Controles de temperatura. El diablo está en los detalles

En el contexto actual parece evidente que la existencia de controles para contener la pandemia causada por el Covid-19 son y serán algo habitual en nuestras vidas. El debate está claro. Privacidad vs Seguridad, sí, enésimo round -aún no ha sonado la campana-.

Si a estas alturas aún cree que frente a la seguridad se debe renunciar a todo lo demás, véase privacidad, no siga leyendo; o sí, hágalo…tal vez cambie de opinión. Las alternativas que se plantean como todo o nada son un engaño. Siempre existe otra vía.

Parece que el control de temperatura en el acceso a distintos establecimientos como fábricas, tiendas e incluso organismos públicos, será uno de los controles más extendidos (de hecho, ya lo está siendo). Se ha iniciado la carrera por vender y colocar estos dispositivos y pasa como con las cámaras de vigilancia y los controles biométricos: el que lo vende no se preocupa de advertir de las posibles consecuencias legales de su uso. ¡Para eso ya están los abogados!!!! Sí, pero no. No hacemos milagros. No podemos hacer que su inversión de repente cumpla con las normas solo para no ver como el dinero invertido se va al garete.

Recientemente la Agencia Española de Protección de Datos ha publicado unas recomendaciones sobre el uso de estos sistemas y dispositivos (que puede ver aquí) y además al tiempo de escribir este artículo ha publicado una guía sobre lo mismo más detallada (que puede ver aquí) y en dichas publicaciones la AEPD comienza señalando algo obvio: estamos ante un tratamiento de datos de carácter personal, por lo que vamos a tener que llamar al señor RGPD y a la señora LOPD a ver qué tienen que decir.

Estamos ante un tratamiento de categorías especiales de datos. Está revelando información delicada y comprometida de la persona y, como explica la AEPD, sobre todo por la conclusión que se va a extraer en caso de superar X temperatura.

Imagine que no dejan entrar a su hijo al colegio por tener fiebre, o que le deniegan a usted la entrada a un comercio por el mismo motivo, pero en ambos casos no está infectado; simplemente, o tiene fiebre por otra razón o el aparatito está estropeado -que también puede pasar-.

La AEPD continúa explicando que debe haber una necesidad para llevar a cabo este tratamiento y que dicha necesidad la determinará el Ministerio de Sanidad y, de momento, querido lector, no lo ha hecho. Así que, de momento, ¡no introduzca esas cámaras térmicas en el carrito de la compra forastero!

El tratamiento de categorías especiales de datos se debe llevar a cabo con sumas garantías y atendiendo siempre a los supuestos habilitantes del art 9.2 del RGPD. Este tratamiento debe ser: a) proporcional (¿me estoy pasando de la raya o tengo otra forma de llevarlo a cabo? la AEPD ya me dice que puede haber otras medidas menos intrusivas), b) necesario (bueno ya acabamos de ver que, de momento, tal necesidad no existe), c) adecuado y d) justificado (¿realmente estoy consiguiendo la finalidad que persigo?¿a partir de qué temperatura va a saltar el cacharro y en base a qué criterio?).

También tiene que cumplir con el principio de legalidad. Esto es que, además de la excepción del art 9.2, debo tener una base legal para el tratamiento contenida en el art 6.1 del RGPD. Y ya sé de sobra que el consentimiento no puede ser… (no me mire raro y pruebe a no dar consentimiento a ver qué pasa; el consentimiento se presupone libre y voluntario -y si no lo es, no puede haberlo- y, además en el ámbito laboral el TS se ha pronunciado ampliamente sobre este particular).

Parece que el camino que se abre ante nosotros es el interés legal a lo hora de garantizar la seguridad y salud de los trabajadores, y esto podría incluir también no solo el control de acceso de los trabajadores sino de los clientes, en cuanto que el fin último sería la protección de los primeros. Pero esto no obvia que deba cumplir con los juicios de ponderación de la necesidad y proporcionalidad de estas medidas.

Si pensamos en el control al público que accede, por ejemplo, a un establecimiento, podría acudir a la base legitimadora que me ofrece el interés público o general, pero para ello debería existir una norma con rango legal que me lo permita. Y, por ahora, tal cosa no sucede.

La otra posibilidad que se nos presenta es que ante la ausencia de identificación de la persona consideremos que no nos encontramos ante datos de carácter personal, lo que excluiría el tratamiento de datos. Pero, aun así, nos quedaría la delicada tarea de gestionar la autorización de entrada solo bajo indicios de una determinada temperatura corporal.

¿El personal que se encarga de llevar el control de acceso está facultado y preparado para tomar decisiones adecuadas y en base a criterios objetivos y formados para, por ejemplo, distinguir llegado el caso una fiebre causada por un catarro común de la derivada del Covid-19? En opinión de quien escribe, difícilmente la tendrá.  Y si lo que está realizando es un control sobre la aptitud laboral, el art 22.6 de la Ley de Prevención de Riesgos Laborales es claro cuando señala que “Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada”. Son pues las entidades de prevención laboral quienes, al menos por el momento, podrán llevar a cabo dichos controles.

Si ha llegado hasta esta línea, ahora plantéese cuál es la finalidad concreta del tratamiento. Debe haber una y, en el caso de categorías especiales de datos, debe ser muy concreta y no hacer coctelería para mezclarse con otras. Así que si el dispositivo y la información se almacena junto a la imagen u otro dato biométrico… agua y aceite. Ya sabe: por ahí vamos mal.

Revise bien cómo va a almacenar la información esa cámara térmica y en dónde y con qué medidas de seguridad. ¿Ya sabe durante cuánto tiempo puede conservar esos datos? ¿Sabe si los puede comunicar a terceros o no?

El caso es que, atendiendo a lo que dice la OMS y la propia Agencia en el informe referenciado sobre la relación entre fiebre y Covid-19 (dado que se han producido múltiples casos de pacientes -sintomáticos o no- con la enfermedad que no han cursado con fiebre) y a nuestra propia experiencia (puesto que todos hemos tenido alta la temperatura alguna vez por causas ajenas a la pandemia), deberíamos replantearnos de qué modo vamos a usar esta tecnología y sobre todo si es el método adecuado.

Baste solo este fragmento del informe de la Agencia “no se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios. En estos casos, tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud. Todo ello se puede agravar con el riesgo de fugas de información sensible y el conflicto con aquellas personas entienden la medida como una agresión a sus derechos”

Y, por si quedaba alguna duda, la Autoridad Holandesa ya se ha encargado de emitir un informe en el que señala que el uso de esta tecnología puede dar lugar a fuertes sanciones.

Por todo ello y, a modo de conclusión, recuerde: los abogados no somos magos. Pregunte antes.

Deja un comentario