Recomendaciones del Supervisor Europeo de Protección de Datos en cuanto a los controles de temperatura en relación con el COVID-19

El Supervisor Europeo de Protección de Datos (EDPS por sus siglas en inglés) ha publicado unas pautas acerca de los controles de temperatura para el acceso a las instalaciones de las instituciones, organismos y agencias de la Unión Europea.  Aunque este documento va dirigido a los Delegados de Protección de Datos de estos organismos, nos permite conocer la posición del supervisor comunitario en esta materia.

Tipos de controles de temperatura.

El EPDS diferencia entre dos situaciones: lo que denomina “controles básicos de temperatura”, que sería la mera toma de temperatura por medios manuales sin que se produzca ningún registro o documentación de datos personales.

Otros sistemas de control de temperatura que pueden ser realizados manualmente, pero que conllevan el registro, documentación y posterior procesamiento de la información o que son realizados de forma automática mediante dispositivos autónomos.

Controles básicos de temperatura.

Aquí se encuadran todos los casos de toma de temperatura mediante un termómetro manual por una persona a todos los individuos (empleados, clientes, visitantes, proveedores) que pretenden acceder a un edificio o a unas dependencias determinadas.

El EPDS considera que estos casos están fuera del ámbito del RGPD en atención a que son tratamientos no automatizados que no están contenidos o destinados a ser incluidos en un fichero (artículo 2.1 del RGPD).

Esta decisión, ajustada al texto de la ley, presenta algunos problemas.  Partimos de que se trata de un dato personal, de salud y que es efectivamente objeto de tratamiento.  Además, ese tratamiento -la comparación del dato con un parámetro preestablecido- aunque se realice mentalmente por la persona que realiza el control, puede tener resultados que afecten a los derechos del individuo, como la denegación de acceso a unas instalaciones o a su propio puesto de trabajo.

En este sentido, el EPDS indica que, aunque considera estos controles fuera del ámbito de aplicación del RGPD, pueden suponer una injerencia que afecte a derechos fundamental, en concreto al derecho al respeto de la vida privada y familiar reconocido en el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea y, por lo tanto, llama la atención sobre la necesidad de respetar el principio de proporcionalidad y de necesidad en su limitación, todo ello conforme al artículo 52.1 de la misma Carta.

Pero es que además, como expondremos más adelante, esta postura genera varios problemas prácticos en relación con las recomendaciones que hace el propio EPDS.

Otros controles de temperatura.

En primer lugar nos encontramos con los controles realizados manualmente, pero que conllevan un ulterior procesamiento de los datos mediante su registro y posterior procesamiento total o parcialmente por medios automatizados.

En estos casos el tratamiento cae dentro del ámbito de aplicación del RGPD y debe cumplir con todos los requisitos de legalidad exigidos para el tratamiento de datos de salud.

La legitimidad del tratamiento en relación a los empleados de la organización en cuestión se basa en la obligación del empleador de garantizar la salud y seguridad de los trabajadores, lo que encaja perfectamente con nuestra regulación laboral. Si bien, en el caso de visitantes, proveedores, clientes y cualquier otro que no sea empleado de la organización,  es necesario que se dicte una norma que, con las debidas salvaguardas, sirva como base legal para el tratamiento.

En segundo lugar nos encontramos con los controles automatizados de temperatura, por ejemplo tornos de acceso que se abren o no según el resultado de la toma de temperatura.

En estos casos, además de lo expuesto inmediatamente más arriba, deben de tenerse en cuenta los derechos del titular a oponerse a decisiones individuales  basadas exclusivamente en el tratamiento automatizado de sus datos  (art. 22 del RGPD).

Por lo tanto, los sistemas de control de de temperatura automatizados únicamente son aceptables cuando se basen en el consentimiento libre por parte de los titulares de los datos; lo que impide el uso de estos sistemas de forma obligatoria.

Medidas técnicas y organizativas.

Conforme a la obligación de la protección de datos desde el diseño, el EPDS indica que las medidas de control de temperatura se configuren de manera que la cantidad de datos tratada sea la mínima indispensable, se usen tecnologías que garanticen la privacidad de los datos y procedimientos que cuenten con las necesarias salvaguardas y, para ello, señala una serie de recomendaciones:

  • Los sistemas de medición de temperatura deben de operar de forma completamente independiente de cualquier sistema informático y, en particular, no pueden vincularse a ningún sistema de videovigilancia o de verificación de la identidad.
  • El proceso de toma de datos debe de realizarse en tiempo real, sin que se proceda a la grabación de las lecturas de temperatura.
  • Debe de garantizarse que no se produce la grabación de las mediciones y que estás únicamente aparecen temporalmente en la pantalla del dispositivo.
  • Si los resultados se transmiten a un visor vía Bluetooth, wi-fi, cable, etc. debe de garantizarse que esta conexión está aislada del resto de las redes.
  • Debe asegurarse que la finalidad de la toma de temperatura se circunscribe a la verificación de la temperatura de las personas que pretenden acceder a las instalaciones y la comparación de ésta con un parámetro predeterminado.
  • La exactitud de los aparatos de medida debe de está garantizada conforme a los estándares aplicables y debe asegurarse su calibrado de forma regular.
  • Las personas encargadas de llevar a cabo las mediciones deben de contar con formación específica para la realización de las mediciones, la interpretación del resultado y la correcta utilización de esa información.
  • • Todas las personas que sean objeto de toma de temperatura deben de ser informadas de forma clara y completa respecto a las razones para este control, la organización responsable de la realización de los mismos y desde cuando se han implantado.
  • En el caso de una medición que conlleve la denegación de acceso, debe ofrecerse una segunda medición con un aparato diferente y, si esta fuera de nuevo superior al límite establecido, debe existir la posibilidad de una tercera medición realizada por un profesional sanitario.
  • En el caso de que los datos sigan estando por encima del límite establecido y por lo tanto se deniegue el acceso a las instalaciones, debe de ofrecerse información adecuada, incluyendo información de contacto de los centros y autoridades sanitarias  locales.

Conclusiones.

Estas recomendaciones presentan algunos problemas prácticos; así por ejemplo, habitualmente las zonas de acceso en las que se realizan los controles de temperatura vana ser también objeto de videovigilancia. Está claro que la disposición de las cámaras no puede, en ningún caso, permitir el visionado o grabación de los resultados de las mediciones, pero que ocurre con la grabación del proceso de denegación de acceso -en particular si se completa el protocolo de tres mediciones-.

Lo anterior es aplicable, con mayor razón, si el proceso incluye alguna forma de identificación del individuo -por ejemplo mediante tarjetas de acceso al edificio-.

Así mismo, se indica que la finalidad se limita al control de acceso a las instalaciones, pero habría que ver, en el caso de que un profesional sanitario intervenga en la toma de temperatura y su interpretación, como se conjuga esta limitación con la obligación del sanitario de advertir a las autoridades sanitarias de un posible positivo por COVID.

Algunas de las consideraciones del supervisor europeo no coinciden con los criterios expuestos por nuestro organismo de control, la Agencia Española de Protección de Datos, lo que evidencia la complejidad de la materia y en particular la necesidad de conjugar unos requerimientos de control extraordinarios debidos a la pandemia con los derechos individuales, que no deben verse mermados a favor de una supuesta mayor seguridad (recordemos que la mera toma de temperatura es considerada por muchos estamentos sanitarios como muy poco fiable ya que puede deberse a multitud de motivos y, además, en los primeros días de infección todos los sujetos se presentan como asintomáticos).

Una medida que sin duda ayudaría a despejar algunas de estas incógnitas y garantizar que las organizaciones públicas y privadas cuentan con suficiente seguridad jurídica en este punto sería la promulgación de una norma nacional o comunitaria que, estableciendo las garantías y salvaguardas necesarias, sirva de base legal para el tratamiento de estos datos de salud.