Consulta:
Cada vez son más los casos en los que las empresas están empezando a instaurar medidas para tomar la temperatura, como arcos a la entrada de un edificio o incluso mediante otras vías como con el control biométrico. Estamos hablando de que se estaría recabando un dato de salud considerado de "categoría especial" de las personas afectadas.
El considerando 35 GDPR destaca que son "datos personales relativos a la salud" todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro, incluyendo cualquier información relativa a una enfermedad o riesgo de padecer enfermedades ... el estado fisiológico del interesado, independientemente de su fuente, por ejemplo, un dispositivo médico. Por tanto, la acción de tomar la temperatura (con independencia del dispositivo que se utilice) nos proporciona un dato de carácter personal de salud, por tanto, especialmente protegido.
Dicho lo anterior, la acción de tomar la temperatura, en principio, podría constituir un tratamiento de datos personales, "toda información sobre una persona física identificada o identificable («el interesado»)" consistente en una operación o conjunto de operaciones realizadas sobre el dato personal "temperatura", mediante un procedimiento automatizado (termografía - dibujo (grafos) de la temperatura (termo)), como la recogida (mediante captación), utilización (muy importante saber la finalidad por la que se toma la temperatura y las consecuencias para determinar la utilización), difusión (si la temperatura es visible para todo el mundo), etc.
1. ¿Requeriría ello un consentimiento por parte del interesado, sea trabajador de la empresa o cliente, por ejemplo en un supermercado?
Para legitimar el tratamiento tenemos que diferenciar si se realiza a los trabajadores de la empresa o a clientes (o personas externas a la organización). Hemos dicho que el dato "temperatura" es un dato de salud, por tanto, al ser considerado dato especialmente protegido, su tratamiento se prohíbe con carácter general por el artículo 9.1 GDPR, que dispone "Quedan prohibidos el tratamiento de datos personales que revelen datos relativos a la salud de una persona física"; no obstante, su apartado 2 excepciona dicha regla para cada uno de los colectivos de interesados según los fines del tratamiento:
Cuando los fines sean distintos a los mencionados, solo podrá realizarse el control de temperatura basándonos en la excepción 9.2.a, cuando "el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados". Esto es, vincula consentimiento a fines, de ahí la importancia de la información previa. Recordando, además que el consentimiento en este supuesto debe ser expreso.
En cualquier caso, atendiendo al comunicado realizado por la AEPD el 30/04/2020, el control de la temperatura personal sanitario, concluyendo que:
2. Si no se recopilan datos, ¿podríamos entender que no existe fichero (conjunto estructurado de datos) y por lo tanto el tratamiento no estaría afectado por el GDPR?
La cuestión planteada nos recuerda mucho al supuesto de videograbación en tiempo real, donde se emitía el resultado en pantalla, pero la misma no se almacenaba. Al respecto, la AEPD emitió el informe jurídico de 17 de mayo de 2018 en el que afirma "aunque no se produzca la grabación de las imágenes, la reproducción en tiempo real, ya que recoge las mismas, supone un tratamiento de datos, y por ende, el sometimiento de dicho tratamiento a lo regulado en el RGPD". Lo anterior debe resultar de aplicación al presente supuesto toda vez que el dato personal "temperatura" se recaba mediante un sistema automatizado (como lo es la termografía) que recoge la misma, dicho lo anterior, debemos analizar el concepto de "fichero" toda vez que el GDPR es claro en su artículo 2.1 "El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero."
Y ahora es donde la AEPD se ha mostrado vacilante en relación al concepto de "fichero" y la toma de datos en "tiempo real" porque en su Instrucción 1/2006, art. 7.2, afirma en relación a la derogada LOPD 15/1999 lo que sigue "A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.", por contra, reiteramos, el informe jurídico antes mencionado indica un cambio de criterio al afirmar "aunque no se produzca la grabación de las imágenes, la reproducción en tiempo real, ya que recoge las mismas, supone un tratamiento de datos, y por ende, el sometimiento de dicho tratamiento a lo regulado en el RGPD". Resulta claro que si un dispositivo no graba datos y muestra datos fugaces (por hacerlo durante unos segundos o lapso temporal mínimo que impide su almacenamiento y posterior búsqueda) no podemos considerarlo "fichero" y, por tanto, no pudiendo considerarse fichero no debería resultar de aplicación el GDPR si dichos datos no están contenidos O DESTINADOS A ser incluidos en un fichero, esto es, se muestran y se suprimen también en tiempo real.
3. Si se recopilan datos, pero se guardan anonimizados (no puede identificarse al interesado), ¿el tratamiento estaría afectado por el GDPR?
La recogida del dato personal "temperatura" constituye un tratamiento de datos personales. Ahora bien, del tenor de la pregunta parece desprenderse el siguiente ciclo de vida del dato: Recogida de la temperatura de persona física identificada o identificable (tratamiento) mediante sistema de termografía -> almacenamiento (aunque sea fugaz) -> registro -> anonimización -> conservación (aunque anonimizados).
El considerando 26 GDPR es claro "Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación."
Por tanto, el GDPR se aplica a todo el procedimiento previo a la anonimización de los datos personales y no se aplicará una vez sean anonimizados (pero para hacer dicho proceso de anonimización deben obtenerse los citados datos conforme al GDPR y la LOPDGDD).
Referencias:
https://www.aepd.es/es/documento/2020-0017.pdf
https://eur-lex.europa.eu/eli/reco/2020/518/oj
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-21648-consolidado.pdf