¿Se puede usar un «termómetro de frente» para saber la temperatura corporal de los clientes y, en función del resultado, permitirles o no la entrada?

 

Puede parecer baladí la respuesta, pero muchos negocios ya se están planteando la posibilidad de tomarle la temperatura a sus clientes y a sus empleados y están adquiriendo algún termómetro de frente para controlar la temperatura corporal. Igual ocurre con las cámaras térmicas de medición de dicha temperatura. En definitiva, no se puede medir la temperatura corporal de los clientes y mucho menos supeditar la entrada al resultado obtenido. Sin embargo, puede ser factible hacerlo en los empleados. La situación es la misma, pero la finalidad y la base legitimadora para la recogida y tratamiento de estos datos no lo es. Para poder hacerlo será necesario resolver varias cuestiones, entre las más importantes, será determinar la finalidad del tratamiento y la base que legitima el mismo, sin perjuicio de que deban cumplirse determinadas medidas en relación con este dato personal. Además, deberá respetarse el principio de minimización de datos y deberá valorarse si la temperatura es la única opción posible para cumplir la finalidad o existen medidas menos invasivas en el derecho de protección de datos personales.

Analizamos las cuestiones que justifican esta respuesta:

Temperatura corporal, datos personales sensibles y legitimación.

 

 

En este caso, se considerada un dato personal sensible (artículo 9.1 RGPD) la medición de la temperatura corporal, y como tal, únicamente podrá ser tratado por alguna de las circunstancias que se recogen en el RGPD, artículo 9.2. Resumiendo, son las siguientes:

  • Consentimiento explícito del interesado;
  • Cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social;
  • Proteger intereses vitales o de otra persona, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
  • El tratamiento es efectuado por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
  • Datos personales que el interesado ha hecho manifiestamente públicos;
  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • El tratamiento es necesario por razones de un interés público esencial.
  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social;
  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Quizá en una primera lectura pueda parecer que la toma de temperatura, pese a ser un dato personal sensible, encaja en alguno de los supuestos, pero tal y como ha publicado la AEPD en su página web: «no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus».

Las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada. Pensemos el acceso a un centro comercial, en él, a la entrada se toma la temperatura. Hay diez personas esperando, algún conocido. Toca entrar y el medidor de temperatura corporal marca 37,5ºC. No entramos. Nuestros conocidos saben que tenemos fiebre y, en su ignorante certeza, que somos candidatos a tener coronavirus. Nada más lejos de la realidad, ello puede ser cierto, hasta el punto de que la fiebre es un síntoma (entre muchos otros), que se comparte con miles de enfermedades. Existe también una cesión de datos, la cosa se complica. En palabras de la AEPD: «según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus».

Volviendo a la base legitimadora del tratamiento, por el momento NO existe la misma. No queda justificado un tratamiento de la temperatura corporal por razones de interés público en el ámbito de la salud pública porque no ha sido así declarado por el ministerio de sanidad ni existen criterios para hacerlo de una forma garantista.

 

Evaluación de Impacto.

 

Pensemos una tienda de ropa que pretende adquirir por habitual esta práctica a sus clientes. Por el momento la adaptación al RGPD podría haber sido sencilla y únicamente haber necesitado de pequeñas adaptaciones, sobre todo de información. Pues bien, con el nuevo tratamiento de datos sensibles como lo es la temperatura corporal, debería realizar un análisis de riesgos y una evaluación de impacto, pues es previsible que exista un gran número de afectados en el tratamiento. Se va complicando.

 

Principio de «minimización de datos»

 

Protección de datos empresas

 

Suponiendo que la base legitimadora del tratamiento hubiese sido el cumplimiento de una obligación legal y esta práctica fuese impuesta para todos los establecimientos (o únicamente para algunos con determinadas características), debería respetarse en cualquier caso el principio de “ minimización de datos”, que supone que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

 

Entiéndase la adecuación de que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.

 

Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID-19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.

 

Entorno laboral. Trabajadores.

 

 

 

En el entorno laboral, y siempre que se hayan tenido en consideración otras cuestiones (recogida de datos sensibles, realización de evaluación de impacto, limitación de la finalidad…), la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.

 

Sin embargo, y adicionalmente, el RGPD requiere también en estos casos que la norma que permita este tratamiento ha de establecer también garantías adecuadas. Dichas garantías habrán de ser especificadas por el responsable del tratamiento.

 

Como vemos, un panorama nada sencillo para poder tomar la temperatura a nuestros empleados y, sobre todo, a nuestros clientes.

Contáctanos

 

Para cualquier cuestión relacionada con Protección de Datos Personales o adaptación al RGPD no dudes en contactarnos.

 

WhatsApp chat