El comienzo de la era postcovid -19 ha venido marcado por el fin del Estado de Alarma y, con ello, el inicio de la llamada nueva normalidad.
Esta nueva normalidad ha determinado la aplicación de una serie de medidas tendentes a garantizar la seguridad de todos. Las empresas tratan de asegurar tanto a su personal como a los terceros presentes en sus instalaciones mediante la adopción de múltiples medidas.
Dentro de este marco, cabe destacar una medida como es la realización de controles de temperatura con carácter previo al acceso a las instalaciones.
Esta medida entraña una serie de cuestiones que resolveremos a continuación.
¿Está medida constituye un tratamiento de datos?
La respuesta a esta cuestión no es sencilla ya que el mero control de la temperatura en si no puede ser considerado un tratamiento de datos de carácter personal.
El Reglamento (UE) 2016/679 de Protección de Datos de Carácter Personal (RGPD) y la Ley Orgánica 3/2019 de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPDGDD) son categóricos al determinar que constituye un tratamiento cualquier operación realizada sobre datos personales. El eje de la cuestión radica en que se consideran datos personales y, en este sentido, el RGPD señala que es toda información sobre una persona física identificada o identificable y añade que se considera persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente.
Por lo tanto, reiteramos que el mero control de la temperatura no es un tratamiento de datos de carácter personal ya que, si bien permite obtener un dato concreto como es la temperatura corporal, no permitirá una identificación posterior.
Ahora bien, en el caso de los trabajadores, la realización de estos controles puede derivar en otras medidas que si supongan un tratamiento de datos personales. Por ejemplo: Un posible positivo deberá comunicarse a la Mutua para ser verificado y, en su caso, conceder o denegar la baja.
¿Está justificado el tratamiento de datos derivados de los controles?
Tal como indicamos en el apartado anterior, el mero control de la temperatura no es un tratamiento de datos de carácter personal, pero de este control pueden derivarse otros tratamientos.
Para estos casos, es preciso indicar que el tratamiento de los datos de los trabajadores y de terceros tendrán justificaciones radicalmente distintas.
Para comenzar, es necesario indicar que la AEPD, en ningún caso, admite el consentimiento como causa valida de justificación de estos tratamientos y el motivo es que entiende que el mismo se encuentra viciado. En el supuesto del personal, es práctica habitual de la AEPD la de no reconocer el consentimiento como base sólida de legitimación por entenderlo condicionado por la relación de subordinación derivada de la propia relación laboral y este supuesto no es una excepción. En el caso de los terceros, tampoco admite la AEPD que el consentimiento sea valido al verse condicionado el acceso a las instalaciones ante una eventual negativa a someterse a los controles de temperatura impuestos por la empresa y, por tanto, no poder considerarse libremente prestado. Descartado el consentimiento como base legitimadora, si pueden existir otras alternativas que justifiquen el tratamiento derivado de dichos controles de temperatura.
En el ámbito laboral, la cuestión es relativamente más sencilla ya que la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (LPRL), impone, entre otras, al empresario la obligación de garantizar la seguridad y la salud de los trabajadores a su servicio y la adopción de cuantas medidas sean necesarias para la protección de la seguridad y la salud de los trabajadores. Estas medidas han de ser siempre tendentes a evitar y combatir riesgos en su origen. Precisado lo anterior, resulta obvio que el tratamiento de datos de controles de temperatura a trabajadores podría quedar amparado por el cumplimiento de una obligación legal siendo esta una base legitimadora prevista por el RGPD y la LOPDGDD.
En lo que respecta a los terceros, esta cuestión es controvertida y la AEPD no ha contribuido a generar una aclaración. La AEPD señala como posibles causas de legitimación el cumplimiento de un imperativo legal y el interés público. En lo que respecta al cumplimiento de un imperativo, se elude nuevamente a la obligación al empresario de garantizar la seguridad y la salud de los trabajadores a su servicio. En cuanto al interés público, esta base de legitimación no parece tener un correcto encaje ya que exige medidas para preservar, dentro de lo posible, el derecho a la Protección de Datos y, en concreto, se hace mención a la necesidad de preservar el secreto profesional dejando ver que no puede ser cualquiera quien trate los datos en base a esta legitimación.
¿Cómo se han de tratar los datos derivados de estos controles?
El tratamiento de datos derivados de estos controles ha de regirse siempre por los principios de transparencia, limitación de la finalidad, minimización de tratamiento, calidad y exactitud del dato, confidencialidad y responsabilidad proactiva.
Además, es preciso tener en cuenta que la temperatura corporal ha sido calificada por la AEPD como un dato de salud debido a que la detección de un exceso en la misma permite determinar la presencia de una enfermedad. La temperatura corporal es, por lo tanto, un dato de carácter especial de los reconocidos por el RGPD y la LOPDGDD que exigirá de la adopción de medidas aún más rigurosas.
Finalmente, será necesario valorar la realización de una evaluación de impacto teniendo en cuenta que podemos encontrarnos dentro de los siguientes criterios fijados al efecto por la AEPD:
Tratamientos que impliquen la monitorización o control sistemático y exhaustivo (criterio aplicable a controles sobre trabajadores).
- Tratamientos que impliquen el uso de datos de categoría especial.
- Tratamientos que impliquen la toma de decisiones automatizadas.
- Tratamientos que impliquen el uso de nuevas tecnologías o el uso innovador de tecnologías consolidadas.
- Tratamientos que impidan a los interesados ejercer sus derechos.
En ATEA COMPLIANCE contamos con profesionales especialistas en protección de datos, que prestan asesoramiento jurídico personalizado y estaremos encantado de poder ayudarte en el cumplimiento de esta medida.
Ponte en contacto con nosotros y solventaremos todas tus dudas legales.