AD 126/2020
Últimos comunicados emitidos por la Agencia Española de Protección de datos: toma de temperatura corporal y registro de clientes en establecimientos y locales comerciales
Desde el final del confinamiento y con el inicio del proceso de desescalada, todos los establecimientos de servicios y locales comerciales han desarrollado estrategias de prevención para evitar los contagios y la propagación de la COVID19 en sus negocios. La necesidad de impulsar el pequeño comercio y los servicios de proximidad, con garantías de seguridad y tras un duro confinamiento, motivó que algunos titulares de estos negocios aplicasen medidas de control como la toma de temperatura corporal a las personas que accediesen a sus instalaciones.
Sobre esta medida se pronunció la Agencia Española de Protección de Datos ante su preocupación por la ‘’forma generalizada’’ en que esta medida se estaba utilizado ‘’en muy variados entornos’’ para condicionar el acceso o reincorporación a centros de trabajo, clínicas, comercios…
Ante su preocupación, la Agencia Española de Protección de Datos emitió un comunicado en el que determinó, en primer lugar, que la toma de temperatura corporal supone una intervención en los derechos de las personas físicas, ‘’no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus’’.
Frente a este criterio que aplica la AEPD a cualquier tipo de procedimiento de toma de temperatura, existen voces discernientes que entienden que, si se utilizan termómetros convencionales sin registro de datos complementarios de la persona afectada (nombre, apellidos, DNI…) y sin posibilidad adicionales de tratamiento (como ocurriría con las cámaras termográficas y dispositivos análogos), no debería resultar de aplicación la normativa de protección de datos por no resultar el interesado identificado ni identificable.
Además de este extremo y para valorar si esta medida cumple con las exigencias de legalidad que impone la normativa de protección de datos en cuanto a las bases legitimadoras del art. 6 RGPD, la AEPD diferencia dos categorías de interesados o afectados: los clientes y los trabajadores.
En cuanto a los primeros, niega que la base legitimadora para recabar su temperatura corporal pueda ser el consentimiento del interesado en tanto que dicha anuencia no contaría con uno de los requisitos básicos para que un tratamiento de datos personales se pueda apoyar sobre ella: el libre consentimiento. Entiende la Autoridad de Control que ‘’las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en accede’’.
Tampoco para los clientes podría apoyarse este tratamiento de datos personales sobre la base legitimadora del art. 6.1.c): el cumplimiento de una obligación legal. Aún no existe ninguna resolución o normativa emitida por las autoridades sanitarias competentes que faculte a los locales comerciales a tomar la temperatura de sus clientes. Ni siquiera se ha entendido que dicha medida pueda resultar tan útil como para que se produzca tal injerencia en los derechos fundamentales de las personas físicas, habida cuenta del alto porcentaje de personas contagiadas asintomáticas que no presentan fiebre, por lo que no podría apoyarse sobre la base del interés público.
Niega asimismo que la base de legitimación pueda ser el interés legítimo del Responsable, recogida en el art. 6, con un doble argumento: la prohibición del tratamiento de datos sensibles sobre esta base de tratamiento y el carácter prevalente de los derechos de los afectados sobre el interés legítimo del titular del establecimiento.
En cuanto a los trabajadores y al entorno laboral, la AEPD ha entendido que la base legitimadora para la toma de la temperatura corporal sí podría encontrarse en este caso en el cumplimiento de una obligación legal (art. 6.1 c RGPD). En concreto, en la Ley 31/1995 de 8 de noviembre de Prevención de Riesgos Laborales que recoge la obligación de que empresarios y empleadores garanticen que los centros de trabajo cumplan con las condiciones de salubridad adecuadas.
Aún estando permitida la toma de temperatura en el ámbito laboral, la propia AEPD recuerda que a este tratamiento de datos personales son aplicables los demás principios de la normativa de protección de datos, a saber: el de limitación de finalidad, que excluiría el uso de cámaras termográficas por ofrecer posibilidades distintas al control de la temperatura y el deber de información a los afectados en el sentido de los artículos 13 y 14 RGPD (identidad del responsable, plazos de conservación de los registros de temperatura, posibles cesiones de datos a otros responsables…).
Otra de las medidas de control sobre la que la AEPD se ha pronunciado recientemente es la relativa al registro de clientes de determinados establecimientos (fundamentalmente, y, aunque con diferencias entre territorios, locales de ocio, establecimientos hoteleros, centros de estética…). Estas medidas han sido aprobadas por algunas Comunidades Autónomas mediante normas con rango de ley con el objetivo de facilitar la búsqueda de contactos estrechos de personas contagiadas y practicar aislamientos concretos de forma efectiva.
Es especialmente dudosa la legitimación sobre la que algunas Comunidades (por ejemplo, Madrid Asturias y Cantabria) pretenden basar este tratamiento. Estas Comunidades recogen de manera idéntica esta redacción en sus respectivas resoluciones: ‘’la recogida de tales datos requerirá del consentimiento del interesado, sin perjuicio de condicionar el derecho de admisión por razones de salud pública en caso de no poder contar con el mismo’’.
No obstante, si una norma con rango de ley emitida por una autoridad autonómica competente faculta el tratamiento de dichos datos, la legitimación tendría cabida en el art. 6.1 c) RGPD (cumplimiento de una obligación legal), sin necesidad de contar con el consentimiento del afectado. Así lo entiende la Agencia Española de Protección de Datos en su comunicado, al determinar que ésta sería la base legitimadora más adecuada. Acepta incluso que pueda basarse el registro de clientes en el cumplimiento de una misión o interés público.
Además, dado que se da la potestad al titular del establecimiento de denegar el servicio si el afectado no accede a dar sus datos personales, estaríamos ante un consentimiento no libre. Basar el tratamiento en un consentimiento nulo hace a dicha legitimación inválida y, sin embargo, se ha recogido de esta forma en numerosas resoluciones autonómicas.
En los últimos días se ha hecho público a través de las redes sociales de la Agencia Española de Protección de Datos el inicio de actuaciones de investigación a la Consejería de Sanidad de la Comunidad de Madrid con el objetivo de obtener información acerca de este registro. Esperemos que dichas actuaciones sirvan de precedente para corregir los errores de redacción que han cometido las Comunidades, despejar las dudas que puedan surgir a los Responsables de Tratamiento y asegurar que los principios de protección de datos se cumplen en durante esta crisis sanitaria.
LAURA PÉREZ ALVAREZ
18 de agosto de 2020
