8 de mayo de 2020

Consideraciones sobre los controles de temperatura corporal y protección de datos en el marco de la crisis del COVID-19

La AEPD ha emitido un comunicado en el que muestra su preocupación por la injerencia en los derechos de los afectados que supone la toma de temperatura corporal de aquellas personas que accedan a determinadas instalaciones.

TRATAMIENTO DE DATOS PERSONALES RELATIVOS A LA SALUD.

La temperatura corporal de un individuo, es un dato de salud y por lo tanto, debe de tratarse conforme a los requerimientos específicos establecidos en el Reglamento Europeo de Protección de Datos (RGPD) artículos 6.1 y 9.2, para las categorías especiales de datos.

La utilización de datos de salud o especialmente protegidos durante la extensión del coronavirus ha sido tratada por la AEPD, especialmente en su informe de 12 de marzo de 2020.  En dicho informe se recogen las circunstancias y condiciones deben darse para el correcto tratamiento de los datos relativos a la salud y cuáles son los derechos de los interesados.

Los principales problemas de la medida detectados por la AEPD consisten en que al negar la entrada a una persona en un lugar público como resultado de la medición de temperatura, se entendería que dicha persona tiene una temperatura superior a la estipulada y además se la estaría señalando como posible contagiado por la enfermedad.

CRITERIOS DE IMPLANTACIÓN.

La AEPD, afirma que las medidas establecidas y el tratamiento  de datos requieren que la autoridad sanitaria declare que dicha medida es necesaria y regule las condiciones, límites y garantías de su implantación y que se tomen en base a criterios de proporcionalidad ponderando “hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas”.

Es necesario tener en cuenta que el Ministerio de Sanidad no menciona la necesidad de las mediciones de temperatura en su “Procedimiento de Actuación para los Servicios de Prevención de Riesgos Laborales Frente a la Exposición Al SARS-CoV-2”, y también que como afirma el comunicado de la AEPD no todos los contagiados presentan fiebre y es posible que haya personas con temperaturas elevadas por causas ajenas al virus.

LEGITIMIDAD DEL TRATAMIENTO.

Dado que las personas que quieran entrar en el recinto no pueden negarse al tratamiento, puesto que esto implicaría que no pueden acceder al mismo, la legitimidad del tratamiento no puede basarse en el consentimiento de los interesados.

En lo que respecta al entorno laboral, como la AEPD estableció en su informe de 12 de marzo, en base a la legislación de prevención de riesgos laborales, el tratamiento con la finalidad de garantizar la seguridad de los trabajadores es posible siempre y cuando se establezcan las garantías adecuadas.

Fuera de las medidas destinadas a proteger a los trabajadores será necesario encontrar una norma que habilite el tratamiento y “que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados”, en todo caso basar el tratamiento en el interés legítimo queda descartado.

PRINCIPIOS DE LIMITACIÓN DE FINALIDAD Y EXACTITUD DE LOS DATOS.

La limitación de la finalidad de los datos implica que la medición de temperatura únicamente puede usarse con el fin de detectar posibles contagiados, esto es especialmente importante en aquellos dispositivos como las cámaras térmicas que permiten la grabación y la conservación de los datos.

La exactitud de los datos implica, que los equipos usados para realizar dicha tarea deben fiables y únicamente registrar intervalos de temperatura relevantes, por lo que los equipos deberán estar convenientemente homologados, además el personal encargado de realizar las mediciones debe estar formado y reunir los requisitos legales.

DERECHOS Y GARANTÍAS.

Los interesados (trabajadores, clientes o usuarios) conservan sus derechos de acuerdo con el RGPD.

Tienen derecho a ser informados sobre el tratamiento, especialmente si se trata de cámaras térmicas por ejemplo instalándose carteles informativos o similares, con el fin de que los interesados puedan reaccionar antes de que se produzca la medición. Además, debe de establecerse un sistema que permita realizar reclamaciones.

Con respecto a la conservación de los datos, únicamente debe de producirse si es necesario para evitar futuras reclamaciones en el caso de denegaciones de acceso.

Ante estas novedades, y dado que desde el 25 de mayo de 2018 el nuevo Reglamento comenzó a aplicarse y es de obligado cumplimiento, le recordamos que desde el Departamento Fiscal – Mercantil de AECIM podemos ayudarles a que realicen de forma sencilla y eficaz la adaptación al nuevo Reglamento General de Protección de Datos, adaptándose así a las exigencias de esta normativa y evitando cualquier problema en este ámbito.

Entre las actuaciones a desarrollar, destacarían:

·         Adaptación a la LOPD y RGPD: Registro de tratamiento de datos, modificaciones en los sistemas de tratamiento de datos en cumplimiento del nuevo RGPD, nombramiento de Delegado de Protección de Datos, en su caso, etc.

·         Mantenimiento LOPD: Consultoría y asesoramiento jurídico-técnico permanente, representación y defensa ante la Agencia Española de Protección de Datos, etc.