La Agencia Española de Protección de Datos analizó la vinculación entre controles de temperatura corporal para ingresar a un comercio y el tratamiento de de datos personales. ¿Un termómetro para la privacidad?
La Agencia Española de Protección de Datos intervino en un caso donde una parte reclamaba que para acceder a un local comercial la empresa le solicitaba una comprobación de temperatura por personal no cualificado y sin habilitación legal para ello, por lo que le pedía a esa agencia que controle e informe que se hacía con los datos recolectados cuando se chequeaba si un ciudadano tenía fiebre.
la empresa respondió que llevaba adelante una serie de medidas de protección ante la pandemia de COVID-19, entre ellos la toma de temperatura corporal de sus clientes para el acceso a su entidad
Luego de una investigación, la empresa respondió que llevaba adelante una serie de medidas de protección ante la pandemia de COVID-19, entre ellos la toma de temperatura corporal de sus clientes para el acceso a su entidad, esa actividad se realizó hasta mayo de 2021 previo consentimiento verbal, de forma anónima y privada, por personal de la recepción.
Además, agregó que la información no quedaba registrada en ficheros o bases de datos de la empresa ya que era un dato que solo se verificaba en el momento, y los termómetros utilizados no contaban con memoria para almacenar el registro.
Manifestó que se hacía en un marco del deber empresarial de promover la seguridad y salud de los trabajadores, para prevenir riesgos, lo que se extendía al resto de personas que accedían a la empresa, lo que beneficiaba a un interés colectivo superior que consistía en evitar la propagación del virus en la comunidad.
Asimismo, invocó una sentencia del Tribunal Constitucional que indicaba que toda medida para evitar restringir derechos debía superar un juicio de proporcionalidad basado en tres condiciones, un juicio de idoneidad, uno de necesidad y uno de proporcionalidad en sentido estricto, el primero asegura si la medida cumple su objetivo, el segundo si además es necesaria y moderada y el tercero si del accionar se derivan más beneficios que perjuicios sobre terceros.
Volcados al tratamiento de la cuestión la agencia analizó que la toma de temperatura corporal de las personas es un dato de salud en si mismo, que integra la definición de datos personales del Reglamento General de Protección de datos (RGPD), y que la empresa para cumplir con su obligación legal de garantizar la seguridad y salud de sus trabajadores estaba excepcionado de tratar estos datos siguiendo el articulado del RGPD, que además se trataban de medidas excepcionales por la pandemia, y que inclusive del documento del Ministerio de Sanidad denominado “Procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al SARS-CoV-2” surgía una serie de recomendaciones y medidas dirigidas a las empresas a los fines de que colaboren en la prevención, dentro de las cuales la toma de temperatura para identificar la fiebre (síntoma del COVID-19) cumplía los criterios de las autoridades sanitarias.
El tratamiento de datos de salud de los trabajadores, en este contexto, encuentra su legitimación en la causa prevista en el artículo 6.1.c) del RGPD y en las excepciones que habilitan el tratamiento de datos de salud, recogidas en el artículo 9.2.h) del RGPD.
El tratamiento de datos de salud de los trabajadores, en este contexto, encuentra su legitimación en la causa prevista en el artículo 6.1.c) del RGPD y en las excepciones que habilitan el tratamiento de datos de salud, recogidas en el artículo 9.2.h) del RGPD.
En este tipo de controles en la entrada de los establecimientos abiertos al se suelen utilizar dispositivos manuales de medición de la temperatura, como un termómetro manual que únicamente está concebido para tomar la temperatura corporal.
Cuando estos controles de temperatura no van acompañados de un control de identidad de las personas que pretenden acceder al establecimiento, por lo que no se vincula a una persona determinada a través de su registro o anotación, tales medidas no se encontrarían, en principio, incluidas en el ámbito de aplicación del RGPD al no asociarse la temperatura a una persona identificada o identificable.
Cuando estos controles de temperatura no van acompañados de un control de identidad de las personas que pretenden acceder al establecimiento, por lo que no se vincula a una persona determinada a través de su registro o anotación, tales medidas no se encontrarían, en principio, incluidas en el ámbito de aplicación del RGPD al no asociarse la temperatura a una persona identificada o identificable.
Ahora bien, denegar el acceso a una persona con motivo de su temperatura puede desvelar a terceros que no tienen ninguna justificación para conocerlo que la persona a la que se ha denegado la entrada tiene una temperatura corporal por encima de lo considerado no relevante y, sobre todo, que puede estar contagiada por el virus, dado que la fiebre es un síntoma de la enfermedad causada por el SARS-CoV-2, por lo que será también necesario establecer en cada caso si de las concretas circunstancias que concurrieron en el proceso de toma de temperatura de una persona determinada se derivaron acontecimientos que la hicieron identificable.
En el supuesto examinado, se utiliza termómetro manual que no graba imágenes ni información biométrica del usuario, sin que este proceso vaya acompañado del registro de la temperatura obtenida de las personas que acceden a la peluquería, por lo se ha constatado la falta de indicios racionales de la existencia de una infracción en el ámbito competencial de la Agencia Española de Protección de Datos, no procediendo, en consecuencia, la apertura de un procedimiento sancionador, y por lo tanto proceder al archivo de las actuaciones.