La medición de temperatura corporal COVID-19 y su impacto en protección de datos.

Publicado en Blog
by
Viernes, 15 Mayo 2020
Visto 587 veces

La pandemia COVID-19 ha supuesto un antes y un después en nuestra realidad social y económica. Tras unos meses en los que nuestra forma de vida se frenó en seco, la sociedad va retomando, poco a poco y conforme a las pautas marcadas por las autoridades competentes al respecto, la “normalidad”. Una nueva normalidad en la que entra en juego un elemento, hasta ahora impensable para muchos, la contención de una pandemia; concretamente, la COVID-19.

En el contexto de mantener la continuidad de la actividad productiva con las garantías sanitarias suficientes y respetando los protocolos de salud pública establecidos por las autoridades sanitarias competentes, las entidades, atendiendo a su situación práctica, deben instaurar medidas que eviten la propagación del virus y garanticen, a su vez, la seguridad de sus empleados, clientes y proveedores.

Así, una de las medidas que más notoriedad ha tenido, entre todas las previstas, es el uso de dispositivos de medición de la temperatura corporal, tales como cámaras térmicas, dispositivos estáticos…etc., que permiten medir, controlar y, en su caso, registrar la temperatura corporal de las personas tanto en los accesos a establecimientos abiertos al público como, sobre todo, a centros de trabajo.

Si esta medida ha alcanzado una cierta popularidad, es por la significativa alarma que ha causado, tanto a nivel social, por el posible impacto que puede suponer en la privacidad de los ciudadanos, cómo de cara a los profesionales de la privacidad entre quienes se han generado diferentes corrientes de pensamiento sobre la aplicabilidad, en este contexto, de la normativa en materia de protección de datos.

Debemos de partir de la base de que, a día de hoy, y a fecha de publicación de este artículo, no existe un criterio unánime a este respecto ni por parte de las autoridades sanitarias, ni desde la propia Agencia Española de Protección de Datos, (en adelante AEPD) acerca de este extremo.

Si bien es cierto que, el pasado 30 de abril, la AEPD emitía comunicado acerca de la aplicación de estas medidas de contención, en la práctica, este puede llegar a resultar un tanto confuso por no discernir los diferentes escenarios en los que dichas medidas pueden resultar de aplicación. Y lo cierto es que, no se puede aplicar la misma teoría para todos ellos.

En derecho no hay criterios absolutos y es por ello por lo que, en la situación que analizamos en este artículo, hemos de discernir un conjunto de escenarios en los que esta medida de contención resultaría de aplicación, siendo, algunos de ellos, más óptimos desde el punto de vista de protección de datos, que otros.

TOMA DE TEMPERATURA EN COMERCIOS, CENTROS DE RESTAURACION Y DEMÁS ZONAS DE ACCESO PÚBLICO CON AFORO LIMITADO.

1. La primera situación es que la medición de temperatura corporal se realice a través de sistemas que no identifiquen a personas físicas. ¿Cuáles existen y cómo funcionan? A pesar de la amplia variedad que, en una sociedad tecnológica como la actual, podemos encontrarnos, nos centramos en los siguientes dos sistemas:

a. Las cámaras termográficas, que ofrecen una imagen en la que se puede controlar en tiempo real las radiaciones de calor que emanan de un cuerpo. Así, y sin captar la imagen física de la persona, estos sistemas se ocupan de 'pintar' una imagen con esa radiación, invisible al ojo humano.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones.

La peculiaridad de este primer escenario es que, independientemente del sistema escogido, no se procedería a registrar la información de aquellos interesados que accedan a los diferentes espacios, si no, sencillamente, se tomaría su temperatura. Si bien es cierto que la fiebre es un dato de carácter personal, lo es en tanto en cuanto vaya vinculada a una persona física identificada o identificable y se deje un registro de dicha información.

Consecuentemente, si no hay una identificación del afectado ni tampoco se registra la información obtenida sobre el mismo, no existiría un tratamiento de datos de carácter personal en sentido estricto, ni sería, consecuentemente, de aplicación la normativa de protección de datos actualmente vigente, esto es, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).

Son muchas las voces contrarias a esta teoría, que destacan que la denegación de la entrada a un interesado a un espacio por no superar el control de temperatura puede conllevar que terceros conozcan de este extremo, derivando en un impacto para la persona afectada como consecuencia del ámbito público en el que este se realiza.

No obstante, no podemos olvidar que este impacto afectaría a la esfera social de la persona, pero, en ningún caso, a las obligaciones que, en materia de protección de datos, pudiese llegar a tener la entidad pues, como hemos indicado al principio de este escenario, no identificar al afectado, ni registrar la información relativa a su persona no conlleva un tratamiento de datos de carácter personal.

No obstante, lo anteriormente indicado no es óbice para que como entidad cumplamos con una serie de buenas prácticas desde un punto de vista de transparencia, tales como la colocación de un cartel que avise a los interesados de que estamos llevando a cabo un control de temperatura para la contención de la COVID-19, pero sin que se lleve a cabo un registro de aquella información que obtengan ni se vincule a su persona.

2. Cuestión, claramente diferente, sería que esos sistemas de medición sí que identificasen al interesado y registrasen la información que, de su persona, se va a recabar. En este escenario, volvemos a hacer referencia a dos sistemas de medición concretos:

a. Las cámaras térmicas que, no sólo recojan un mapa de calor del usuario si no que, además, vayan acompañadas de un reconocimiento facial como pueden realizar las cámaras de videovigilancia al uso.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones; acompañados, a su vez, de un registro, de datos, como pueden ser nombres y apellidos, o cualquier otro que permita la identificación de quién accede a las instalaciones.

En este segundo escenario, sí nos encontraríamos ante un tratamiento de datos de carácter personal atendiendo a la definición que de tal concepto se da en el artículo 4.2 del RGPD, un tratamiento de datos de carácter personal se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación…(…).

Nos parece oportuno recordar, en este punto, que si hablamos de tratamiento de datos, se ha de entender la fiebre como un dato de salud, especialmente protegido, por lo que, para que dicho tratamiento resulte válido, este ha de poder ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD en relación con su artículo 9. Así, atendiendo a los criterios emanados por la AEPD, el tratamiento resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (6.1.c y 9.2 letra b), concretamente:

Datos biométricos: ¿categoría especial de datos o no?

Publicado en Blog
by
Jueves, 14 Mayo 2020
Visto 366 veces

No pretendo dar respuestas absolutas a un tema complejo y que en parte requiere de un conocimiento y ciertas valoraciones a nivel técnico, pero si compartir mi opinión y mis dudas con relación al nuevo apunte estrella indicado por la AEPD en el último informe emitido relativo a la utilización de técnicas de reconocimiento facial en la realización de pruebas de evaluación online (Informe N/REF: 0036/2020).

Parece que la AEPD, aunque sin concretar nada, nos deja abierto para el debate ciertas consideraciones que implicarían cambios sustanciales en el tratamiento dado a los datos biométricos bajo la óptica del RGPD. Desde esta perspectiva de generación de debate se podría decir que se agradece, aunque también siembra ciertas dudas sobre todos los profesionales que nos dedicamos día a día a la interpretación de la normativa de protección de datos. Veamos en concreto a que nos estamos refiriendo y que es lo que la AEPD comenta en su informe:

"Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno)."

A raíz de la distinción establecida por el Grupo del artículo 29, la AEPD introduce lo siguiente:

Página 5 de 167

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal