Base legal de los dispositivos de control térmico a los trabajadores

1.- Situación actual con la AEPD y Sanidad. 

La nueva realidad post-coronavirus se encamina a una «Economía de bajo contacto» o también denominada como «Low contact Economy», en la que primarán las medidas de seguridad para relacionarnos en el ámbito social y laboral como; la geolocalización, el control de temperatura en el trabajo, o el pasaporte inmunológico, que darán un giro en las formas de consumir y evolucionar como sociedad.

La tecnología juega un papel importante en este cambio sin precedentes, ofreciéndonos soluciones rápidas y sencillas para adaptarnos a este escenario con las máximas garantías legales.

Pero, son muchos artículos los que a día de hoy, mayo de 2020, cuestionan estas prácticas aludiendo a informes emitidos por la Agencia Española de Protección de Datos (en adelante «AEPD») y la necesidad de que Sanidad  regule este escenario.

¿Esto es cierto?

La Agencia Española de Protección de Datos, emitió un Informe (0017/2020) y ahora, un comunicado de 30 de abril que muestra 3 escenarios clave:

1.- Espacios públicos: O privados frecuentados por personas no laboral (clientes, proveedores…). El empresario debe cumplir los principios y garantías del Reglamento de Protección de Datos, pero la Agencia de Protección de datos considera que Sanidad debería  dar alguna pauta sobre:

• Hasta qué punto se aplica la toma de temperatura para reducir los contagios.
• Temperatura mínima a tener en cuenta, puesto que la fiebre parece no ser siempre un indicativo de la enfermedad.

2.- Espacios de trabajo: La base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.

Sin embargo, deben cumplirse las garantías adecuadas. Dichas garantías habrán de ser especificadas por el responsable del tratamiento.

3.- Control sin grabación ni registro: Si las cámaras no graban, ni identifican, ni registran ni la imagen ni la temperatura, tampoco estaríamos ante un tratamiento de datos personales. Simplemente el empresario debe colocar en ambos casos un cartel informativo advirtiendo de la no grabación y registro de imágenes y/o temperaturas. Funciona como derecho de admisión.

En algunos locales si vas en chanclas no te dejan entrar, pues con esto igual, con fiebre tampoco. Pero si no se recogen ni registran datos, ni posibilidad para hacerlo, la AEPD (Agencia Española de Protección de Datos) no debería entrar.

2.- ¿Qué son los requisitos que el dispositivo debe cumplir según el Reglamento de Protección de Datos y el comunicado de 30 de abril de la Agencia de Protección de Datos?

Principio de limitación de la finalidad. 

Este principio supone que los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar, esos datos no deben ser utilizados para ninguna otra finalidad.

Principio de exactitud

Los dispositivos deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.

Esta adecuación deberá establecerse utilizando solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión.

Se controlará el impacto que sobre los interesados tendría que la identificación de un posible indicador de la existencia de contagio resultara errónea como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición.

Los dispositivos que más me gustan son los de Miotek, muy fiables.

Protección desde el diseño:

Los responsables del tratamiento deberían seleccionar y utilizar la tecnología aplicando el principio de privacidad desde el diseño [reducir al máximo el tratamiento de datos personales, seudonimizar los datos personales (quedando solo en la imagen o forma luminosa visible con la escala de temperaturas.

Proporcionalidad:

Se debe seleccionar la tecnología de forma que no sea una intromisión a la intimidad del trabajador.

¿Qué es menos intrusivo, que una cámara detecte la temperatura a distancia o que un vigilante me ponga  un termómetro en la frente y me deniegue el acceso?  

Criterios de acceso a los datos y el período de retención:

Debería evitarse, que los datos pudieran quedar grabados si ello no es adecuado al fin perseguido o garantizar que el plazo de retención de las imágenes no sea superior al legalmente establecido. En algunos casos es suficiente un  sistema que no grabe datos o grabar las imágenes durante unas cuantas horas y borrarlas automáticamente.

3. ¿Qué debo cumplir como empresario?

Los titulares mantienen sus derechos y se aplican las demás garantías que el Reglamento establece.

Medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones).  Para ello, debe establecerse un procedimiento para que la reclamación pueda dirigirse a la empresa y el procedimiento de admisión al local.

Plazos y criterios de conservación de los datos, pero este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.

Registro de la actividad y seguridad del sistema.