Legitimación para medir la temperatura


Josep Aragonés Salvat     23/04/2020

Consulta:

Cada vez son más los casos en los que las empresas están empezando a instaurar medidas para tomar la temperatura, como arcos a la entrada de un edificio o incluso mediante otras vías como con el control biométrico. Estamos hablando de que se estaría recabando un dato de salud considerado de "categoría especial" de las personas afectadas.

  1. ¿Requeriría ello un consentimiento por parte del interesado, sea trabajador de la empresa o cliente, por ejemplo en un supermercado?
  2. Si no se recopilan datos, ¿podríamos entender que no existe fichero (conjunto estructurado de datos) y por lo tanto el tratamiento no estaría afectado por el GDPR?
  3. Si se recopilan datos, pero se guardan anonimizados (no puede identificarse al interesado), ¿el tratamiento estaría afectado por el GDPR?

Respuesta:

El considerando 35 GDPR destaca que son "datos personales relativos a la salud" todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro, incluyendo cualquier información relativa a una enfermedad o riesgo de padecer enfermedades ... el estado fisiológico del interesado, independientemente de su fuente, por ejemplo, un dispositivo médico. Por tanto, la acción de tomar la temperatura (con independencia del dispositivo que se utilice) nos proporciona un dato de carácter personal de salud, por tanto, especialmente protegido.

Dicho lo anterior, la acción de tomar la temperatura, en principio, podría constituir un tratamiento de datos personales, "toda información sobre una persona física identificada o identificable («el interesado»)" consistente en una operación o conjunto de operaciones realizadas sobre el dato personal "temperatura", mediante un procedimiento automatizado (termografía - dibujo (grafos) de la temperatura (termo)), como la recogida (mediante captación), utilización (muy importante saber la finalidad por la que se toma la temperatura y las consecuencias para determinar la utilización), difusión (si la temperatura es visible para todo el mundo), etc.

1. ¿Requeriría ello un consentimiento por parte del interesado, sea trabajador de la empresa o cliente, por ejemplo en un supermercado?

Para legitimar el tratamiento tenemos que diferenciar si se realiza a los trabajadores de la empresa o a clientes (o personas externas a la organización). Hemos dicho que el dato "temperatura" es un dato de salud, por tanto, al ser considerado dato especialmente protegido, su tratamiento se prohíbe con carácter general por el artículo 9.1 GDPR, que dispone "Quedan prohibidos el tratamiento de datos personales que revelen datos relativos a la salud de una persona física"; no obstante, su apartado 2 excepciona dicha regla para cada uno de los colectivos de interesados según los fines del tratamiento:

  • Trabajadores: cuando la finalidad sea el control de temperatura para acceder al puesto de trabajo para el cumplimiento de obligaciones legales en el ámbito laboral, la legitimación podrá basarse en la obligación legal del responsable en el ámbito del Derecho laboral y de la seguridad y protección social (art. 6.1.c y art. 9.2.b del GDPR), basado en el art. 22 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
  • Clientes: actualmente no existe un soporte normativo que legitime este tipo de tratamiento por razones de interés público en el ámbito de la salud pública (art. 6.1.e y art. 9.2.i del GDPR), por lo que no se podrá aplicar ningún sistema de control de temperatura corporal, aunque sea a tiempo real.

Cuando los fines sean distintos a los mencionados, solo podrá realizarse el control de temperatura basándonos en la excepción 9.2.a, cuando "el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados". Esto es, vincula consentimiento a fines, de ahí la importancia de la información previa. Recordando, además que el consentimiento en este supuesto debe ser expreso.

En cualquier caso, atendiendo al comunicado realizado por la AEPD el 30/04/2020, el control de la temperatura personal sanitario, concluyendo que:

  • La aplicación de este tipo de medidas de control requeriría la determinación previa que haga el Ministerio de Sanidad.
  • Los equipos que se utilicen para llevar a cabo el control de temperatura deben estar homologados y operados por personal cualificado.
  • El tratamiento no debe suponer en ningún caso la vulneración de los principios generales de protección de datos, especialmente los de limitación de la finalidad, minimización de datos y limitación del plazo de conservación.

2. Si no se recopilan datos, ¿podríamos entender que no existe fichero (conjunto estructurado de datos) y por lo tanto el tratamiento no estaría afectado por el GDPR?

La cuestión planteada nos recuerda mucho al supuesto de videograbación en tiempo real, donde se emitía el resultado en pantalla, pero la misma no se almacenaba. Al respecto, la AEPD emitió el informe jurídico de 17 de mayo de 2018 en el que afirma "aunque no se produzca la grabación de las imágenes, la reproducción en tiempo real, ya que recoge las mismas, supone un tratamiento de datos, y por ende, el sometimiento de dicho tratamiento a lo regulado en el RGPD". Lo anterior debe resultar de aplicación al presente supuesto toda vez que el dato personal "temperatura" se recaba mediante un sistema automatizado (como lo es la termografía) que recoge la misma, dicho lo anterior, debemos analizar el concepto de "fichero" toda vez que el GDPR es claro en su artículo 2.1 "El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero."

Y ahora es donde la AEPD se ha mostrado vacilante en relación al concepto de "fichero" y la toma de datos en "tiempo real" porque en su Instrucción 1/2006, art. 7.2, afirma en relación a la derogada LOPD 15/1999 lo que sigue "A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.", por contra, reiteramos, el informe jurídico antes mencionado indica un cambio de criterio al afirmar "aunque no se produzca la grabación de las imágenes, la reproducción en tiempo real, ya que recoge las mismas, supone un tratamiento de datos, y por ende, el sometimiento de dicho tratamiento a lo regulado en el RGPD". Resulta claro que si un dispositivo no graba datos y muestra datos fugaces (por hacerlo durante unos segundos o lapso temporal mínimo que impide su almacenamiento y posterior búsqueda) no podemos considerarlo "fichero" y, por tanto, no pudiendo considerarse fichero no debería resultar de aplicación el GDPR si dichos datos no están contenidos O DESTINADOS A ser incluidos en un fichero, esto es, se muestran y se suprimen también en tiempo real.

3. Si se recopilan datos, pero se guardan anonimizados (no puede identificarse al interesado), ¿el tratamiento estaría afectado por el GDPR?

La recogida del dato personal "temperatura" constituye un tratamiento de datos personales. Ahora bien, del tenor de la pregunta parece desprenderse el siguiente ciclo de vida del dato: Recogida de la temperatura de persona física identificada o identificable (tratamiento) mediante sistema de termografía -> almacenamiento (aunque sea fugaz) -> registro -> anonimización -> conservación (aunque anonimizados).

El considerando 26 GDPR es claro "Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación."

Por tanto, el GDPR se aplica a todo el procedimiento previo a la anonimización de los datos personales y no se aplicará una vez sean anonimizados (pero para hacer dicho proceso de anonimización deben obtenerse los citados datos conforme al GDPR y la LOPDGDD).

Referencias:

  • AEPD: Informe de fecha 12/03/2019 sobre los tratamientos de datos en relación con el COVID-19. El RGPD permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública y en el cumplimiento de obligaciones legales en el ámbito laboral derivado de dichas situaciones.

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en

  • AEPD: Informe jurídico, de 17 de mayo de 2018

https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-videovigilancia-tiempo-real.pdf

  • AEPD: Informe N/REF 0017/2020 del Gabinete Jurídico AEPD en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19.

https://www.aepd.es/es/documento/2020-0017.pdf

  • UE: Recomendación (UE) 2020/518 de la Comisión de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados

https://eur-lex.europa.eu/eli/reco/2020/518/oj

  • AEPD: Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras

https://www.boe.es/buscar/pdf/2006/BOE-A-2006-21648-consolidado.pdf