Con la desescalada y el fin de las restricciones a la circulación de las personas, una de las medidas preventivas más utilizadas por las empresas está siendo la toma de temperatura de las personas que acceden a los establecimientos o sedes, en muchos casos sin diferenciar entre empleados, clientes, usuarios, etc. ¿Existe, en esta práctica, un tratamiento de datos personales?
Cabe destacar que los responsables de los establecimientos deben cumplir la normativa que establece el Reglamento General de Protección de Datos y que en España completa la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LO 3/2018).Pero, ¿cuál es el criterio de la Agencia Española de Protección de Datos (AEPD) sobre la toma de temperatura? Los abogados Javier Domínguez y Alejandro Álvarez, especialistas en protección de datos del Bufete Mas y Calvet, analizan esta circunstancia desde el punto de vista legal.
Para la Agencia, esta práctica supone un tratamiento de datos especiales, relativos a la salud, de los que se podría inferir que una persona padece una enfermedad: el coronavirus. Según la AEPD, en estos casos, el consentimiento no cabe como base jurídica, porque la negativa a la toma de la temperatura puede suponer la pérdida del derecho a acceder al establecimiento o a su puesto de trabajo. Aquí será necesario diferenciar entre empleados o clientes.
Si se trata de empleados, la base legitimadora estaría en la obligación de los empleadores de garantizar la seguridad y salud de las personas trabajadoras. Esto no significa que sea una excepción plena, pues será necesario ponderarlo, atendiendo a los criterios de las autoridades sanitarias, al riesgo para el resto de trabajadores, clientes, etc. y a la posibilidad de aplicar otras medidas menos lesivas o invasivas.
¿Y si se trata de clientes o usuarios en el entorno comercial? La AEPD señala que cabría argumentar la protección de la salud pública. “No obstante, esta posibilidad requeriría igualmente, como establece el artículo 9.2.i RGPD, de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.” Es decir, que se remite al Legislador para que emita una norma y, por tanto, con la normativa vigente no parece posible que se pueda obligar a tomar la temperatura a cualquier persona que acceda a un establecimiento. Ni siquiera lo permitiría el interés legítimo, ya que este no es una excepción que el Reglamento General de Protección de Datos (RGPD) contemple para el caso de tratamiento de datos sensibles.
Lo crítico es analizar si la toma de temperatura constituye, por sí sola, un tratamiento de datos.El RGPD define tratamiento como: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (art. 4.2) RGPD)
Es difícil pensar que un establecimiento-como una peluquería, una tienda de ultramarinos, una gestoría-lleve un registro en el que se identifique a los usuarios y se especifique su temperatura. Lo que en la mayoría de casos se hará será tomar la temperatura, verificar que no supera el límite determinado por la autoridad sanitaria, y permitir o no el acceso.
Pero, ¿es la temperatura corporal un dato personal? El RGPD lo define como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;” (art. 4.1) RGPD).
Los especialistas del Bufete Mas y Calvet consideran que si el dato de temperatura no se sujeta a ninguna operación ni registro, se desligaría de la persona física, por lo que no sería un dato personal. Y esto, aunque se pueda alegar que se trata de un dato de salud. Es necesario reseñar que, dado que la finalidad de la toma de temperatura es la detección de posibles personas contagiadas por la COVID-19, y evitar el contacto y contagio con otras personas, los datos no pueden ser usados para ninguna otra finalidad.
Desde este punto de vista, la toma de temperatura no es una operación de tratamiento de datos; si está desligada de una operación de tratamiento, no puede considerarse dato personal; y que en ningún caso cabe un registro o una conservación de dichos datos relacionados con la persona concreta.
En el caso de que la AEPD, como autoridad administrativa, sancione a un comercio por la toma de temperatura, dicha sanción se puede recurrir en vía contencioso-administrativa, y será la Audiencia Nacional quien decida sobre el caso concreto.