Con la actual situación generada por la pandemia de la COVID-19 y de cara a la paulatina vuelta a la normalidad, numerosas organizaciones están implantando medidas encaminadas a la prevención contra la expansión de este virus, como mediciones de temperatura a la entrada de sus instalaciones.
En un comunicado publicado el pasado 30 de abril, la Agencia Española de Protección de Datos ha expresado su preocupación por la implantación de estas medidas y, advierte, que este tipo de actuaciones, suponen una injerencia particularmente intensa en los derechos de los afectados que, además, se están realizando sin el criterio previo de las autoridades sanitarias.
TRATAMIENTO DE DATOS PERSONALES SENSIBLES.
En primer lugar, hay que destacar que este tipo de operaciones conlleva un tratamiento de datos personales que debe de ajustarse a la normativa vigente.
El siguiente aspecto a tener en cuenta, es que la temperatura corporal es un dato de salud, dato especialmente sensible cuyo tratamiento en estos días puede suponer mayor riesgo para las personas afectadas, ya que se asume que dicha persona padece o no una concreta enfermedad.
Por otra parte, dado que la mayoría de los controles de temperatura se llevan a cabo en espacios públicos, cuando se deniega la entrada a una persona por no superar dicho control se estaría desvelando el resultado a terceros sin justificación para conocerlo. Esta revelación de datos puede derivar en un importante impacto para el afectado, por ejemplo: asumir que es un enfermo de coronavirus.
CRITERIO DE IMPLANTACIÓN
La AEPD requiere a la autoridad sanitaria correspondiente que determine la necesidad y adecuación de este tipo de operaciones, regulando los límites y garantías específicos para el tratamiento de los datos. De forma que, para poder aplicar estas medidas se deberá de atender a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, y hasta qué punto estas medidas podrían ser o no sustituidas por otras menos invasivas para el afectado.
LEGALIDAD
Como cualquier otro tratamiento de datos, se debe de cumplir con los principios del RGPD, entre ellos, el principio de legalidad. Según la AEPD, este tratamiento de datos no podrá basarse en el consentimiento del interesado, ya que no se otorgaría libremente, pues el acceso estaría condicionado a la superación del control de temperatura.
En el entorno laboral, la base jurídica podría encontrarse en la obligación por parte de los empleadores de garantizar la seguridad y salud de sus trabajadores. En otros ámbitos se podría plantear la existencia de intereses generales de salud pública, pero requeriría de un soporte normativo a través de leyes que determinen ese interés y establezcan garantías para proteger a los interesados.
El interés legítimo del responsable o de un tercero como base legitimadora queda descartado ya que ninguna disposición del RGPD permite tratar datos sensibles por este motivo.
LIMITACIÓN DE FINALIDAD Y EXACTITUD DE LOS DATOS
En cuanto al principio de limitación de la finalidad, la Agencia señala que estos datos sólo se podrán obtener con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y el contacto con otras personas. Se deberá de tener especial atención a los dispositivos que permitan grabar y conservar los datos.
Para cumplir con el principio de exactitud de los datos se requiere utilizar sólo dispositivos fiables y homologados para estos fines. Asimismo, el personal que los emplee debe de reunir los requisitos legalmente establecidos y estar formado en su uso.
DERECHOS Y GARANTÍAS
Por último, la AEPD recuerda que los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y que siguen siendo de aplicación las demás garantías establecidas. Por lo tanto, se deberá de informar tanto a trabajadores como a clientes y usuarios sobre el tratamiento de datos, establecer plazos de conservación en caso de que sean registrados, formar al personal para atender reclamaciones, etc.