Con la tan esperada desescalada, las empresas que retomen la vuelta a las oficinas son responsables de adoptar medidas para prevenir o, al menos disminuir, el riesgo de contagios por Covid-19 entre sus empleados, clientes, usuarios y proveedores que pretendan acceder a las oficinas. Además del uso de mascarillas, el aislamiento social y el uso de geles hidroalcohólicos, se viene extendiendo la medición de la temperatura de como medida obligatoria para permitir el acceso al establecimiento.
¿La temperatura corporal es un dato personal?
Sin duda, ya que refiere una información sensible relacionada con la salud de una persona física. El mero hecho de establecer esta medida como obligatoria ya resulta una injerencia a la privacidad de cada persona. Si, además, este dato se registra junto al nombre apellidos o cualquier otro dato que permita conocer a quien se atribuye esta medición, la injerencia a la privacidad es aun más profunda. En consecuencia, resultará de aplicación la normativa de protección de datos personales, en especial el Reglamento General (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD), ya que esta medida implica un tratamiento de datos relativos a una persona física identificada o identificable.
No solo se trata de un dato de salud, sino que además reviste especial sensibilidad, porque además de conocerse la temperatura, permite inferir si esta persona es un potencial contagiado por Covid-19 o por cualquier otra enfermedad. Además, como bien apunta la Agencia Española de Protección de Datos (AEPD) en su reciente “Comunicado sobre la toma de temperatura”, esta medida se aplicará probablemente en un espacio público, en el que una posible denegación de acceso o aviso de temperatura alta, podría generar alarma entre el resto de los empleados si no se gestiona con discreción, lo que dejaría al descubierto la privacidad del afectado.
¿Cuál es la legitimación para el establecimiento de esta medida?
Como apunta la AEPD “constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador”.
La toma de la temperatura es legítima en la medida en que se aplique para proteger intereses vitales, del propio empleado y de todo el colectivo de trabajadores y visitantes. Además, responde al cumplimiento de obligaciones legales contenidas en la Ley de prevención de riesgos laborales y orientaciones emitidas por el gobierno durante el estado de alarma, que, si bien no constituyen en algún caso leyes orgánicas o reales decretos, son impuestas coercitiva y coactivamente por éste, con la consecuente derivación de responsabilidades para los empresarios. Por último, no debemos olvidar que el RGPD permite el tratamiento de datos de salud en los siguientes casos:
-
Considerando 46 RGPD. (…) Cuando sea necesario para proteger un interés esencial para la vida del interesado. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario el control de epidemias y su propagación.
-
Art. 6 RGPD El tratamiento solo será licito si (…) es necesario para proteger intereses vitales del interesado o de otra persona física.
¿Qué requisitos se deben cumplir para que esta medida resulte acorde a la protección de datos?
Se debe informar al empleado y visitantes por un medio acreditable sobre la implantación de esta medida. En concreto, debe informársele si los datos se quedarán o no registrados, la legitimación, la finalidad a la que será destinada la información, el plazo de conservación del dato, y la posibilidad de ejercer sus derechos. El trabajador no debería llevarse una sorpresa cuando acceda a las instalaciones y se encuentre con un sistema de medición de temperatura corporal sin conocer previamente esta información.
En este sentido recomendamos remitir, si fuera posible, la información por el correo corporativo a cada empleado con carácter previo a la implantación de la medida. De igual forma, colocar un cartel informativo en la entrada puede constituir un refuerzo a la información, en especial en caso de acceso de visitantes. No obstante, de cara a los empleados es mucho más recomendable que la información sea recibida con anterioridad al tratamiento y no cuando dicho tratamiento es inminente.
Por otra parte, el registro del dato derivado de la temperatura de todas las personas que pretendan acceder resulta, en nuestra opinión, excesivo de acuerdo con la finalidad de obstaculizar el acceso para prevenir contagios. De hecho, tampoco parece indispensable registrar el dato identificativo del trabajador que resulte sospechoso por su elevada temperatura, ya que podría negársele el acceso sin necesidad de identificarle o conservar sus datos. En tal sentido, debe ponderarse la injerencia a la privacidad, que ya se da por el mero hecho de establecerse la medición de temperatura como condición para el acceso, con la necesidad o no de identificarle y conservar sus datos.
La determinación del límite de la temperatura que podría ser indicio de contagio o enfermedad, deberá seguir el criterio de las autoridades sanitarias en todo momento. Los casos detectados como sospechosos deberían gestionarse de la forma más discreta posible, procurando en todo momento no generar demasiada alarma o ruido para no aumentar el daño a la privacidad de la persona afectada.
Por último, el listado de personas con temperaturas elevadas, en caso de registrarse el dato, deberá ser tratado bajo la más estricta confidencialidad, permitiéndose exclusivamente el acceso de personal autorizado, y las cesiones de datos de posibles contagiados cuando resulten amparadas en las normas de protección de datos. Puedes consultar los casos en los que se pueden registrar y comunicar los datos de posibles contagiados por Covid-19 en este artículo publicado recientemente en nuestro blog sobre “Protección de Datos VS Coronavirus”.
No debe olvidarse que el estado de alarma no suspende la aplicación de las normas de protección de datos ni el respeto a los derechos fundamentales. Después de esta pesadilla vendrá ineludiblemente el momento de derivar responsabilidades en todas aquellas personas o entidades que incumplieron injustificadamente las leyes aplicables. Así lo recordó la propia AEPD en informe jurídico reciente sobre el tratamiento de datos en situaciones de emergencia sanitaria, indicando que: “los datos tratados habrán de ser exclusivamente los necesarios para la finalidad pretendida, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que, como se ha dicho, la propia normativa establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria”
Lilliam Valenzuela
Socia en Umbra Abogados
Delegada Certificada en Protección de Datos