Sillas de bares y establecimientos a más de dos metros de distancia, reducción de aforos en todo tipo de espacios, alquileres de máquinas de gimnasios por horas para evitar contactos, pasaportes inmunológicos para acceder a determinados medios de transporte, geolocalización que permita denegar accesos a personas que han estado cerca de otras con el virus, cámaras térmicas que controlen movimientos de personas…
Todos los expertos coinciden en que la “nueva normalidad” traerá consigo cambios en nuestras interrelaciones sociales. Cambios que posiblemente nos acompañen durante mucho tiempo o incluso se queden para siempre.
En este contexto, la tecnología debe ser una gran aliada. El análisis masivo e inteligente de datos a través de algoritmos (Big Data) deberá aportar información que permita sustentar la toma de decisiones en tiempo real por parte de las autoridades.
El análisis de la temperatura corporal de las personas
Hace unas semanas ya hacíamos alusión al posible control por geolocalización de ciudadanos realizado con la ayuda de prestadores de servicios de intermediación (puedes consultar el artículo aquí).
Otra de las soluciones que está sonando con más fuerza para combatir el COVID-19 en la desescalada es el análisis de la temperatura corporal de las personas.
Se trata, en definitiva, de utilizar determinadas tecnologías como medio para determinar el acceso o no de ciudadanos a distintos espacios (centros de trabajo, comercios, centros educativos) basándose en la temperatura corporal.
¿Es la solución al problema? Sin duda no. El argumento más claro para su utilización es el alto porcentaje de enfermos por COVID-19 que presenta fiebre.
Nos movemos en términos de probabilidad y conviene mencionar que esta tecnología ayuda, pero no es la solución ya que, -entre otras cuestiones- no detecta el virus, no detecta a asintomáticos portadores y puede producir discriminación o errores por alta temperatura no ligada al COVID-19.
A este respecto, la Agencia Española de Protección de Datos (AEPD) lanzó el pasado día 30 de abril un comunicado en el que expresaba su preocupación y planteaba líneas de actuación un tanto confusas.
El comunicado de la AEPD establece lo siguiente:
- Es necesaria la actuación previa desde el Ministerio de Sanidad
Según la AEPD, este tipo de tratamientos y actuaciones necesitan el criterio previo de las autoridades sanitarias, es decir, debe existir una determinación previa realizada por la autoridad sanitaria. Esta autoridad deberá fijar y definir los criterios de actuación, valorando siempre medidas menos invasivas.
- Estamos ante categorías especiales de datos (datos sensibles)
Según el comunicado de la AEPD, el tratamiento de “temperatura” afecta a datos relativos a la salud de las personas, por ser un dato de salud en sí mismo y porque, a partir de él, se asume si una persona padece o no una concreta enfermedad (Coronavirus).
Sería necesario un enfoque más preciso, ya que, existen múltiples herramientas que permiten la medición de temperatura. Es necesario analizar y diferenciar cada una de ellas para, posteriormente, determinar cómo afectan sobre el tratamiento de datos personales.
Existen termómetros de infrarrojos, pistolas que apuntan a la frente, cámaras térmicas, pero ¿qué hace exactamente cada una de estas tecnologías? ¿registran datos personales? ¿es posible identificar a personas con ellas?
En el caso de que las herramientas únicamente capten temperatura de forma aislada o las cámaras térmicas no graben y solo midan temperatura en tiempo real a “entes” no identificables esa “temperatura” no sería considerada un dato de salud.
En estos casos incluso podríamos estar fuera del ámbito de aplicación de la normativa sobre protección de datos.
Pero, ¿es cierto que puede considerarse que, como la medición de temperatura, incluso anonimizada, tiene consecuencias para una persona (por ejemplo, una denegación de acceso), simplemente por esto ya estamos identificando a ese individuo?
Este enfoque es demasiado extensivo y no sería válido. En todo caso, deberíamos analizar el caso concreto para pronunciarnos.
- Base legitimadora del tratamiento de datos
Principio de legalidad. Una vez más necesitamos causa legitimadora de las previstas para las categorías especiales de datos (artículos 6.1 y 9.2 RGPD).
¿Pueden los usuarios negarse a ser objeto de un control por parte de cámaras térmicas?
No, según la AEPD estos usuarios no pueden negarse sin perder, al mismo tiempo, la posibilidad de entrar en los distintos locales controlados por esta tecnología.
El consentimiento no es válido como base legitimadora de este tipo de tratamientos. En este punto la posición de la AEPD es perfectamente razonable.
¿Puede una empresa utilizar esta tecnología de detección térmica para analizar a sus empleados?
Sí. En el informe 0017/2020 relativo al tratamiento de datos resultantes de la situación del COVID-19, la AEPD ya identificó la base legal para el tratamiento de datos de salud de empleados. En este supuesto, se debe tener en cuenta el cumplimiento de una obligación legal para el empleador en la prevención de riesgos laborales de sus empleados.
De la normativa de prevención de riesgos laborales se desprende el deber del empresario de protección de los trabajadores frente a los riesgos laborales, debiendo garantizar la seguridad y salud de todos los trabajadores a su servicio (artículos 14, 29 o 31 LPRL).
Además, el Ministerio de Sanidad ya publicó determinadas directrices sobre cómo debe ser la actuación de las empresas para la prevención y control del COVID-19, señalando que las empresas deben evaluar el riesgo de sus trabajadores.
Es cierto que en esta documentación se menciona el uso de guantes, mascarillas o EPIs pero no se hace referencia alguna al uso de tecnología térmica como medio de prevención.
¿Puede aplicarse esta tecnología a clientes de un establecimiento para evitar su acceso si presentan síntomas relacionados con COVID-19?
¿Es posible utilizar la habilitación legal mencionada para que clientes (o proveedores) sean analizados por tecnología de detección térmica?
Sí, ya que, según menciona la AEPD:
Esta base legal enunciada en la Ley de Prevención de Riesgos Laborales “podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones”.
¿Así de sencillo?
No, ya que dice la AEPD que esta situación requiere de una adecuada ponderación entre el impacto en los derechos de los clientes vs impacto en el nivel de protección de las personas empleadas.
¿Qué quiere decir esto? Que hay que estudiar caso por caso, realizando una “ponderación de derechos” documentada y justificada por profesionales.
Pongamos un ejemplo: Queremos utilizar cámaras térmicas invasivas que detectan claramente a personas e incluso guardan las grabaciones. Si en nuestro establecimiento entran cientos de personas diariamente, y solo tengo 10 empleados será difícil utilizar esta base legal.
¿Qué ocurre si ponderamos y llegamos a la conclusión de que no podemos medir la temperatura de clientes?
La AEPD continúa diciendo que “en otros ámbitos en que no sea relevante esta base jurídica (la de proteger a los trabajadores) cabría plantear la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos”
Pero esta posibilidad “requerirá un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados”
Es decir, sería posible usar esta tecnología frente a clientes también alegando intereses generales de salud pública pero solo si hay una normativa que así lo recoja. Resulta curioso que en este comunicado la AEPD parece exigir la existencia de normativa específica por parte de Sanidad, cuando en otros pronunciamientos ha optado por recurrir a la habilitación de normativa ya existente interpretándola de forma extensiva.
Es importante resaltar que estamos ante un comunicado inicial para abordar la cuestión, es posible que, en los próximos días (i) la AEPD emita un informe más detallado; o (ii) se publique una nueva Orden desde el Ministerio de Sanidad detallando el tema o encomendando el desarrollo de la cuestión a otras entidades.
En conclusión, el uso de tecnologías para la detección de temperatura en empleados y clientes tiene como finalidad autorizar el acceso o no de estos a distintos espacios (centros de trabajo, comercios, centros educativos) en base a su temperatura corporal, relacionando esta con la posibilidad de estar enfermo por COVID-19.
Es posible utilizar esta tecnología por parte de empresas, pero hay que analizar caso por caso de forma precisa teniendo en cuenta qué tecnología vamos a usar y documentando y ponderando el impacto en la privacidad los interesados afectados.
Además, nos encontramos ante medidas técnicas y organizativas a implementar por parte de Empresas que además deben cumplir con el resto de los requerimientos y principios de la normativa sobre protección de datos (principios de proporcionalidad, minimización de datos, realización de evaluaciones de impacto, etc.).
Artículo escrito por Andrés Ruiz Pérez
Abogado. Especialista en Privacidad y Propiedad Intelectual.
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayudas a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí
Photo by Raquel García on Unsplash