¿Podemos tomar la temperatura a las personas en el trabajo sin incumplir las obligaciones que nos impone la normativa de protección de datos? Veamos dónde están los límites, dado que la normativa de protección de datos no tiene por qué ser un obstáculo en la gestión sanitaria si a la hora de tomar la temperatura actuamos de forma lícita, proporcional y limitada a unos fines concretos.
La propia Agencia Española de Protección de Datos ha emitido un comunicado para expresar su preocupación por este tipo de actuaciones que se están generalizando para controlar los accesos de las personas a los distintos locales o instalaciones, lo cual es una intromisión en los derechos de las personas que se está llevando a cabo sin criterios previos de las autoridades sanitarias.
¿En qué casos puede la empresa tomar la temperatura? ¿Cuál es la base legal que sustenta esta acción?
Siempre que vamos a realizar un tratamiento de datos, lo primero es valorar las bases legales sobre las que se puede apoyar dicho tratamiento de información. En este caso hay que tener también en cuenta que la toma de temperatura de las personas pertenece a la categoría de datos especialmente sensibles (salud), a partir de cual determinar una posible infección por coronavirus.
Tener fiebre no es sinónimo de padecer coronavirus, incluso puede ser una persona asintomática, sin fiebre, y estar enfermo de coronavirus. Por tanto denegar el acceso al centro laboral, comercial, público, etc.; es una intromisión especialmente intensa en los derechos de la persona afectada que la expone frente a terceros como posible portadora del virus y cuanto menos de un nivel alto de fiebre. Dependiendo del contexto donde se encuentre la persona puede afectarle de forma negativa.
En un entorno laboral, el tratamiento de datos de salud por parte del empleador se basa en su obligación de garantizar la seguridad y salud de las personas trabajadoras con legitimación recogida en el RGPD (Reglamento General de Protección de Datos), artículos 6.1. y 9.2.
Esa base jurídica podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones.
En un entorno comercial, educativo, de transporte de viajeros, etc., tomar la temperatura a los clientes, visitantes o usuarios requiere un soporte normativo que determine la existencia de intereses generales en el ámbito de la salud pública, con garantías adecuadas y específicas para proteger los derechos y libertades de las personas.
Con carácter general, para tomar la temperatura a clientes y usuarios, en ningún caso la empresa o entidad podrá sustentarse en la base jurídica del interés legítimo ni tampoco en el consentimiento informado al interesado.
Viendo ahora que los datos que los datos de salud relativos a la temperatura de las personas pueden ser recogidos, ¿con qué finalidades se pueden tratar?
Sólo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Por eso, la temperatura no deberá ser utilizada para otra finalidad que la indicada.
¿Cómo debemos implantar esta medida de control?
Una vez valorado el impacto que puede tener sobre las personas dicha medida, debería implantarse atendiendo a lo que establezcan las autoridades sanitarias competentes (actualmente el Ministerio de Sanidad), regulando los límites y garantías para el tratamiento de estos datos y ponderando hasta qué punto este control es suficiente para justificar la intromisión sobre los derechos individuales y si podría, o no, ser sustituida por otras menos intrusivas e igualmente eficaces. No debe aplicarse de forma heterogénea porque el control pierde eficacia y genera discriminación sin motivo.
Asimismo, y en relación con este impacto sobre las personas, es importante tener presente el principio de exactitud del RGPD, ya que en este contexto conlleva que la medición de la temperatura se realice por personal formado en el uso de los equipos de medición, así como que estos sean equipos adecuados para registrar con fiabilidad la misma, pues una medición errónea consecuencia de este incumplimiento puede tener resultados negativos sobre los interesados.
¿Se puede usar cualquier método de obtención de la temperatura como cámaras térmicas?
Las cámaras térmicas ofrecen la posibilidad de grabar y conservar los datos o tratar información adicional, como, por ejemplo, información biométrica. Deben ser utilizadas prestando especial atención a los principios de limitación de finalidad para que el tratamiento de datos que se realice sea el que se informa a los usuarios y los datos personales recogidos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (artículo 5.1 del RGPD).
Los aspectos que deben tenerse en cuenta para llevar a cabo el correcto tratamiento son:
- Informar a los trabajadores, clientes o usuarios. Se puede realizar mediante un cartel que permita cumplir con el deber de información y transparencia a los interesados. Ejemplo de cartel:
- Formar a los trabajadores de forma específica y actualizada sobre las medidas que se implanten.
- Hacer partícipe del procedimiento a los servicios de prevención de riesgos laborales que realizan actividades sanitarias siguiendo lo establecido por el Ministerio de Sanidad.
- El tratamiento de estos datos deberá realizarse por personal cualificado, como el médico especialista en medicina del trabajo del servicio de prevención.
- El personal que recoja los datos de temperatura debe reunir los requisitos legalmente establecidos y estar formado en su uso. La identificación de un posible contagio erróneo como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición puede generar un impacto negativo en los interesados vulnerando sus derechos.
Período de ejecución y plazos de conservación.
Estas medidas de control de acceso deben plantearse mientras esté vigente la situación de emergencia sanitaria y control de la pandemia por coronavirus. Deberemos estar atentos a las indicaciones de las autoridades de control y especialmente del Ministerio de Sanidad para adaptarnos a posibles cambios que vayan surgiendo.
Este tipo de datos solamente debe mantenerse durante el tiempo necesario para determinar el acceso o no del interesado. Pudiendo extenderse el plazo en caso de necesidad justificada por posibles responsabilidades o acciones legales derivadas de la denegación del acceso.