Una confesión
- El comunicado de la AEPD sobre la toma de temperatura corporal
- 2.- Test de detección del COVID 19/Análisis serológicos de anticuerpos.
- 3.- Revelación voluntaria por parte del trabajador del dato de salud
- 4.- Apps de rastreo de contactos antiCOVID de uso empresarial.
- Conclusión: ¡Son las medidas preventivas, estúpido!
¿Se puede someter al trabajador a un control de su salud sin su consentimiento?
Sí, se puede, en los supuestos previstos en el art 22.1 de la Ley de Prevención de Riesgos Laborales.
Así lo determinó la AEPD entendiendo que un parte integral de la obligación de vigilancia de la salud y deber de protección de los empleados.
¡Vale! Entonces ya podemos medir la temperatura corporal “por obligación legal”.
No tan rápido, forastero: esa obligación legal es genérica y no habilita cualquier medida de control: aplican los principios generales del RGPD:
Eso significa ni más ni menos que cualquier control sobre el trabajador debe ser fundamentado documentalmente como necesario, proporcional y limitado.
- Las medidas seleccionadas entre las posibles deben ser necesarias para el cumplimiento de un fin.
- Esto conlleva que tienen que ser eficaces para cumplir este fin.
- Tienen que ser proporcionales (las menos intrusivas en la privacidad del trabajador de entre las eficaces).
- Tienen que limitarse al mínimo imprescindible para obtener la finalidad perseguida.
Y si el control tiene por objeto sus datos de salud, la solidez y notoriedad de esta fundamentación y argumentos tienen que ser proporcionalmente mayores.
Si no conseguimos demostrar la idoneidad o necesidad del tratamiento, olvídate de la proporcionalidad, no merece la pena seguir.
En consecuencia:
En general, cualquier medida de control de estas características realizada por la empresa a través de personal propio sobre toda la masa de trabajadores debería venir precedida de una evaluación de impacto en privacidad.
En particular y a continuación, nuestros comentarios sobre las medidas que se están planteando:
1.- Control de temperatura corporal
Asistimos a una ofensiva comercial de aparatos medidores de temperatura corporal (equipos individuales de medición, vigilancia en tiempo real mediante cámaras termográficas… incluso ¡ja! reconocimiento facial con termografía incorporada… because ¿why not?).
¿Son eficaces, y, por tanto, necesarias?
En lo relacionado con la pandemia COVID 19 el criterio más objetivo, -a la espera de que las autoridades sanitarias emitan sus criterios oficiales (como recomendación u obligación legal)- sería el de las recomendaciones de la Organización Mundial de la Salud.
Entre estas recomendaciones no se encuentra el control de temperatura corporal. ¿Por qué?
Porque es notorio que el principal vector de contagio han sido enfermos asintomáticos, que no presentan fiebre ni fiebrícula, y que por tanto no son detectados por este control.
Como bien sabemos en España, precisamente los portadores asintomáticos han sido los que han propagado la pandemia, sin que ni ellos mismos, ni los infectados sospecharan siquiera lo que estaba pasando.
El control de temperatura corporal en realidad no protege a la masa laboral. Peor aún: sólo ofrece una falsa sensación de seguridad.
La AEPD en sus “preguntas frecuentes” sobre el COVID 19 incluía esta, que «ha envejecido» mal: contradice el criterio expuesto e imaginamos que viene heredada de la documentación generada para la epidemia por la gripe aviar.
Porque en la epidemia de gripe aviar, la fiebre sí era un síntoma relevante. Y su medición era útil.
Pese a no estar de acuerdo con la inclusión –y resolución- de esta cuestión, nos quedamos con la referencia a que dichas mediciones (y por tanto cualesquiera análogas sobre datos de salud) deberían ser realizadas por personal sanitario.
Bien es cierto que cada autoridad en la materia está haciendo la guerra por su cuenta, como resulta de este gráfico (via @enclavedederecho)…
Ojo cuidao
En definitiva, si la medida no es idónea y eficaz, resulta que no es necesaria. Y si no es necesaria, el tratamiento de datos no sólo es inútil, sino ilícito.
Y no lo digo yo, este es el requisito que el Supervisor Europeo de Protección de Datos exige para dar por cumplido el requisito de la necesidad:
Pero es que lo importante aquí ya no es la protección de datos.
El empresario que pretenda «sustituir» medidas de prevención eficaces «en el desempeño de la actividad» por medidas de control «en la puerta», más aún si no son eficaces, incurrirá en responsabilidad, aunque quizá no en protección de datos, a la vista de la posición de la Agencia Española.
Dicho esto, sólo por comparar y dar contexto, la semana pasada la Autoridad de protección de datos Holandesa no sólo ha prohibido explícitamente la medición de temperatura corporal en el trabajo, sino que incluso apela a trabajadores y representantes legales a denunciar la práctica, si se produce (traducción automática aquí).
Una confesión
Hasta hace diez días yo opinaba que la temperatura corporal sí se podía medir, bajo el antiguo adagio romano «lo que no sobra no daña«. Qué demonios, tengo argumentos para sostener sólidamente una cosa y la contraria. Mal abogado sería si no. Pero la posición más sólida y ética es, creo, la que he desarrollado aquí.
Y agradezco a Ruth Benito el haberme llevado –y no es la primera vez- por la buena senda.
Ruth lo desarrolla muy bien en este vídeo de anteayer.
Como soy consciente de que esta no es una cuestión pacífica, os apunto otro punto de vista de gente solvente: Fabian Valero y Jorge Campanillas aquí.
El comunicado de la AEPD sobre la toma de temperatura corporal
(Actualización del post) La AEPD ha publicado su Comunicado sobre la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que contiene algún error técnico sorprendente e impropio del rigor de esta institución.
Lo analizamos brevemente:
Consentimiento
Para empezar, tacha el consentimiento como base inadecuada para justificar el tratamiento.
Correcto, porque el trabajador no se encuentra en libertad para negarlo y los clientes o consumidores tienen un interés en “entrar” donde toque.
¿Obligación legal?
Según la AEPD, la base para la medida en el entorno laboral, sería “el cumplimiento de una obligación legal”, tal y como se ve aquí….
…Y sin embargo, Bruselas (el Grupo de Trabajo del artículo 29, hoy EDPB) viene sosteniendo que la base “obligación legal” exige, entre otros, estos requisitos (WP217, pg 24: la referencia normativa es a la Directiva del 95).
Es decir, si el responsable de tratamiento (la empresa, el centro comercial) puede decidir si aplicar o no el control de temperatura, malamente se puede decir que está “legalmente obligado a ello”. Se está aplicando la viejuna, peligrosa e inexistente hoy base de la “habilitación legal” que estuvo muy de moda con la derogada LOPD de 1999.
¿Garantías adecuadas?
Luego se dice que esta norma legal debe establecer garantías adecuadas. Efectivamente.
Pero las debe establecer e imponer la propia ley, no dejarse al arbitrio del responsable de tratamiento, como sorprendentemente se afirma a continuación.
¿Churras y merinas?
Una vez “justificada” –que no- la medida de control para los trabajadores, se puede aplicar esta al conjunto de clientes o usuarios que se encuentren en el mismo centro o local.
Afirmación que no sólo desafía toda lógica, sino también el principio de minimización, por citar solo uno.
Y como gran final ¡¡No cabe interés legítimo!!
Se hace referencia a la necesidad de una ponderación entre la protección de trabajadores e impacto en intereses de usuarios, típica de la base “interés legítimo” pero de pronto, ¡boom! se dice que el interés legítimo “no vale”:
Pero ¡¡amoavé!!…. si el interés legítimo justifica perfectamente tratamientos de datos de salud EN ENSAYOS CLÍNICOS, Hulio, (Opinión 3/2019 del EDPB que comentamos extensamente por aquí), imagínate si no justificaría -en su caso- un control de temperatura…
2.- Test de detección del COVID 19/Análisis serológicos de anticuerpos.
Hoy por hoy, constituyen la única vía idónea para asegurar sólidamente la falta de contagio es la realización de un test específico al trabajador.
Estos tests pueden imponerse por la empresa como medida preventiva pero sólo pueden realizarse por profesionales sanitarios.
La empresa sólo debería obtener información limitada a la aptitud o no para el desempeño del puesto.
En caso de “no apto”, la duración previsible de la baja. No el motivo concreto.
Dadas las incertidumbres existentes sobre la duración de los efectos de la inmunidad post-superación de la enfermedad, (enlace a la OMS) estos tests deberían realizarse periódicamente, en los tiempos marcados por las autoridades o los profesionales sanitarios.
3.- Revelación voluntaria por parte del trabajador del dato de salud
El trabajador debe revelar la existencia de síntomas indicativos de padecer el virus en la actualidad y autoconfinarse, pero también puede revelar voluntariamente el haber tenido y superado el COVID, por ejemplo (el consentimiento explícito es una de las circunstancias que pueden habilitar el tratamiento por parte de la empresa de datos de salud del trabajador) pero siempre garantizando que:
- dicho consentimiento se presta libremente de verdad de la buena y
- que el hecho de no revelar el dato o lo que es lo mismo, no consentir en el tratamiento de dichos datos no le supondrá consecuencia negativa alguna.
Lo anterior es igualmente aplicable a la obtención del trabajador de información sobre su lugar de confinamiento, circunstancias del mismo, datos de salud de su familia o círculo íntimo de contactos o confinados.
4.- Apps de rastreo de contactos antiCOVID de uso empresarial.
Mientras nuestros gobiernos deshojan la margarita entre las descentralizadas (más privadas) y las centralizadas (más, erme, apetitosas) tenemos ya las modalidades privadas casi a punto de caramelo. Y pueden ser una ayuda importante a los efectos comentados.
Creo que se puede hacer, si se hace bien.
Implementando el código -abierto- de la iniciativa DP3T a entornos limitados y con cabeza.
Pero claro, el demonio está en los detalles:
- .- ¿Tratamiento de datos de localización? No
- .- ¿”Consentimiento” del trabajador? Mejor que no
- .- ¿Bluetooth? Claro
- .- ¿Dispositivo corporativo? Ya te digo.
- .- ¿Sistema descentralizado? Mucho mejor
- .- ¿Confirmación del dato de infección por profesionales sanitarios? Ya lo creo.
- .- ¿PIA o Evaluación de impacto? Como una casa de grande.
- .- ¿LIA o ponderación de interés legítimo corporativo versus derechos de los trabajadores? Más importante que nunca.
La empresa tendrá que hacer –y documentar- algo más que las tristes preguntitas del Test Barbulescu… Y antes del despliegue.
Conclusión: ¡Son las medidas preventivas, estúpido!
Como pasa casi siempre, muchos problemas que salen de la protección de datos, se solucionan en otras áreas jurídicas.
La solución es puramente de prevención de riesgos laborales: hay que implementar todas las medidas de protección de los trabajadores en su actividad habitual.
Suena duro, pero aquí aplica la misma política que cuando entre los trabajadores de un hospital había un sanitario que portaba los anticuerpos del sida: éste no tenía en su día, ni tiene hoy obligación alguna de revelar su enfermedad. Simplemente las condiciones de desempeño de su trabajo tienen que posibilitar, garantizar, que todos los trabajadores puedan desempeñar su actividad en condiciones de seguridad aunque el de al lado sea seropositivo.
Es cierto que las circunstancias no son las mismas, pero los principios tienen que serlo: hay que implementar medidas de prevención y protección efectivas y a cascoporro.
Y el control de temperatura no es una de ellas.
Jorge García Herrero
Abogado y Delegado de Protección de Datos
Fotografía de Matteo Fusco en Unsplash