¿Es legal que un establecimiento tome la temperatura a sus clientes?
Este tipo de medidas enfrentan el derecho fundamental a la privacidad con el de la salud pública
Hace apenas unos días, el Gobierno vasco anunció que va a realizar controles aleatorios de toma de temperatura en los puntos de acceso del transporte público de todo el territorio (metro, tren, tranvía y autobuses). Este control se articulará a través de equipos móviles que midan el calor corporal de los usuarios, denegando el acceso a aquellos que superen los 37 grados. También se ha hecho público que algunos supermercados asiáticos en Madrid ya han comenzado a tomar medidas similares, tomando la temperatura de los clientes que acuden a comprar para controlar su acceso.
Lo que resultaba inimaginable hace solo unos meses, como es la implantación de sistemas que examinen el calor corporal de los clientes, hoy parece, en cambio, una realidad que ha venido para quedarse. Se trata, no obstante, de una cuestión muy compleja desde el prisma legal, ya que enfrenta varios derechos fundamentales. Por un lado se encuentra el derecho a la intimidad de cada individuo. En este sentido, cabe destacar que los datos médicos están considerados por nuestro ordenamiento como especialmente sensible, por lo que gozan de una protección especial.
Riesgos laborales
En el otro flanco se encuentra el derecho a la salud pública, “por el cual la ley permite limitar tanto la privacidad como el derecho a la libre circulación de los ciudadanos”, detalla José Carlos Erdozain, of counsel de Pons IP. Hay, además, otro factor relevante en esta ecuación: la Ley de Prevención de Riesgos Laborales (LPRL), que obliga a las empresas a tomar todas las medidas necesarias para proteger a sus empleados de los riesgos a los que puedan verse expuestos en su lugar de trabajo, “y el contagio del Covid-19 es uno de ellos”.
Por lo tanto, en locales de cara al público donde la exposición al virus es mayor, este tipo de medidas “podrían no solo ser recomendables, sino obligatorias”, advierte el letrado. En esta línea, la Agencia Española de Protección de Datos (AEPD) publicó un informe hace unas semanas en el que aclaraba que, con el objetivo de preservar la seguridad de la plantilla, las compañías podrían solicitar información a los visitantes externos sobre si presentan síntomas o han estado en contacto con alguien que suponga un riesgo en este sentido.
Proporcional y necesario
No obstante, tanto la AEPD como los expertos consultados matizan que los sistemas de control deben cumplir con dos principios primordiales, la proporcionalidad y minimización de los datos. Es decir, que las medidas que se instauren vayan acordes al fin perseguido y sean las estrictamente necesarias para alcanzarlo.
Por lo tanto, como explican los letrados consultados, limitarse a tomar la temperatura a la entrada de un local de forma automática, sin recoger y tratar esos datos de ninguna forma, sería una práctica a priori legítima, ya que no es invasiva y responde a la necesidad de la empresa de evitar que entren personas que puedan estar contagiadas. En todo caso, los expertos consideran que sería recomendable que se establezcan pautas o guías desde las autoridades que aclaren cómo deben ser estas medidas de control.
Por su parte, Antonio Sánchez Martín, director legal del área de protección de datos de Grant Thornton, aclara que no serían legítimas medidas que controlen “otros aspectos no relacionados con el riesgo que se pretende atajar”, como síntomas que actualmente no se asocien al virus u otra información no relevante. De hacerlo, el abogado alerta de que se podría vulnerar la privacidad del individuo, “una infracción que nuestro ordenamiento castiga duramente”.
Asimismo, Sánchez Martín recuerda que las medidas no pueden instaurarse de forma indefinida, “sino que deben alargarse mientras exista el riesgo que las legitima”. Por lo tanto, controles como el de la temperatura corporal a los clientes deberán eliminarse una vez que no exista amenaza de contagio, ya sea porque no existen casos en el país o porque se descubre y distribuye una vacuna entre la población.
Las empresas, ante un riesgo doble
Protección a los trabajadores. Al implantar medidas de este tipo, Antonio Sánchez Martin (Grant Thornton) indica que las empresas deben ser muy escrupulosas, “ya que se enfrentan a un doble riesgo”. Por un lado, si los controles son demasiado laxos y no contribuyen a proteger a los trabajadores del riesgo de contagio, se podría estar vulnerando la LPRL. Las sanciones en este sentido pueden llegar a los 820.000 euros en los supuestos más graves.
Privacidad. No obstante, si las medidas instauradas por la compañía son muy intrusivas (porque, por ejemplo, almacenan los datos que recogen de los clientes), se estaría cometiendo una infracción muy grave del Reglamento Europeo de Protección de Datos, “cuyas sanciones pueden alcanzar los 20 millones de euros o la cuantía equivalente al 4% de la facturación global”, alerta el letrado.
Equilibrio. La respuesta, por tanto, debe partir de un equilibrio entre estos dos ámbitos. Como esto no es sencillo, los abogados consideran necesario que las autoridades regulen legalmente estos controles, especificando qué medidas son legales y cómo debe ser el tratamiento de estos datos.