Nos hemos olvidado de la protección de datos ante el COVID-19 y no estamos para sanciones

Hace unos días lanzábamos la vulneración de la ley de protección de datos ante la publicación de imágenes en informativos y redes sociales de las que no se ha recabado el consentimiento expreso para ello. Pues bien, seguimos vulnerando la ley adoptando medidas de protección sanitarias con tratamiento de datos tan sensibles como son la salud de las personas.

Una medida común que se está adoptando en centros de trabajo, comercios u otro tipo de establecimientos o equipamientos es la toma de la temperatura para determinar si esa persona padece o no COVID-19. Esa toma de temperatura injiere de forma intensa en los derechos de los afectados dado que, normalmente, la toma de temperatura se realiza en el acceso a espacios públicos de forma que, si se deniega el acceso a una persona en concreto se está desvelando a terceros (sin interés en el mismo) que tiene una temperatura por encima de lo normal y que puede estar contagiada por el famoso virus.

Es indudable que lo que preocupa en realidad es evitar la propagación del virus y velar, en la medida de lo posible, por salvaguardar los espacios públicos de un elevado riesgo de contagio. Entonces, ¿qué hacemos?

Atender a las medidas establecidas por el Ministerio de Sanidad, actual autoridad competente. Es decir, es de sobra conocido que hay personas asintomáticas, personas que presentan fiebre por causas ajenas al virus o personas positivas que no presentan fiebre, por lo que la toma de temperatura en los accesos a establecimientos públicos supone una medida que podría ser sustituida por otras de igual eficacia y menos intrusivas.

Por este motivo es importante contar con un buen asesoramiento en materia de protección de datos y una buena política que se adapte a las necesidades reales del negocio, ¿por qué? Si volvemos al caso en concreto, la comprobación de la temperatura corporal como medida preventiva de la expansión del COVID-19 no puede contar con el consentimiento expreso del interesado dado que las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder la posibilidad de entrar al establecimiento, es decir, el consentimiento no sería libre.

Si recurrimos al interés legítimo, que sería lo más normal, debemos de tener en cuenta las leyes nacionales y de la Unión Europea, así como la adopción de medidas adecuadas: equipos homologados para la toma de temperatura, personal preparado y formado par su uso y evaluación, etc. Importante es también el uso de dispositivos como las cámaras térmicas para grabar o conservar los datos o tratar información adicional como la biométrica. Los principios de protección de datos establecen la limitación de la finalidad de tratamiento la cual sería, en este caso, detectar posibles personas contagiadas para evitar su acceso y con ello el contagio de los demás, no se puede utilizar para ninguna otra finalidad.

Entonces, ¿qué medidas se pueden adoptar para el acceso a establecimientos sin vulnerar el RGPD?

Medidas de información: a trabajadores, clientes o usuarios a los que se vayan a tomar datos sensibles, en particular, si se va a producir una grabación o conservación de la información, así como la posibilidad de justificar la elevada temperatura corporal por razones ajenas al COVID-19. Por ello, el personal debe estar cualificado para valorar las razones y establecerse un procedimiento de reclamación ante la persona que pueda autorizar, finalmente, el acceso.

Plazos y criterios de conservación, en caso de registro: en principio no deberían registrarse, salvo que pueda justificarse suficientemente su necesidad para hacer frente a evaluaciones legales derivadas de la decisión de denegación de acceso.