Los dispositivos de medición de temperatura, una medida preventiva legal
Por Eva María Hernández Ramos, abogado, presidenta Fundación Alana
Una de las aplicaciones tecnológicas que hemos visto implementadas en otros países, como solución eficaz en la lucha contra el coronavirus, son los dispositivos o cámaras de control térmico en centros de transporte, centros comerciales, bancos y lugares donde el contagio puede ser extendido con relativa facilidad.
Sin embargo, esta medida que resulta útil para proteger a los trabajadores, proveedores y clientes de un determinado establecimiento, así como herramienta de detección del virus para permitir una reanudación del trabajo segura y sin riesgos, encuentra en Europa sus restricciones o casi podríamos decir, sus prohibiciones, a la vista de la posición adoptada por algunas autoridades de protección de datos en Europa.
Imaginemos establecimientos como un gimnasio, una farmacia o una residencia de ancianos. Si una persona (personal laboral, proveedores o clientes) en situación febril accede, pondrá en riesgo la salud no solo de otros trabajadores sino también de otros clientes que se encuentren dentro de la instalación.
Es por ello, que estos dispositivos se postulan como todo un referente en lo que se refiere a las medidas de prevención a adoptar en los centros de trabajo, pero ¿Son legales? ¿Qué debemos cumplir para poder tratar dichos datos personales?
El tratamiento de datos de carácter personal.
Antes de analizar qué medidas debemos adoptar para tratar legalmente las mediciones térmicas en locales o industrias, y en qué situaciones la recogida de estos datos puede ser lícita, debemos ir por pasos:
. ¿Estamos ante datos de carácter personal?:
Respuesta legal:
Los datos recogidos mediante estos dispositivos, son datos de carácter personal cuyo tratamiento está sometido a las siguientes normas:
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). |
Razonamiento jurídico:
¿Cuándo se aplican las normas de protección de datos?:
El artículo 2.1. LOPDGD, señala que, lo dispuesto en ellas, se aplicará a:
“Cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.
¿Qué entendemos por datos de carácter personal?
El artículo 4 del Reglamento (UE) 2016/679, nos indica que los datos personales son:
Aquella “información sobre una persona física identificada o identificable («el interesado»), cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
¿Es legal utilizar estas soluciones tecnológicas?
Hago especial hincapié en el cumplimiento de lo preceptuado en la Ley de Prevención de Riesgos Laborales, en relación a las medidas a adoptar por el empresario para salvaguardar la salud de sus trabajadores:
Comenzamos con el rotundo artículo 14 de la LPRL, que establece que:
“Los trabajadores tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo”.
La contrapartida a esta obligación es el deber del empresario de protección de los trabajadores frente a los riesgos laborales.
Las empresas deberán adoptar aquellas medidas preventivas de carácter colectivo o individual que sean indicadas, de acuerdo con la evaluación de riesgos según tipo de actividad, distribución y características concretas de la empresa.
En este sentido, el propio RD 463/2020, de 14 de marzo, por el que se decreta el estado de alarma en nuestro país, adopta medidas restrictivas respecto de aquellas actividades que presentan un riesgo directo en la propagación y contagio del virus, pero otros establecimientos continúan abiertos. Será en estos últimos en los que hayan de adoptarse las medidas necesarias a este respecto.
El artículo 15 de nuestra LPRL (Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales) reproduce uno de los deberes de aplicación directa en la gestión de la crisis ocasionada por la pandemia del “coronavirus”.
El apartado h) obliga al empresario a: “Adoptar medidas que antepongan la protección colectiva a la individual”. Es decir, que ya no va a primar ordenar una cuarentena al trabajador contagiado, sino que se adoptarán medidas encaminadas a la protección de la colectividad de los restantes trabajadores.
El artículo 21 de la Ley 31/1995, de prevención de riesgos laborales, exige al empleador que, cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo:
- informe lo antes posible a todos los trabajadores afectados acerca de la existencia de dicho riesgo y de las medidas adoptadas o que deban adoptarse en materia de protección y,
- Disponga lo necesario para que el trabajador que no pudiera ponerse en contacto con su superior jerárquico, ante una situación de peligro grave e inminente para la seguridad, esté en condiciones de adoptar las medidas necesarias para evitar las consecuencias de dicho peligro.
¿Y cómo es posible detectar un riesgo grave e inminente en casos de SARS-Cov-2 (coronavirus)?
Estas tecnologías de medición de la temperatura funcionarían como medida preventiva, puesto que detectan la temperatura de aquellos trabajadores, clientes o proveedores que accedan los establecimientos, pudiéndose activar las medidas de control y seguridad necesarias.
Ahora bien, ¿Es legal tomar la temperatura de los trabajadores?
Aunque la respuesta a esta pregunta la veremos más adelante, cabe decir que el Comité Europeo de Protección de Datos (EDPB) adoptó el pasado 19 de marzo, la “Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19” respecto de las medidas que los gobiernos y las organizaciones públicas y privadas de toda Europa están tomando para contener y mitigar el COVID-19 en relación con el tratamiento de datos de carácter personal.
Dentro de su contenido recoge determinadas preguntas y respuestas a este respecto, siendo una de las soluciones planteadas que:
“El empleador solo debe tratar los datos personales de salud de sus empleados en la medida en que la legislación nacional lo permita, lo requiera, o lo exija”.
Marco jurídico europeo de los datos recogidos por cámaras de medición de temperatura.
En primer lugar, desde una visión europea, la norma imperante (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) trata de armonizar la normativa existente en la materia en todos los estados.
El RGPD prevé excepciones a la prohibición del tratamiento de ciertas categorías especiales de datos personales, como los datos de salud, cuando sea necesario por razones de interés público sustancial en el área de la salud pública (Art. 9.2.i), sobre la base de la legislación nacional o de la Unión, o cuando exista la necesidad de proteger los intereses vitales del interesado (artículo 9.2.c), ya que el considerando 46 se refiere explícitamente al control de una epidemia.
Además, el Comité de Protección de Datos Europeo se pronunció sobre la situación de crisis sanitaria derivada del SARS-Cov-2 (coronavirus) emitiendo su “Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19”, llena de buenas iniciativas:
- El Reglamento General de Protección de Datos (“RGPD”), no obstaculizan las medidas que sean necesarias para evitar contagios y avance de la epidemia.
- Es de interés público sustancial para la salud pública frenar la propagación de enfermedades y utilizar técnicas modernasen la lucha contra los brotes que ya afectan a todo el mundo.
- Se debe garantizar la protección de los datos personales de los interesados, en cualquier medida adoptada.
- El estado de alarma y emergencia sanitaria,es condición esencial para la legitimación de restricciones de las libertades, siempre que sean proporcionadas y limitadas al período de duración de esta emergencia.
Sin embargo, este escenario idílico para las empresas que necesitan controlar el estado de sus trabajadores, tienen sus incidentes. Muchos países europeos (entre ellos España por medio de un Informe de la Agencia Española de protección de datos) regularon la situación de manera individual restringiendo el tratamiento de datos de salud por parte de los empleadores, incluso mediante su prohibición.
¿El problema?
La delgada línea existente entre el derecho fundamental a la salud y el de protección de datos de carácter personal.
Marco normativo en España.
Informe de la Agencia Española de Protección de Datos
La AEPG publicó un informe sobre los escenarios suscitados por el Covid-19 (coronavirus), indicando que:
“Los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo”
Podemos concluir que pueden tratarse estos datos en el entorno laboral si se cumplen ciertos criterios y garantías sobre los derechos del titular y los intereses vitales de las personas afectadas.
Preguntas y respuestas de la AEPG.
En su página web, la AEPG responde a las preguntas más comunes que pueden darse en esta situación, siendo una de ellas la siguiente:
“¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?”
“Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario. En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.”
Se abre la posibilidad de gestionar estas aplicaciones por medio del personal de seguridad en el acceso de los establecimientos siempre y cuando se cumpla lo previsto en la normativa de Protección de datos personales en cuanto a:
- Protección desde el diseño (privacy by desing).
- Minimización de datos.
- Conservación de datos.
- Limitación de la finalidad y proporcionalidad.
Todo ello bajo el paraguas del artículo 9.2, párrafos c), g), h) e i) y artículo 9 de la Ley 33/2011, de 4 de octubre, General de Salud Pública;
Que nos indica la obligación de comunicar datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de los ciudadanos.
Conclusiones
A pesar de las directrices estipuladas en la “Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19”, del Comité de Protección de Datos europeo, michos países han restringido las ambiguas directrices que contiene.
Consecuencia de ello, en España la AEPD se manifestó mediante un Informe que sienta las bases sobre el tratamiento de datos durante la alerta sanitaria, así como respuestas – no claras del todo – sobre la medición de temperatura por parte de empleadores.
En el ámbito estrictamente laboral, deberá articularse por medio de los precisos planes de prevención y las medidas adecuadas a la situación, pero también es necesario establecer un plan para los controles efectuados a clientes y proveedores que accedan a nuestros locales.
Lo que está claro es que, a pesar de la emergencia y la situación de interés público de algunos tratamientos, siempre se ha de cumplir lo establecido en las normas de protección de datos vigentes.
Normativa
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- Ley 33/2011, de 4 de octubre, General de Salud Pública (artículo 9).
(Economist & Jurist)