LA AEPD emite un comunicado sobre los controles de temperatura de las personas

04-05-2020 — AR/2020/087

La AEPD expone los criterios para las tomas de temperatura de las personas, que se están realizando en lugares de trabajo, comercios y otros establecimientos. Destaca que el tratamiento de datos personales de salud supone una injerencia en los derechos de los afectados, y expone los criterios con los que ha de llevarse a cabo. Además, condiciona estas actividades a que se haya ponderado el efecto en los derechos de los clientes y el nivel de protección de los empleados, y que no exista una medida menos intrusiva.

La Agencia Española de Protección de Datos (AEPD) ha emitido, el 30-4-2020, un comunicado de prensa en el que previene sobre la toma de temperatura de las personas en lugares de trabajo, comercios y otros establecimientos, pues este tipo de actividad supone el tratamiento de datos personales de salud y deviene en una injerencia en los derechos de los afectados.

Contexto del comunicado de la AEPD

La reapertura de la actividad económica está condicionada por las medidas encaminadas a prevenir nuevos contagios.

Debido a ello, de forma generalizada, en muchos establecimientos y lugares de trabajo se está tomando la temperatura de las personas para determinar si pueden o no acceder a esos lugares.

La AEPD señala que este tipo de actividades supone el tratamiento de datos sensibles relativos a la salud, que deriva en una injerencia especialmente intensa en los derechos de las personas, porque puede deducirse el padecimiento o no de cierta enfermedad y desvelarse a terceros, sin la necesaria justificación.

Criterios para tomar la temperatura a las personas

La agencia expone los siguientes criterios:

Criterios de implantación

La AEPD destaca que debe ser la autoridad competente (en este caso, el Ministerio de Sanidad) la que determine su necesidad y adecuación, y regule las medidas y los límites para realizarlo.

Esta autoridad debe considerar, en todo momento, la proporcionalidad para justificar el sacrificio de los derechos de las personas y su posible sustitución con medidas menos intrusivas.

Además, como en todo tipo de tratamiento de datos, la recogida de temperatura debe regirse por los principios del RGPD, para que se preserven los derechos y garantías de los afectados.

Principio de legalidad

No podrá tomarse como base legitimadora el consentimiento de los interesados, porque no puede entenderse otorgado de manera libre cuando se condiciona a las personas el acceso o no a un lugar concreto.

Según el ámbito donde se tome, añade criterios complementarios:

  1. En el entorno laboral, la obligación de garantizar la seguridad y la salud de las personas trabajadoras en su lugar de trabajo puede considerarse como base jurídica apta para que la autoridad competente ordene este tipo de medidas, siempre que se hayan tenido en cuenta las cuestiones expuestas y las garantías adecuadas especificadas.
  2. En establecimientos donde puede concentrarse un elevado número de usuarios ajenos a la empresa, podría considerarse la misma obligación de garantizar la seguridad y la salud de las personas trabajadoras en su lugar de trabajo, siempre que se ponderen adecuadamente los derechos de clientes o usuarios y el nivel de protección de los trabajadores o se apliquen medias alternativas para proteger a los empleados.
  3. En el resto de espacios, puede plantearse, siempre que exista un soporte legal, una base jurídica sobre intereses generales en el terreno de la salud pública.

Limitación de la finalidad y exactitud de los datos

Los datos de temperatura deben tener como única finalidad la detección de personas contagiadas para evitar el contacto con el resto de personas, sin que puedan ser utilizados con ningún otro fin.

Además, las herramientas de medición deben ser fiables y homologadas.

Derechos y garantías

Hay que garantizar la información a los trabajadores, clientes o usuarios sobre el tratamiento y las posibilidades de reclamación ante personal cualificado.

Dadas las finalidades del tratamiento, en principio no deberían conservarse los datos, salvo justificación, como la necesidad de hacer frente a acciones legales por la denegación de accesos.