toma de temperatura

Toma de temperatura. Estado de la cuestión tras el Comunicado de la AEPD de 30 de abril de 2020

 

 

El pasado 30 de abril la Agencia Española de Protección de datos (AEPD) emitió un polémico comunicado relativo a la toma de temperatura en comercios, centro de trabajo y otros establecimientos, que ha levantado una polvareda sobre este y sobeteado tema.

La medida no nos gusta y este comunicado, como ya sucedió con la Guía de Cookies de noviembre es técnicamente criticable, pero, al igual que aquella, “facilita” el camino de la empresa que siga la senda marcada por la Agencia.

Senda que, nos puede gustar más o menos, pero entendemos que difícilmente conducirá al fatídico reino de la responsabilidad. Que es lo que preocupa a todos los que me estais preguntando lo mismo estos días.

Resumen rápido del Comunicado:

 

A.- Toma de temperatura en el ámbito laboral

La Agencia muestra su preocupación por la anunciada generalización del tratamiento de este dato sensible (la toma de temperatura corporal a una persona identificada es un dato de salud, pero ojo: sólo si podemos identificar al interesado. Luego volvemos sobre esto).

 

¿Se puede hacer? Sí, si así lo determina Sanidad (que no lo hace), o el Servicio de Prevención de Riesgos Laborales

La Agencia no se pronuncia sobre la oportunidad ni proporcionalidad de la medida, y sólo atribuye (en puridad, “pasa la patata caliente”) al Ministerio de Sanidad la responsabilidad para prescribirla, y de paso determinar las concretas circunstancias para su aplicación (p. ej: a partir de qué temperatura concretamente se debería impedir el acceso al centro de trabajo).

 

Base de legitimación del tratamiento: obligación legal o interés público

La Agencia descarta el consentimiento y el interés legítimo corporativo, como bases de legitimación.

La Agencia descarta –correctamente- de plano que se pueda medir la temperatura con el consentimiento del interesado: si éste quiere trabajar, o acceder al centro comercial o lugar que establezca el control, -y claro que quiere- ese consentimiento no será libre y por tanto será nulo.

También descarta el interés legítimo corporativo, esta vez con una argumentación insostenible: de hecho, el Comité Europeo de Protección de Datos reconoce el interés legítimo como base de legitimación en materia de ensayos clínicos, tratamiento mucho más intensivo y relevante de datos de salud que el analizado aquí.

Pero sí admite la aplicación de la medida “por obligación legal”, en concreto la “obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo[3].

No podemos estar de acuerdo con esta aplicación de la base “obligación legal”, porque en rigor ninguna norma con rango de ley –por el momento- obliga en España concretamente a tomar la temperatura corporal de los empleados.

Dicho esto, parece la vía más operativa para la Empresa y no tiene sentido no utilizarla si la AEPD la pone encima de la mesa.

 

Excepción aplicable del art. 9.2 RGPD

Así que, si decidimos liarnos la manta a la cabeza, la base de legitimación sería la del 6.1.c) RGPD –obligación legal-.

La excepción habilitante del tratamiento de datos de salud, podría ser tanto la 9.2.b)[5] como la 9.2.h)[6] del RGPD.

Esta última, en combinación con el apartado 1 de la Disposición Adicional 17ª de la LOPD de 3 de diciembre de 2018 daría cobertura a medidas previstas en las leyes citadas “y sus disposiciones de desarrollo”. Y cita la ley de Prevención de Riesgos Laborales[7].

Olvidemos por un momento que la DA 17ª no puede hacer eso: no puede estirar como un chicle la reserva de ley que el art 53 de la Constitución impone, a “las disposiciones de desarrollo” de las leyes enumeradas.

Olvidemos por un momento que esa coletilla entrecomillada es inconstitucional. Volveremos sobre este tema otro día, muy pronto.

El Ministerio de Sanidad no ha prescrito la toma de temperatura entre las medidas previstas para la “desescalada” en la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y otros.

 

El servicio de PRL, destinatario último de la “patata caliente”

En consecuencia, la medida deberá ser -en su caso- prescrita por el Servicio de Prevención de Riesgos Laborales de la empresa, como resultado de la preceptiva evaluación de riesgo, de acuerdo con el procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al Sars-Cov-2 (COVID-19) del Ministerio de Sanidad.

Tenemos que recordar aquí que la medición de temperatura corporal no puede sustituir las medidas preventivas de contagio adecuadas a la actividad, y sí sólo en su caso, complementarlas.

 

Aplicación de los principios generales en materia de protección de datos personales

En el caso de que así sea, desde el punto de vista de protección de datos se deberán aplicar al tratamiento los principios generales del art 5 del Reglamento General de Protección de Datos, que tentativamente impondrán las siguientes medidas, a título de ejemplo y sin ánimo exhaustivo:

  • Transparencia:

Información preceptiva de la medida al trabajador (cartel que puede ser similar al de videovigilancia).

  • Limitación de finalidad:

Estos datos sólo se utilizarán con la finalidad de franquear o no el acceso al centro de trabajo.

El trabajador positivo será remitido al servicio médico o mutua para que confirme la baja o la aptitud para seguir trabajando.

  • Minimización de tratamiento:

Sólo se deberán captar los datos estrictamente necesarios para conseguir la finalidad –recordemos: preservar la salud de los trabajadores-. Es decir, sólo se leerá la temperatura, y no se almacenará salvo que se considere estrictamente necesario.

Se restringirá el número de personas con acceso al dato, borrado del histórico –si es que se ha registrado- cuando ya no sea relevante (de nuevo, el plazo de conservación debería ser determinado por el servicio de PRL).

  • Calidad, exactitud del dato:

En rigor, la medición debería realizarse por personal sanitario.

El sistema de toma de temperatura debe estar homologado y debe comprobarse con regularidad su exacto funcionamiento.

  • Confidencialidad:

Aplicación de las medidas técnicas y organizativas habituales para los datos de categoría especial.

  • Responsabilidad proactiva:

Documentación del cumplimiento en el caso concreto de todo lo anterior: cómo y por qué.

 

Evaluación de impacto

La idoneidad, necesidad y proporcionalidad de esta medida en el caso concreto, y sus circunstancias de aplicación –como las anteriormente descritas- en materia de protección de datos personales deben ser el resultado de una “evaluación de impacto en privacidad” previa al inicio del tratamiento, ya que pueden concurrir los siguientes criterios de los previstos al efecto por la AEPD: (y dos o más de ellos hacen obligatoria la evaluación de impacto).

  • Tratamientos que impliquen la monitorización o control sistemático y exhaustivo (criterio aplicable a controles sobre trabajadores).
  • Tratamientos que impliquen el uso de datos de categoría especial.
  • Tratamientos que impliquen la toma de decisiones automatizadas.
  • Tratamientos que impliquen el uso de nuevas tecnologías o el uso innovador de tecnologías consolidadas.
  • Tratamientos que impidan a los interesados ejercer sus derechos.

 

B.- Toma de temperatura fuera del entorno laboral: clientes, usuarios

En este caso, se plantearía la medida sobre terceros (clientes, usuarios), en vez de sobre los trabajadores.

En cuanto a este tema, la Agencia afirma colateralmente que en el supuesto de, por ejemplo, “un centro o local destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona” la presencia de trabajadores, sobre los que el empresario tiene esa obligación legal de garantía de seguridad y salud, ampararía la aplicación de la medida a aquellos.

La AEPD entiende que el tratamiento de datos en este caso, aplicados los principios mencionados anteriormente, estaría amparado en la obligación legal de garantía sobre los trabajadores.

En mi opinión, si asumimos la tesis de la «obligación legal» también se podría plantear la medida sobre proveedores o trabajadores subcontratados que presten su labor en el propio centro de trabajo del responsable del tratamiento, a través de la figura de la corresponsabilidad.

Pero existe otra posibilidad fuera de la normativa de protección de datos personales

Esta normativa sólo aplica cuando se tratan datos de personas identificadas o identificables. Los usuarios o clientes no son necesariamente personas identificables por el mero hecho de tomar su temperatura, salvo que la empresa disponga de otros medios de control o de información adicional que le permita identificar a la persona sobre la que se está ejerciendo la toma de temperatura.

Por comparar: en el ámbito de recursos humanos, un “positivo” de un trabajador, lo será casi siempre de una persona identificada para la empresa y para sus compañeros de trabajo: quien esté presente, sabrá que ese que “da positivo” es “Pedro Pérez”, conocerá por tanto un dato de salud, especialmente protegido, que además en la actualidad es potencialmente estigmatizante.

En consecuencia, y aunque la Agencia no se pronuncia sobre este aspecto concreto, la medida puede aplicarse siempre que:

  • Sólo se capte el dato de la temperatura,
  • No se almacene el dato, y
  • El responsable de tratamiento -la empresa- no pueda por otros medios identificar al interesado.

 

En conclusión: no se puede afirmar que en todo caso no exista dato personal ni tratamiento: hay que valorar las circunstancias de cada caso, y la información que el responsable tiene o puede tener de las personas cuya temperatura corporal verifica.

De acuerdo con lo anterior, un aparato medidor individual, o una cámara termográfica que no grabe imagen podría utilizarse dependiendo de las concretas circunstancias de cada empresa o situación, sin que sea aplicable la normativa de protección de datos personales.

Muy buena semana.

 

Jorge Garcia Herrero

Abogado y Delegado de Protección de Datos

 

 

[3] Se refiere al art 22.1 de la Ley de Prevención de Riesgos Laborales.

[5] Art. 9.2.b) “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.”

[6]Art. 9.2.h) “el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.”

[7] DA 17ª. 1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo:

(…)

b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.