El Supervisor Europeo de Protección de Datos se pronuncia sobre la toma de temperatura para combatir el coronavirus

2020-09-11T10:26:00
España Internacional

Septiembre ha comenzado con movimiento a nivel europeo en materia de protección de datos, entre otras, con la publicación del Supervisor Europeo de Protección de Datos (SEPD) de unas orientaciones en torno a la toma de temperatura en la vuelta a las oficinas (las “Orientaciones”). Aunque el SEPD es la autoridad competente en relación con

El Supervisor Europeo de Protección de Datos se pronuncia sobre la toma de temperatura para combatir el coronavirus
11 de septiembre de 2020

Septiembre ha comenzado con movimiento a nivel europeo en materia de protección de datos, entre otras, con la publicación del Supervisor Europeo de Protección de Datos (SEPD) de unas orientaciones en torno a la toma de temperatura en la vuelta a las oficinas (las “Orientaciones”). Aunque el SEPD es la autoridad competente en relación con las instituciones, y en consonancia emite este informe para estas instituciones, sus indicaciones pueden guiar también la actuación en el ámbito de las empresas privadas.

La relevancia de estas Orientaciones radica, principalmente, en la distinción entre dos tipos de controles de temperatura:

  1. controles básicos de temperatura, realizados de manera manual y sin registro ni documentación de los datos personales del individual, como por ejemplo el uso de termómetros analógicos o digitales sin registro posterior de la temperatura; y
  2. otros controles de temperatura, tanto los operados manualmente y que registran, documentan o tratan de cualquier otra forma los datos personales (por ejemplo, en el caso de que se registre la temperatura indicada mediante el uso del termómetro analógico o digital), como los operados de forma automática con dispositivos avanzados de control de temperatura (por ejemplo, mediante el uso de cámaras o escáneres térmicos).

De conformidad con el SEPD, los primeros no estarían sujetos a la regulación existente en materia de protección de datos en el ámbito de las instituciones europeas (esto es, el Reglamento (UE) 2018/1725, de 23 de octubre de 2018, cuya regulación es similar a la prevista en el Reglamento (UE) 2016/679, de 27 de abril de 2016, o RGPD, si bien enfocada a las instituciones y agencias europeas), mientras que los segundos sí estarían sujetos, en virtud del artículo 2 apartado 5 del Reglamento (UE) 2018/1725 (equivalente al artículo 2 apartado 1 del RGPD). 

Esto se debe a que, de conformidad con estos artículos, la regulación en materia de protección de datos solo es aplicable al “tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Por lo tanto, en la medida en que los controles básicos de temperatura operados manualmente no suponen un tratamiento automatizado y, si los datos no son registrados, tampoco se encuentran “contenidos o destinados a ser incluidos en un fichero”, no entrarían dentro de la definición y aplicación de estos reglamentos.

En cambio, cuando se utilicen medios automatizados (cámaras o escáneres térmicos) o se operen manualmente pero con registro o documentación de los datos obtenidos de forma visual, la regulación será plenamente aplicable. Se tratará de un tratamiento de datos personales concernientes a la salud, que requiere una protección reforzada, esto es, la existencia de una base jurídica y de una excepción que permita su tratamiento, en relación con la cual el SEPD entiende que podría ser la obligación de las instituciones de garantizar la seguridad de sus empleados; así como la aplicación de medidas de protección específicas.

Asimismo, el SEPD considera que los sistemas de toma y registro de temperatura por medios automatizados en los que hubiera una ausencia de intervención (significativa) humana podrían ser categorizados dentro del concepto de “decisión individual automatizada”. En tanto no haya una ley que autorice estos tratamientos, no serían legítimos, salvo con el consentimiento explícito y libre de los interesados. Por ello, para su utilización respecto a los empleados, con base en las obligaciones de garantizar de salud de los empleados, recomienda identificar y documentar la intervención humana en el proceso y su competencia para cambiar o decidir en caso de que la toma de temperatura sea positiva y resulte en una denegación del acceso. Como ejemplo, el SEPD menciona la realización de un segundo o tercer chequeo por medio de un doctor o una enfermera.

El SEPD enumera una serie de recomendaciones para los controles de temperatura a los que resulta aplicable la normativa de protección de datos. Entre ellas destacan: que el sistema opere de forma independiente a otros sistemas, en tiempo real y no realice grabaciones de las imágenes térmicas o de las lecturas realizadas; o que el personal sea formado y se verifique de forma regular la precisión de los sistemas o si el fabricante del dispositivo puede acceder a la información.  

A modo de resumen:

En todo caso, el SEPD recuerda que, para los dos tipos de controles de temperatura, es imprescindible

  1. analizar regularmente la legalidad, necesidad y proporcionalidad de la adopción de estas medidas de toma de temperaturas, a la luz de cómo evolucione la pandemia y los avances científicos, así como en consonancia con cualquier pronunciamiento que realice (hasta el momento no lo ha hecho) el Comité Europeo de Protección de Datos;
  2. informar a las personas que entren; e
  3. implementar procedimientos de seguimiento o de “segunda oportunidad” en aquellos casos que la toma de temperatura inicial sea positiva, en los que, además, se recomienda ofrecer hasta una tercera oportunidad realizada por un profesional sanitario y utilizando otro dispositivo.

Autora: Adaya Esteban

11 de septiembre de 2020