El pasado treinta de abril, la Agencia Española de Protección de Datos emitió a través de su web oficial un comunicado en el que expresaba su preocupación en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que suponen una injerencia en los derechos de los afectados ya que se están realizando sin el criterio previo de las autoridades sanitarias.
Entiende que, la aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente (Ministerio de Sanidad) al respecto de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación del SARS-CoV-2 en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.
En este sentido, se ha de tener en cuenta que según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas que no presenta fiebre (asintomáticas), que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otra parte, pueden existir personas que presenten elevadas temperaturas por causas totalmente ajenas al coronavirus.
Se trata pues de analizar la eficacia de esta medida y su legalidad sin autorización legal de la autoridad competente. Además, es necesario analizar la falsa sensación de seguridad que puede ofrecer la misma ya que, como decíamos, la fiebre no es siempre un síntoma de contagio por coronavirus. En relación a esto, también la AEPD ha emitido el informe jurídico 0017/2020 sobre tratamientos de datos en relación con el COVID-19 y un documento de Preguntas Frecuentes.
En una situación de alarma sanitaria como la que estamos viviendo en nuestros días, debemos tener en cuenta que en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa aplicable.
No obstante, los tratamientos de datos personales en estas situaciones de emergencia, deben seguir siendo tratados de conformidad con la normativa vigente de protección de datos personales; señalándose que una toma de temperaturas supone per se un tratamiento de datos personales y que, como tal, deberá ajustarse a las previsiones de la legislación correspondiente.
Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, y no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se puede conocer si la persona padece o no una concreta enfermedad, como es la infección por COVID-19.
Es por esta razón que, consideramos que estas medidas practicarse atendiendo a los criterios definidos por la autoridad sanitaria correspondiente. Tanto en lo relativo a su utilidad como a su proporcionalidad. Esto es, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.
Esos criterios de la autoridad sanitaria deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.
Como todo tratamiento de datos, la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad. Este tratamiento debe tener su base en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD).
En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID-19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder. Por tanto, ese consentimiento no sería libre, uno de los requisitos indispensables para invocar esta base legitimadora.
En el entorno laboral, y siempre que se hayan tenido en consideración las demás cuestiones que se abordan en esta comunicación, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría como excepción que permite el tratamiento de datos de salud y a la vez como base jurídica que legitima el tratamiento.
En otros ámbitos en que no sea relevante esta base jurídica, habría que plantear la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos. No obstante, esta posibilidad requeriría igualmente, como establece el artículo 9.2.i RGPD, un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.