La vuelta a la normalidad tras el COVID-19 plantea numerosas incógnitas a las empresas y comercios sobre las medidas que deben adoptar en los procesos de reincorporación laboral y apertura al público de sus locales.
Con la finalidad de garantizar al máximo la seguridad y salud de trabajadores, clientes y otros terceros, entre las medidas barajadas por muchas empresas, empieza a cobrar protagonismo la toma y control de temperatura la Nota de la Agencia Española de Protección de Datos se pronuncia con rotundidad y por ello lo primero es verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario.
En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del Coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban
La cuestión sobre si es posible o no adoptar esta medida no es tampoco pacífica a nivel europeo entre las autoridades de control competentes.
En primer lugar, la AEPD deja claro que la temperatura corporal es un dato personal de categoría especialmente sensible al tratarse de un dato de salud.
La AEPD considera, además, que este tipo de tratamiento supone una injerencia particularmente intensa en los derechos de los afectados, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.
Por otro lado, recabar este tipo de datos tendrá un impacto significativo en los interesados, que podrán verse impedidos a acceder al local o al centro de trabajo. Asimismo, dicha denegación de acceso, en la medida en que se producirá habitualmente en espacios públicos, puede suponer una revelación de datos, pues al detectar que la persona a la que se le ha tomado la temperatura ha visto denegado el acceso, podría poner sobre aviso al público presente de la existencia de una patología, con el posible estigma que esto podría provocar.
Por todo ello, antes de adoptar este tipo de medidas como el control de la temperatura, aún con la finalidad de proteger la salud de las personas, debe analizarse si la ley lo permite en cada caso.
Para ello, deberán tenerse en cuenta las circunstancias que la justifican. Entre otras consideraciones: los destinatarios de la medida (categoría de interesados afectados), las garantías de protección de los derechos de los interesados adoptadas al respecto, los riesgos y la posibilidad, o no, de acudir a otras medidas que pudieran ser menos intrusivas.
Debe realizarse previamente un análisis de los riesgos y, según las circunstancias, será obligatorio, y si no altamente recomendable, llevar a cabo una Evaluación de Impacto en los Derechos de los Interesados (EIPD).
Como todo tratamiento de datos personales, requerirá por parte del responsable la adopción de todas las medidas necesarias para cumplir con los principios del tratamiento recogidos en la normativa:
- Limitar el tratamiento a la finalidad que lo justifica.
- Tratar los datos exclusivamente necesarios para la finalidad perseguida (minimización de datos).
- Adoptar medidas para garantizar la exactitud de los datos recabados. En este sentido, deberá atenderse especialmente a los medios utilizados para la toma y control de la temperatura, a fin de evitar errores.
- Transparencia frente a los interesados, que deberán ser debidamente informados.
- Establecer plazos y criterios de conservación de los datos, evitando registrarlos salvo que esté justificado.
- Adoptar todas las medidas técnicas y organizativas necesarias para garantizar confidencialidad de los datos recabados.
En todo caso, para determinar la utilidad y proporcionalidad de la medida deberán tenerse en cuenta los criterios definidos por la autoridad sanitaria competente y, en caso de duda, constatar con expertos si dichas medidas son legalmente adoptables.
Atendiendo a la entidad del tratamiento que supone la toma y control de la temperatura corporal respecto al impacto que puede tener en los interesados y a todas las variables que pueden concurrir en cada caso, el análisis previo de las circunstancias y la determinación de los requisitos y medidas que deberían adoptarse en términos de privacidad, serán determinantes para que la empresa pueda determinar y aplicar las medidas más adecuadas para la reincorporación tras el COVID-19.[i]
[i] Nota: Para la elaboración de este artículo se ha tenido en cuenta la Nota de 30 de abril de la AEPD, la Guía de 7 de mayo sobre el uso de las tecnologías en la lucha contra el Covid 19 de la AEPD, así como Informe del Gabinete Jurídico 0017/2020 de la AEPD.
Thomás de Carranza Abogados
Consulte con nuestros socios cualquier duda que pueda tener sobre esta nota:
Más sobre nuestros servicios de asesoramiento en materia laboral: aquí
Photo by Kelly Sikkema on Unsplash