¿Puedes tomar la temperatura a un empleado o cliente para permitirle o denegarle el acceso a tu negocio?

La vuelta a la “nueva normalidad”, con el desconfinamiento y el proceso de desescalada, está planteando numerosas dudas sobre si algunas medidas que podrían prevenir el contagio del virus son legales o hay normativas que las prohíben. Un ejemplo, del que ya hemos hablado en este blog de Conversia, son las aplicaciones de seguimiento instaladas en los dispositivos móviles de los ciudadanos. Estas ya se están utilizando en muchos países con regímenes autoritarios, donde la propagación del virus se ha estancando de forma notable. Sin embargo, esta solución plantea muchos problemas en Europa, donde contamos con un marco normativo muy estricto en materia de privacidad y protección de datos, el Reglamento General de Protección de Datos (RGPD).

Otra de las medidas que genera cierta controversia es la posibilidad de tomar la temperatura a una persona antes de entrar en un recinto, ya sea el lugar de trabajo, en un comercio o en los centros escolares. Desde el inicio de la pandemia, los profesionales sanitarios han explicado que uno de los principales síntomas de la COVID-19 es la fiebre, a pesar de que hay un porcentaje de personas contagiadas asintomáticas que no presentan este indicio.

¿Es legal tomar la temperatura para permitir la entrada en un recinto?

En este sentido, la Agencia Española de Protección de Datos (AEPD) ya ha expresado su preocupación por este tipo de actuaciones, ya que suponen una intromisión intensa en los derechos de los afectados y se están realizando sin el criterio previo de las autoridades sanitarias.  En primer lugar, la AEPD recuerda que este tipo de operación supone un tratamiento de datos personales y, por lo tanto, debe realizarse según lo establecido en la legislación (RGPD y LOPDGDD).

En segundo lugar, la Agencia destaca que la toma de la temperatura afecta a los datos relativos a la salud de las personas, considerados como datos especialmente sensibles, no sólo porque el valor de la temperatura corporal es un dato de salud, en sí mismo, sino también porque, a partir de él, se asume que una persona está infectada por coronavirus. Además, en el caso de que el control de temperatura se lleve a cabo en un espacio público (centro educativo, laboral o comercial), denegar el acceso a alguien después de tomarle la fiebre estaría desvelando a terceras personas presentes un dato personal sin ninguna justificación. Por este motivo, la AEPD concluye que estas medidas solo deberían aplicarse teniendo en cuenta los criterios definidos por el Ministerio de Sanidad, quien debería regular los límites y garantías específicos para el tratamiento de datos personales de los afectados.

Sin embargo, en el caso de usuarios, clientes y otras personas que pretendan acceder a los establecimientos, la toma de la temperatura está legitimada por:

1.- El considerando 46 del RGPD: “el tratamiento es necesario para proteger un interés esencial para la vida del interesado o la de otra persona física, (….) como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

2.- Asimismo, la toma de la temperatura también estaría avalada por el artículo 9.2.i del Reglamento: “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”.

3.- Además, en el caso que nos ocupa, también entra en juego otra normativa: la Ley de Prevención de Riesgos Laborales. Esta establece que los empleadores tienen la obligación de garantizar la seguridad y la salud de las personas trabajadoras, así como mantener el lugar de trabajo libre de riesgos sanitarios. Dicha obligación ampararía aquellas medidas idóneas y proporcionales que persigan garantizar la seguridad y salud de trabajadores, ya sea cuestionarios o la toma de temperatura.  Estas medidas no solo afectarían al personal, sino que también serían extensibles a clientes o usuarios ajenos, ya que el hecho de que entren en el recinto en cuestión puede poner en peligro la salud de los empleados.

Respetar los principios del RGPD, adaptándolos a la situación de la COVID-19

Como ya hemos dicho anteriormente, la recogida de datos de temperatura debe regirse por los principios establecidos en el RGPD de manera que los afectados siguen manteniendo y se deben aplicar las garantías que el Reglamento establece, si bien adaptadas a las condiciones y circunstancias específicas de la situación. Por lo tanto, siguen siendo aplicables los principios y criterios siguientes:

• Principio de legalidad: El control de la temperatura corporal para entrar en un recinto no se puede realizar, en base jurídica, mediante el consentimiento de los interesados: si una persona decide no someterse a dicho control, se le negará automáticamente la entrada al recinto, de manera que se considera que no es una decisión tomada de forma libre, ya que en ella se condiciona la posibilidad de acceder o quedarse fuera. 

• Principio de proporcionalidad: Estudiar hasta qué punto la utilidad de estas medidas compensa el sacrificio de los derechos individuales que suponen y hasta qué punto estas medidas podrían ser sustituidas por otras menos intrusivas. Además, no se deben recabar más datos de aquellos estrictamente necesarios. 

• Principio de limitación de finalidad: Los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar para prevenir el contagio de la COVID-19. Pero esos datos no deben ser utilizados para ninguna otra finalidad. 

• Principio de exactitud de los datos: Los equipos de medición usados deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes: equipos homologados y precisos, personal autorizado y formado, etc. 

• Derechos y garantías: Es importante establecer los plazos y criterios de conservación de los datos, en caso de que estos sean registrados (por ejemplo, en el uso de cámaras térmicas). Dadas las circunstancias y las finalidades de tratamiento, este registro y conservación no debieran producirse, ya que solo debería utilizarse el dato para permitir o denegar el acceso de forma puntual en un recinto.

Si tienes más dudas en materia de protección de datos y privacidad en relación a la COVID-19 puedes seguir leyendo este blog de Conversia o ponerte en contacto con nosotros.