Mediciones de temperatura en los accesos a centros de trabajo, comercios y otros establecimientos: Requerimientos en materia de protección de datos

08.05.2020

 

 

 

En el actual contexto de “desescalada” en las medidas de confinamiento y limitación de la actividad económica, ha comenzado a generalizarse la realización de mediciones de temperatura a las personas para determinar si pueden acceder a centros de trabajo, comercios y otros establecimientos, todo ello como medida de prevención frente a nuevos contagios de COVID-19.
 
Dicha práctica debe entenderse sujeta, en todo caso, a la normativa nacional y de la Unión Europeaaplicable en materia de privacidad, teniendo en cuenta, además, que la toma temperatura corporal en el referido contexto ha de considerarse un tratamiento de datos relativos a la salud (sujetos a una protección reforzada).
 
Sentado lo anterior, son numerosas las dudas que, en la práctica y desde la perspectiva de la protección de datos personales, se plantean entorno al establecimiento de este tipo de medidas.
 
Tanto es así, que la Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado un comunicado (disponible a través del siguiente enlace), en cuya virtud y a falta de previsiones específicas que puedan establecer las Autoridades sanitarias, resume los criterios de implantación de dicho tipo de medidas desde la perspectiva de la normativa de privacidad.
 
Sobre la base de dicha comunicación y otros pronunciamientos anteriores de la propia AEPD, se resumen a continuación los principales aspectos a considerar en relación al cumplimiento normativo en materia de protección de datos personales en el contexto de la toma de temperatura corporal para permitir o denegar los accesos a un establecimiento.
 
 
1.       ¿Es lícito tomar la temperatura de los empleados para acceder a su centro de trabajo? ¿Y a clientes, usuarios, proveedores y visitas que deseen acceder a nuestras instalaciones?
 
El tratamiento de datos personales que comporta la medición de temperatura de personas en el contexto indicado debe fundamentarse, en primer lugar, en una de las causas legitimadoras previstas para las categorías especiales de datos en los artículos 6.1 y 9.2 del RGPD.
 
En este sentido, la AEPD excluye en primer lugar la posibilidad de fundamentar dicho tratamiento de datos tanto (i) en el consentimiento del interesado (no cabe la posibilidad de negarse si se quiere acceder a las instalaciones); como (ii) en el interés legítimo del Responsable (no está contemplado en el artículo 9.2 RGPD como supuesto que, con carácter general, dispense de la prohibición de tratar categorías especiales de datos).
 
De este modo y respecto a los empleados, se propone tomar como base legitimadora obligación que tienen los empleadores de garantizar la seguridad y salud de sus empleados (prevención de riesgos laborales).
 
Dicha obligación justificaría, asimismo, la toma de temperatura a clientes, usuarios, proveedores y visitas que pretendan acceder a las instalaciones, siempre dicho acceso suponga de facto un incremento en el riesgo para los empleados (e.g. contacto con éstos y ausencia de otras medidas alternativas de protección de los trabajadores que minoren el riesgo).
 
2.       ¿Cómo debe llevarse a cabo la medición de temperatura? ¿Pueden usarse cámaras térmicas y otros dispositivos análogos?
 
Dicha actuación deberá respetar el principio de exactitud, asegurando que los equipos de medición empleados son adecuados para registrar con fiabilidadlos intervalos de temperatura relevantes, utilizando equipos homologados para estos fines.
 
La utilización de cámaras térmicas y tecnologías similares estaría igualmente habilitada en la medida en que resulten idóneas para medir la temperatura con el debido nivel de precisión para la finalidad pretendida. Ello no obstante, debe tenerse en cuenta que el principio de minimización de datos obliga a restringir el tratamiento a aquéllos datos estrictamente necesarios (en este caso, la temperatura corporal), evitando por tanto la captación y conservación de otros datos/informaciones adicionales que esta clase de dispositivos podrían tratar (e.g. información biométrica).
 
3.       ¿Qué requisitos debe reunir el personal encargado de realizar las mediciones de temperatura?
 
En su comunicación, la AEPD se ha limitado a indicar que el personal encargado de realizar las mediciones “deberá reunir los requisitos legalmente establecidos”.
 
Esta mención debe completarse con otros pronunciamientos anteriores en los que la propia AEPD ha establecido que, en cuanto se trata de una medida relacionada con la vigilancia de la salud de los trabajadores y de acuerdo con la normativa en materia de Prevención de Riesgos Laborales, la medición de temperatura debería ser realizada, a priori, por personal sanitario (aunque son evidentes las limitaciones prácticas al respecto en muchas entidades que, por su tamaño y naturaleza, carecen de dicho personal).
 
4.       ¿Puede generarse un registro con los resultados de las mediciones de temperatura realizadas? ¿Cuánto tiempo podrían conservarse dichos datos?
 
Con carácter general, la AEPD interpreta que debería evitarse la creación de un registro permanente de los resultados de las mediciones de temperatura, entendiendo que dicho registro resulta innecesario atendida la finalidad del tratamiento (permitir o no el acceso a las instalaciones).
 
Ello no obstante, reconoce que excepcionalmente podría justificarse la conservación de los datos en aquéllos casos en los que se deniegue el acceso a las instalaciones y con la finalidad de hacer frente a eventuales acciones legales derivadas de dicha decisión.
 
En este último caso, el Responsable del Tratamiento debería establecer los plazos y criterios de conservación y supresión aplicables, teniendo en cuenta que los datos únicamente pueden ser conservados mientras resulten necesarios para la finalidad para la que fueron recabados.
 
5.       ¿Qué otras actuaciones deben observarse para garantizar la legalidad de la actuación?
 
Con carácter adicional, el tratamiento de datos que comprende la medición de temperatura corporal de las personas en los accesos a las instalaciones deberá respetar el resto de principios y obligaciones previstas en el RGPD y la LOPD-GDD, entre las cuales cabe destacar las siguientes:
 
§    El tratamiento deberá respetar el principio de limitación de la finalidad, esto es, los datos solo podrán tratarse con la finalidad específica que persigue la medida, sin que puedan ser utilizados para cualquier otra finalidad.
 
§    Deberá informarse adecuadamente a los interesados sobre el detalle del tratamiento (principio de transparencia), especialmente si los datos van a registrarse y conservarse.
 
§    Deberá incluirse el tratamiento en el Registro de Actividades de Tratamiento del Responsable.
 
§    Deberán implementarse medidas reforzadas para garantizar la seguridad de los datos y los derechos de los interesados (e.g. confidencialidad de la prueba y su resultado, restricción máxima de acceso a los datos entre el personal de la entidad, medidas técnicas/físicas de restricción de accesos, instrucciones adecuadas al personal encargado de la gestión de los datos para evitar revelaciones no autorizadas, etc.).
 
En todo caso, queremos advertirles de que la presente circular es meramente informativa y, por lo tanto, contiene información de carácter general que no constituye asesoramiento jurídico. En este sentido, si a la vista del presente documento necesitaran aclarar cualquier aspecto en relación con el contenido del mismo, les rogamos se pongan en contacto con nosotros para que les asesoremos adecuadamente atendiendo a las circunstancias de su caso concreto.
 
BSK LEGAL & FISCAL

 

Departamento de Nuevas Tecnologías