Toma de temperatura, ¿existe tratamiento de datos personales?
Si el dato de temperatura no se sujeta a ninguna operación ni registro, se desligaría de la persona física, por lo que no sería un dato personal
Con la desescalada y el fin de las restricciones a la circulación de las personas, una de las medidas preventivas más utilizadas por las empresas está siendo la toma de temperatura de las personas que acceden a los establecimientos o sedes laborales abiertas al público, en muchos casos sin diferenciar entre empleados, clientes, usuarios, etc. ¿Existe, en esta práctica, un tratamiento de datos pesonales?
Cabe destacar que los responsables de los establecimientos deben cumplir la normativa que establece el Reglamento General de Protección de Datos y que en España completa la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LO 3/2018). Pero, ¿cuál es el criterio de la Agencia Española de Protección de Datos (AEPD) sobre la toma de temperatura?
Para la agencia, esta práctica supone un tratamiento de datos especiales, relativos a la salud, de los que se podría inferir que una persona padece una enfermedad: el coronavirus. Según la AEPD, en estos casos, el consentimiento de los interesados no podrá ser, con carácter general, la base jurídica, porque la negativa a la toma de la temperatura puede suponer la pérdida del derecho a acceder al establecimiento o a su puesto de trabajo. Aquí será necesario diferenciar entre empleados o clientes.
Si se trata de empleados, la base legitimadora sería la obligación de los empleadores de garantizar la seguridad y salud de las personas trabajadoras. Esto no significa que sea una excepción plena, pues será necesario ponderarlo en atención a los criterios de las autoridades sanitarias, al riesgo para el resto de trabajadores, clientes, etc. y a la posibilidad de aplicar otras medidas menos lesivas o invasivas.
¿Y si se trata de clientes o usuarios en el entorno comercial? La AEPD señala que cabría argumentar protección de la salud pública. “No obstante, esta posibilidad requeriría igualmente, como establece el artículo 9.2.i RGPD, de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.” Es decir, que se remite al legislador para que emita una norma. Por tanto, con la normativa vigente, no parece posible que se pueda obligar a tomar la temperatura a cualquier persona que acceda a un establecimiento. Ni siquiera lo permitiría el interés legítimo, ya que este no es una excepción que el Reglamento General de Protección de Datos (RGPD) contemple para el caso de tratamiento de datos sensibles.
Lo crítico es analizar si la toma de temperatura constituye, por sí sola, un tratamiento de datos. El RGPD define tratamiento como: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (artículo 4.2 RGPD)
Es difícil pensar que un establecimiento ─como una peluquería, una tienda de ultramarinos, una gestoría─ lleve un registro en el que se identifique a los usuarios y se especifique su temperatura. Lo que en la mayoría de casos se hará será tomar la temperatura, verificar que no supera el límite determinado por la autoridad sanitaria, y permitir o no el acceso.
Pero, ¿es la temperatura corporal un dato personal? El RGPD lo define como “toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (artículo 4.1) RGPD).
Desde nuestro punto de vista, si el dato de temperatura no se sujeta a ninguna operación ni registro, se desligaría de la persona física, por lo que no sería un dato personal. Y esto, aunque se pueda alegar que se trata de un dato de salud. De este modo, la toma de temperatura no sería una operación de tratamiento de datos ni se consideraría dato personal, ya que, además, está desligada de una operación de tratamiento.
Es necesario reseñar que, dado que la finalidad de la toma de temperatura es la detección de posibles personas contagiadas por la Covid-19, y la evitación del contacto y contagio con otras personas, los datos no pueden ser usados para ninguna otra finalidad. Y tampoco cabría un registro o una conservación de dichos datos relacionados con la persona concreta.
En el caso de que la AEPD, como autoridad administrativa, sancione a un comercio por la toma de temperatura, dicha sanción se puede recurrir en vía contencioso-administrativa, y será la Audiencia Nacional quien decida sobre el caso concreto.
Javier Domínguez Calatayud y Alejandro Álvarez Serrano, abogados especialistas en protección de datos. Bufete Mas y Calvet.