- Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública cuyo artículo 3 señala que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria (…) podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato (…).
- Ley 33/2011, de 4 de octubre, General de Salud Pública que se remite, en sus artículos 4 y 5, a la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades.
- Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales pues, no olvidemos que, independientemente de a quién se tome la temperatura, siempre habrá intrínseca una protección de los trabajadores de la entidad.
En cuanto al uso del consentimiento como base legitimadora del tratamiento, la propia AEPD estableció al respecto que, no podrá ser el sustento de la aplicación de estas medidas al considerar que el mismo no sería libre al no poder, las personas afectadas, negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en un establecimiento.
Así, una vez hemos determinado la licitud del tratamiento de datos, el siguiente paso es conocer qué obligaciones tenemos que cumplir cómo entidad para actuar conforme a RGPD y LOPGDD:
- Llevar a cabo el tratamiento de los datos conforme a los principios de limitación de la finalidad, y minimización de datos, específicamente.
- Cumplir con el principio de información recogido en los artículos 13 del RGPD y 11 de la LOPDGDD:
- Mediante la colocación de un cartel informativo en cada uno de los accesos termo vigilados.
- Con la elaboración de una cláusula informativa a disposición de todo aquel usuario que acceda a las instalaciones y que recoja la información exigida en los artículos 13 del RGPD y 11 de la LOPDGDD.
- Adoptar las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (artículo 32 RGPD).
- Atendiendo al alcance de la novedosa tecnología utilizada, y siempre y cuando esta pueda suponer un alto riesgo para los derechos y libertades de las personas físicas por el registro de datos sensibles, sería necesaria la realización de una Evaluación de impacto ad hoc en los términos establecidos por el artículo 35 del RGPD y la AEPD en su Guía para la Evaluación de Impacto en la Protección de Datos Personales.
TOMA DE TEMPERATURA EN EL AMBITO LABORAL.
Centramos ahora, nuestra atención en otro ámbito en el que podemos encontrarnos el uso de este tipo de sistemas de contención de la pandemia COVID-19: el ámbito laboral.
Partimos del pronunciamiento que, la AEPD, hizo, a través de un documento de preguntas frecuentes en el que centraba su atención en el tratamiento de datos resultantes de la COVID-19 en el entorno laboral. Lo importante que debemos de tener en cuenta aquí es que, el criterio a aplicar variará dependiendo del volumen y tipología de entidad ante la que nos encontremos.
Así, nuestro análisis se centrará en la aplicabilidad, o no, de la normativa vigente en materia de protección de datos, dejando a un lado cuestiones relativas a la gestión de las medidas de contención tales como quién debe llevar a cabo la misma sobre las cuales ya se ha pronunciado la AEPD.
De nuevo, volvemos a encontrarnos con dos escenarios claramente diferenciados:
1. Entidades con un volumen de empleados elevado, como podría ser el caso de grandes fábricas, y en las que la toma de temperatura se lleva a cabo por una persona, incluso en ocasiones ajena a la entidad, que hace improbable la identificación de los trabajadores cuya temperatura se mide. En este caso, nos encontraríamos en el mismo escenario descrito al inicio de este artículo: si no hay identificación, ni tampoco un registro del personal, no habría tratamiento de datos.
No obstante, y aunque inicialmente podemos no estar ante un tratamiento de datos de carácter personal, este hecho, tendría una excepción, como sería el caso de que, se detectase un positivo entre los empleados, se iniciaría el correspondiente proceso de protección de salud por parte del empleador, y que conllevaría, entre otras cuestiones, la comunicación a las autoridades sanitarias competentes tal y como recoge la reciente Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad, publicada en el BOE el 12 de mayo.
2. Entidades en las que, el volumen de empleados sea menor y quién lleve la toma de temperatura de los empleados sea alguien interno de la entidad. En esta casuística, parece lógico pensar que la identificación del trabajador cuya temperatura corporal se toma, es perfectamente posible. Ello, sumado a la captación y registro de la temperatura, nos situaría en una situación de tratamiento de datos de carácter personal.
Así, y en el presente caso, sería la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales la que legitimaría a la entidad correspondiente al tratamiento de dichos datos de carácter personal. Así lo asevera la AEPD en su comunicado al indicar que los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.
Considera, asimismo, que verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la entidad constituye una medida relacionada con la vigilancia de la salud de los trabajadores que resulta obligatoria para el empleador para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la entidad y/o centros de trabajo.
Añade que, en todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y es por ello que, como entidad, deberemos cumplir con los principios de licitud, limitación del plazo de conservación, minimización de datos e información.
Asimismo, y tal y como mencionábamos anteriormente, atendiendo a la novedosa tecnología utilizada, y la incidencia en los derechos y libertades de los empleados, como consecuencia del dato de salud recogido, deberemos realizar una Evaluación de Impacto en los términos establecidos por el artículo 35 del RGPD y la AEPD en su Guía para la Evaluación de Impacto en la Protección de Datos Personales.
Conforme a todo lo antedicho, parece claro que aquellos escenarios en los que no identifiquemos ni registremos la información relativa al afectado, ni su temperatura corporal, serían los más óptimos desde el punto de vista de la privacidad por no considerar que exista un tratamiento de datos de carácter personal.
Aun así, y en el caso de que, finalmente se considerase que el mero hecho de tomar la temperatura a trabajadores, clientes y proveedores pudiese suponer un tratamiento de datos de carácter personal, nuestro esfuerzo como responsables del tratamiento deberá centrarse en minimizar el impacto que dicho tratamiento pueda tener en la esfera privada del afectado mediante la adopción de medidas que minimicen el impacto que estos métodos de contención puedan ocasionar:
- Recabando, exclusivamente, aquellos datos que resulten estrictamente necesarios en dicho contexto sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad (principio de minimización de datos).
- Tratar los datos atendiendo a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban (principio de limitación de la finalidad)
A modo conclusión, parece claro que deberemos esperar a tener un pronunciamiento específico al respecto, por parte de la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, acerca de la utilidad y proporcionalidad de estas medidas atendiendo al objetivo final que estas persiguen: la contención de la pandemia COVID-19.