Desde la semana pasada ya podemos apreciar que muchos comercios y centros de trabajo están tomando la temperatura a aquellos clientes o empleados que quieren acceder al centro; situación que se irá incrementando a medida que vayamos adentrándonos en las distintas fases de desescalada. En estos casos en los que, esta medida se realiza a “pie de calle” y en espacios abiertos (junto con otros clientes y empleados) ¿dónde queda la garantía de la privacidad de un dato, que, en este caso en concreto, está categorizado como especialmente sensible?
La respuesta que dábamos aplicable a los trabajadores de una empresa no puede ser la misma que la que se le dé a medir la temperatura a los clientes de un comercio, o a los pasajeros en un aeropuerto.
Se podría plantear que, por ejemplo, para proteger la salud de los trabajadores de un bar o de un supermercado, se tome la temperatura en el acceso a sus clientes antes de entrar. Es decir, de forma indirecta, establecimientos abiertos al público, pueden plantearse el control de temperatura de sus clientes antes de que accedan a sus instalaciones para preservar la salud de sus propios trabajadores. De esta forma, la base legitimadora de este tratamiento de datos por parte de estos establecimientos resultaría ser la obligación imputable a la empresa de garantizar la salud y seguridad de sus empleados.
La Agencia Española de Protección de Datos, en el comunicado publicado el día 30 de abril, llegaba a la conclusión de que resultaría necesario “ponderar sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas”. La Agencia recordaba expresamente que los ciudadanos “siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece, si bien adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento”.
En todo caso, los comercios y empresas deberán establecer aquellas medidas que sean menos intrusivas para los derechos de los clientes, lo que debe conllevar a adoptar otras medidas menos lesivas para la intimidad, distintas al control de temperatura (por ejemplo, instalando una mampara que separe físicamente al empleado del cliente).
El control de temperatura por un establecimiento privado abierto al público fuera del supuesto de proteger la salud de los empleados no tendría cobertura legal actualmente. La Agencia dispone que, sería necesario “un soporte normativo a través de leyes” que establezcan las necesarias garantías para su implantación. Además, la Agencia, lo que expresa es que, deberá estarse a lo que disponga el Ministerio de Sanidad al respecto. Por ejemplo, un teatro con las butacas numeradas y con una distancia razonable en dos alturas entre público y escenario, no debería tomar la temperatura de los espectadores para salvaguardar la salud éstos; sino que lo que ha de hacer es establecer otras medidas como la limitación del aforo para garantizar la distancia de seguridad entre los asistentes.
Otro caso que tenemos que tener también en cuenta son las tomas de temperatura de viajeros que pretendan hacer uso del transporte público, y que ya están previstas para los próximos días en algunas comunidades autónomas. Sin ir más lejos, el Gobierno Vasco comunicaba la semana pasada en su desescalada, la realización de controles aleatorios de toma de temperatura a los usuarios del transporte público (metro, tren, tranvía y autobuses), en los accesos a las diferentes estaciones, usando para ello dispositivos móviles, y denegando el acceso a todos aquellos usuarios que tengan una temperatura superior a los 37ºC.
Otro caso lo encontramos en el Gobierno Balear, en donde, a partir de ayer, los profesionales sanitarios de la Consejería de Salud implementarán un control de temperatura a transportistas, tripulantes y pasajeros de aquellos buques que realicen el trayecto entre Ibiza y Formentera. Aquellas personas que tengan previsto desplazarse deberán acceder a la mencionada medida, y rellenar un cuestionario de salud, en el que deberán indicar si presentan síntomas compatibles con el Covid-19. Habrá que analizar si el cuestionario cumple con las garantías establecidas en el RGPD, especialmente se deberá tener en cuenta el principio de minimización, de información al usuario y el de conservación del dato.
Debemos recordar en este punto el informe del Gabinete Jurídico de la AEPD, 0017/2020 el cual establecía que:
“…los tratamientos de datos personales en estas situaciones de emergencia sanitaria, como se ha mencionado al principio de este informe, siguen siendo tratados de conformidad con la normativa de protección de datos personales…hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad,…El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.”
A día de hoy, entidades como Aena, Adif o Renfe mantienen en sus respectivas páginas web las recomendaciones del Ministerio contempladas en el “Plan de Medidas para responder al impacto del Covid-19 en el sector del transporte y la movilidad”, sin que la toma de temperatura sea una de ellas.
A colación del “triple juicio” que mencionábamos la semana pasada en un post, cabría plantearse si verdaderamente contamos con las herramientas necesarias para garantizar la proporcionalidad, necesidad e idoneidad de dichas medidas encaminadas a la prevención de contagios.
Nos hacemos aquí la misma pregunta que se hace la Agencia: “¿hasta qué punto estas medidas podrían, o no, ser sustituidas, con igual eficacia, por otras menos intrusivas?”
Tal y como publicaba la AEPD, entendemos que es necesario que exista una regulación común por parte del Ministerio de Sanidad, como autoridad sanitaria competente, en la que toda esta incertidumbre y falta de información se vea resuelto.
Ana Perez Vazquez, Consultora Legal de protección de datos y Privacidad
Santiago Cruz Roldán, Abogado y Consultor de Protección de Datos