Control de temperatura y Protección de Datos en el escenario COVID-19

En el escenario de crisis sanitaria provocada por el COVID-19 y ante la paulatina retirada de las medidas de confinamiento, las empresas se están preparando para retomar su actividad económica, lo que está implicando la adopción de diferentes medidas tendentes a evitar nuevos contagios.

En este sentido, una de las medidas "más populares" que se prevé es el uso de cámaras termográficas u otros dispositivos de medición de temperatura (ej. termómetros estáticos) para medir, controlar y registrar la temperatura corporal de las personas en los accesos a los establecimientos abiertos al público y centros de trabajo.

La instalación de cámaras termográficas, así como el uso de cualquier otro dispositivo que permita una medición de la temperatura corporal de las personas, implica el tratamiento de datos personales, concretamente de datos de salud, que constituyen categorías especiales de datos, tal y como ha confirmado la Agencia Española de Protección de Datos (“AEPD”) en su Comunicado de fecha 30 de abril sobre la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Por consiguiente, su utilización implica la necesidad de dar cumplimiento a las obligaciones y requisitos legales contenidos tanto en el Reglamento General de Protección de Datos 2016/679 (“GDPR”), como en la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales 3/2018 ("LOPDGDD").

A continuación, se detallan ciertas pautas que, a título ilustrativo, servirán para evaluar la viabilidad y licitud del tratamiento de estos datos de salud en línea con las exigencias normativas aplicables en este “entorno COVID-19”:

a. El tratamiento de datos personales, consistente en la medición, control y registro de la temperatura corporal de aquellos sujetos que accedan a establecimientos abiertos al público y/o centros de trabajo es lícito en el entorno laboral y encuentra su justificación en el cumplimiento de obligaciones legales en materia de prevención de riesgos laborales. Sin embargo, debe darse un alcance amplio a esta base jurídica (incluyendo no solo a empleados sino también a terceros, como clientes o proveedores), ya que la entrada de clientes en un local o establecimiento puede, en determinados casos, implicar un riesgo de contagio para los empleados.

b. Cumplimiento con el deber de información con respecto al tratamiento de datos que se va a llevar a cabo. Será necesario elaborar los clausulados pertinentes para facilitar a los interesados, titulares de los datos personales objeto de tratamiento, la información que exige la normativa en materia de protección de datos (por ejemplo, a través de carteles o distintivos en los accesos, o mediante la política de privacidad, entre otros).

c. Es relevante además considerar los plazos y criterios de conservación. Es cierto que, si atendemos a la finalidad ya mencionada, esos datos no deberían conservarse, salvo que ello sea necesario ante eventuales ejercicios de acciones legales vinculadas a la denegación de acceso a un local o establecimiento. En este sentido, es recomendable valorar la posibilidad de anonimizar los datos personales, en aquellos casos que así lo permitan durante el periodo de bloqueo y, de no poder ser así, suprimir dichos datos cuando ya no sean efectivos para alcanzar la finalidad para la cual fueron obtenidos.

d. En los supuestos en los que vaya a existir una subcontratación para la realización de estos controles de temperatura, se debe prestar especial atención en la selección de los proveedores con acceso a datos personales (encargados del tratamiento), para comprobar que cumplen con las garantías legales, técnicas y organizativas, con el fin de asegurar la protección y seguridad de los datos personales que traten por cuenta del responsable del tratamiento en el marco de la prestación de sus servicios. Además, el principio de exactitud exige que se utilicen equipos de medición de salud que sean fiables, preferiblemente homologados y que sean manejados por personal formado para ello.

e. Finalmente, debido a que los datos personales objeto del tratamiento son especialmente sensibles, los responsables de tratamiento deberán, si así lo estiman oportuno, realizar el análisis de riesgos y, en su caso, la Evaluación de Impacto (PIA) pertinente, así como proceder a la actualización del registro de actividades de tratamiento.

No obstante, la AEPD destaca que estas medidas deberían ser aplicadas solo atendiendo a los criterios definidos por las autoridades sanitarias, valorando tanto su utilidad como su proporcionalidad, con el fin de evitar un injustificado sacrificio de los derechos individuales y analizando hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.