Protección de datos en relación con las medidas adoptadas por la crisis sanitaria por el Covid 19

Una vez llegados a las etapas finales de la pandemia provocada por el COVID 19, cada día son más numerosas las medidas y mecanismos que se van implantando para hacer frente a la desescalada, fin del confinamiento y sucesivos cambios de fase que tenemos por delante para evitar nuevos contagios y repuntes de la enfermedad y así reactivar a la población.

Entre las medidas que se han puesto en marcha, como todos conocemos, ha sido el uso de mascarillas, pantallas protectoras, distanciamiento social y en otras ocasiones se utilizan algunas que, desde un punto de vista jurídico, pueden resultar invasivas para nuestros derechos, como ahora analizaremos, como por ejemplo, la toma de temperatura a un sujeto para comprobar si está infectado o no y de esa forma permitir el acceso o denegárselo a un determinado lugar. Hablamos de casos en los que se utilizan mecanismos que registran esos datos de temperatura, junto con las imágenes de la persona y permiten una identificación posterior del sujeto.

Tal situación, podría conllevar una vulneración de nuestros derechos en relación con la protección de datos, al considerarse la temperatura corporal de un individuo, un dato relativo a su salud recogido dentro de las categorías especiales de datos personales, más aun si de ello se desprende una posible infección por Covid-19 del sujeto, ya que el propio hecho de la toma de temperatura y su posible registro y almacenamiento posterior es, como decimos, un tratamiento de datos personales.
Se debe prestar atención al mecanismo con el que se procede a la toma de temperatura, ya que puede tratarse de cámaras térmicas o mecanismos que recojan nuestra imagen y al mismo tiempo nuestra temperatura corporal en ese momento y pueden permitir una identificación posterior del sujeto.

No obstante, desde mi punto de vista, no habría vulneración de derechos, si lo único que se hace es verificar la temperatura del sujeto, no se almacena ese dato y el sujeto no es susceptible de una identificación posterior.

Se debe poner de manifiesto que el tratamiento de datos personales por cualquier responsable de los mismos o encargado del tratamiento, se debe llevar a cabo respetando en todo caso lo que dispone el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD) y a la libre circulación de estos datos así como lo dispuesto en nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD)
En todo caso, el tratamiento de los datos se hará, como decimos, respetando los principios que establece el RGPD en su artículo 5, esto es, primeramente, que se haga de forma lícita, leal y transparente, y para que el tratamiento sea lícito, debe cumplir al menos 1 de los requisitos establecidos en el artículo 6.1 del RGPD.

Entre ellos, está el consentimiento del interesado, un consentimiento que deberá ser, según lo establecido en el RGPD, una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

No obstante, entendemos que el consentimiento del interesado, en los casos en los que se procede a la toma de temperatura, por ejemplo, para entrar en un centro comercial, entidad bancaria, etc; no sería libre, ya que, en el caso de no dar su consentimiento, no podría acceder.

No siendo el consentimiento libre, habría que buscar el cumplimiento de otra base de las que establece el artículo 6.1 del RGPD para legitimar el tratamiento de los datos.

Por ejemplo, en el ámbito laboral, la toma de la temperatura podría estar legitimada con el cumplimiento de una obligación legal por el responsable del tratamiento, ya que se podría relacionar con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador, por lo tanto si podría estar legitimado, a falta de una legislación específica a día de hoy que obligue a recoger datos sobre la temperatura. Este extremo estaría relacionado con el articulo 9.2 h) del RGPD y el tratamiento de categorías especiales de datos.
En otros entornos, se podría valorar igualmente si el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física para legitimarlo.

A parte de los principios de licitud, lealtad y transparencia citados anteriormente, el tratamiento de datos deberá respetar igualmente los siguientes principios recogidos en el RGPD, tales como:

  • Limitación de la finalidad: Los datos se deben destinar a la finalidad específica para la que fueron recogidos, que es la de contener la propagación del virus y evitar nuevos contagios. No se deben utilizar para otras finalidades. Debemos prestar especial atención a los dispositivos que crean registros de la temperatura asociada a la imagen de una persona y después pasan a formar parte de un fichero.
  • Minimización de datos: Los datos deben ser adecuados, pertinentes y limitados en relación con las necesidades de la finalidad del tratamiento. No tiene sentido que, por ejemplo, nos hagan un extenso cuestionario de salud, aprovechando el hecho de querer conocer si hemos tenido o no el virus.
  • Exactitud: Los datos obtenidos deben ser lo más exactos posible, debiendo poner el responsable del tratamiento los medios para ello.
  • Limitación del plazo de conservación: Se deben mantener el tiempo estrictamente necesario para llevar a cabo su finalidad con las excepciones del articulo 89 RGPD.
  • Integridad y confidencialidad: Se debe garantizar en todo momento la seguridad de esos datos personales y la protección contra el tratamiento no autorizado de los mismos o pérdida.

Por otro lado, igualmente entendemos que sería recomendable realizar por todos los responsables del tratamiento que vayan a implantar medidas de este tipo, una evaluación de impacto previa a su implantación para ver los riesgos que entraña el tratamiento.

Tanta transcendencia ha tenido el hecho de las recogidas de datos personales referentes a la temperatura corporal de un interesado, que la propia Agencia Española de Protección de Datos (AEPD) ha emitido un comunicado con su parecer y directrices de actuación.

Por supuesto, debemos recordar que a todos los interesados que les recojan datos relativos a su temperatura corporal, deberán ser informados del tratamiento de esos datos, así como el hecho de que pueden ejercer en cualquier momento sus derechos de acceso, rectificación, cancelación/supresión, oposición, portabilidad y limitación (ARCO-POL).

Abel Rodríguez Romero

Abogado