COVID-19
Control de temperatura en el entorno laboral
Muchas empresas como medida para
prevenir nuevos contagios de COVID 19 durante el proceso de desescalada y la
vuelta a los centros de trabajo están realizando o quieren realizar controles
de temperatura de los trabajadores y clientes.
Esta situación, no es una cuestión
baladí ya que se está realizando un tratamiento de datos personales de
información muy sensible al tratarse de datos de salud. Por lo que se deberá
realizar un estudio pormenorizado del sistema a emplear, la base legítima que faculta
el tratamiento de dichos datos, así como las medidas de seguridad a implantar
para garantizar la seguridad y confidencialidad de los datos.
A este respecto la propia Agencia
Española de Protección de Datos (AEPD) ha mostrado su preocupación sobre la
incidencia de estas medidas de control en el derecho a la privacidad y a la
intimidas de los posibles afectados y ha alertado para que nadie pueda alegar desconocimiento
manifestando que “este tratamiento de toma de temperatura supone una
injerencia particularmente intensa en los derechos de los afectados”, “porque
afecta a datos relativos a la salud de las personas, no sólo porque el valor de
la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir
de él, se asume que una persona padece o no una concreta enfermedad, como es en
estos casos la infección por coronavirus”
En este línea la AEPD ha publicado una
nota informativa sobre este tipo de prácticas que se resumen en los siguientes
puntos:
1.- Particularidades sobre el
tratamiento del dato de la temperatura. el control de la temperatura supone
una intromisión en la intimidad y los derechos de los afectados. Primero, porque
afecta a datos relativos a la salud, no sólo porque el valor de la temperatura
corporal es un dato de salud en sí mismo sino también porque, a partir de él,
se asume que una persona padece o no una concreta enfermedad, como es en estos
casos la infección por coronavirus.
Segundo, los controles de temperatura
se van a llevar a cabo con frecuencia en espacios públicos, de forma que
una eventual denegación de acceso a un centro educativo, laboral o comercial
estaría desvelando a terceros que no tienen ninguna justificación para
conocerlo que la persona afectada tiene una temperatura por encima de lo que se
considere no relevante y, sobre todo, que puede haber sido contagiada por el
virus.
2.- Criterios de implantación de los
controles de temperatura. Le corresponde al Ministerio de Sanidad decretar
su necesidad y adecuación con el objetivo de contribuir eficazmente a prevenir los
contagios en los ámbitos en los que se apliquen, regulando los límites y
garantías específicos para el tratamiento de los datos personales de los
afectados.
En ese sentido, debe tenerse en
cuenta, entre otras cuestiones, que, según las informaciones proporcionadas por
las autoridades sanitarias, hay un porcentaje de personas contagiadas
asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de los
síntomas presentes en pacientes sintomáticos, en particular en los primeros
estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber
personas que presenten elevadas temperaturas por causas ajenas al coronavirus.
Es por ello que estas medidas deben
aplicarse solo atendiendo a los criterios definidos por las autoridades
sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad,
es decir, hasta qué punto esa utilidad es suficiente para justificar el
sacrificio de los derechos individuales que las medidas suponen y hasta
qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por
otras menos intrusivas.
3.- Base legítima que permite realizar
el control de temperatura. Como todo tratamiento de datos, la recogida de
datos de temperatura debe regirse por los principios establecidos en el
Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio
de legalidad. Este tratamiento debe basarse en una causa legitimadora de las
previstas en la legislación de protección de datos para las categorías
especiales de datos (artículos 6.1 y 9.2 del RGPD).
En el caso de la comprobación de la
temperatura corporal como medida preventiva de la expansión de la COVID –
19, esa base jurídica no podrá ser, con carácter general, el
consentimiento de los interesados. Las personas afectadas no pueden negarse
a someterse a la toma de temperatura sin perder, al mismo tiempo, la
posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o
en los medios de transporte, a los que están interesados en acceder. Por
tanto, ese consentimiento no sería libre, uno de los requisitos necesarios para
invocar esta base legitimadora.
En el entorno laboral, y
siempre que se hayan tenido en consideración las demás cuestiones que se
abordan en esta comunicación, la posible base jurídica podría encontrarse en la
obligación que tienen los empleadores de garantizar la seguridad y salud de las
personas trabajadoras a su servicio en los aspectos relacionados con el
trabajo. Esa obligación operaría a la vez como excepción que permite el
tratamiento de datos de salud y como base jurídica que legitima el tratamiento.
Sin embargo, y adicionalmente, el RGPD
requiere también en estos casos que la norma que permita este tratamiento ha de
establecer también garantías adecuadas. Dichas garantías habrán de
ser especificadas por el responsable del tratamiento.
Esa base jurídica podría ser tenida en
cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén
destinados a unas finalidades específicas que impliquen que en ellos se
concentren un elevado número de clientes o usuarios ajenos a la empresa que los
gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las
que el empleador mantiene sus obligaciones.
Esta aproximación, no obstante,
requiere de una adecuada ponderación entre el impacto sobre los derechos de los
clientes o usuarios de estas medidas y el impacto en el nivel de protección de
las personas empleadas.
En otros ámbitos en que no sea
relevante esta base jurídica, cabría plantear la existencia de intereses
generales en el terreno de la salud pública que deben ser protegidos. No
obstante, esta posibilidad requeriría igualmente, como establece el artículo
9.2.i RGPD, de un soporte normativo a través de leyes que
establezcan ese interés y que aporten las garantías adecuadas y específicas
para proteger los derechos y libertades de los interesados.
La utilización del interés
legítimo de los responsables del tratamiento como base legitimadora
quedaría en todo caso excluida, por un doble motivo. Por una parte, porque
ninguna disposición del artículo 9.2 del RGPD permite levantar la prohibición
de tratamiento de datos sensibles por razones de interés legítimo (salvo que en
determinadas materias así lo contemple el derecho de la Unión o de los Estados
Miembro). Por otra, porque el impacto de este tipo de tratamientos sobre los
derechos, libertades e intereses de los afectados haría que ese interés
legítimo no resultara prevalente con carácter general.
4.- El principio de limitación de
finalidad y exactitud de los datos. La normativa de protección de datos
contiene otras disposiciones que resultan también especialmente aplicables en
el caso de las mediciones de temperatura como medida de prevención contra la
expansión de la COVID – 19.
Entre los principios de protección de
datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad.
Este principio supone que los datos (de temperatura) solo pueden obtenerse con
la finalidad específica de detectar posibles personas contagiadas y evitar su
acceso a un determinado lugar y su contacto dentro de él con otras personas.
De igual modo, el principio de
exactitud, aplicado en este contexto, implica que los equipos de medición que
se empleen deben ser los adecuados para poder registrar con fiabilidad los
intervalos de temperatura que se consideren relevantes.
5.- Derechos y garantías de las
personas.
En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el
RGPD y siguen siendo de aplicación las demás garantías que el Reglamento
establece, si bien adaptadas a las condiciones y circunstancias específicas de
este tipo de tratamiento.
En ese sentido, debieran considerarse,
entre otras, medidas relativas a como suministrar la información
relativa al tratamiento de datos a los trabajadores, clientes o
usuarios sobre estos tratamientos (como por ejemplo a través de un cartel como
los que ilustran las zonas videovigiladas).
Es igualmente importante establecer
los plazos y criterios de conservación de los datos en los casos
en que sean registrados. En principio, y dadas las finalidades del tratamiento,
este registro y conservación no debieran producirse.
En el supuesto que estén valorando la
implantación de esta medida de control o lo hayan hecho ya, les rogamos
encarecidamente, que se ponga en contacto con nosotros para valorar los
procedimientos nuevos que hay que generar con la finalidad de no incurrir en
posibles incumplimientos y no deriven en denuncias ante la Agencia Española de
Protección de Datos como ya le ha ocurrido a Securitas . Leer noticia
Enlace: