La «nueva realidad» impuesta por el coronavirus trajo consigo prohibiciones, limitaciones y controles, generando dudas sobre su legalidad. Aunque el estado de alarma en España finalizó en mayo de 2021 y las medidas de emergencia se levantaron progresivamente, los principios de protección de datos establecidos entonces siguen vigentes para situaciones similares, como brotes sanitarios o emergencias futuras.
El primer gran debate sobre las medidas de control de la pandemia surgió con la aprobación de la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, que permitía a las autoridades realizar estudios de movilidad de la ciudadanía mediante controles por geolocalización individual anonimizada a través de nuestros dispositivos móviles.
Aunque la orden fue derogada con el fin del estado de alarma, persisten estudios de movilidad similares utilizando big data de telefonía móvil, como los promovidos por el Ministerio de Transportes y Movilidad Sostenible, con fines de planificación urbana y análisis de flujos poblacionales. Dicha medida de control en masa no invade la privacidad individual, ya que los datos facilitados por los operadores de telefonía móvil no permiten identificar a los usuarios, siendo anónimos y agregados. Lo que se pretende con esta medida es determinar qué zonas están más o menos congestionadas para planificar mejor los recursos y analizar la efectividad de las medidas públicas de contención de la movilidad.
Adoptar medidas de control sobre la población puede ser legal en situaciones excepcionales, como es el caso de una pandemia o emergencias sanitarias. El tratamiento de datos personales se legítima en el interés público (artículo 6.1.e del RGPD) o en intereses vitales del interesado u otras personas (artículo 6.1.d del RGPD), si bien el tratamiento debe ser respetuoso con los principios relativos a la protección de datos, como la proporcionalidad, minimización y transparencia.
Otra medida de control es el uso de dispositivos de medición de temperatura o de cámaras termográficas para medir y registrar la temperatura corporal de las personas en los accesos a los establecimientos abiertos al público y en los centros de trabajo. Muy habituales durante la pandemia, en la actualidad, su uso se limita a controles sanitarios por razones de salud pública, por ejemplo, en aeropuertos o eventos masivos.
Dichas medidas solo deben aplicarse atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.
La base jurídica para estos controles durante la pandemia era el consentimiento de los interesados, aunque en el ámbito laboral se justificaba por el artículo 6.1.c) del RGPD, es decir, cumplimiento de una obligación legal aplicable al responsable del tratamiento, concretamente, de la normativa de prevención de riesgos laborales (Ley 31/1995), que obliga al empleador a garantizar la salud y la seguridad de sus trabajadores. Dicha normativa no solo impone obligaciones al empleador, también se las impone a los empleados, que están obligados a informar a su superior jerárquico sobre sus circunstancias de salud, cuando estas puedan afectar al resto de trabajadores, para que se puedan adoptar las medidas oportunas de salvaguarda y protección.
Cuando afecta a personal ajeno a la organización –como usuarios, clientes o proveedores– la base jurídica se encuentra en el artículo 6.1.d) del RGPD, que se refiere a la protección de los intereses vitales del interesado o de otra persona física. En contextos actuales, como brotes de gripe o eventos similares, se prioriza el interés público, pero siempre con evaluaciones de impacto en la protección de datos (EIPD).
El principio de exactitud implica que los equipos de medición deben ser los adecuados para registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. Se recomienda utilizar solo dispositivos homologados, considerando su sensibilidad y precisión, conforme a estándares de la Organización Mundial de la Salud (OMS).
Igualmente, es crucial establecer plazos y criterios de conservación de los datos registrados. En principio, no deberían conservarse más allá de lo necesario, salvo para hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos. La AEPD recomienda límites estrictos, como la eliminación inmediata si no hay incidencias, para cumplir con el principio de minimización.
Durante la pandemia, la medición y registro de temperatura afectó a los menores de edad, por ejemplo, en los controles de acceso a los centros escolares. Tratándose de menores, toda información sobre el tratamiento de sus datos personales debe ser exhaustiva y accesible. En estos casos, es recomendable informar previamente a sus progenitores o representantes legales (tutores) sobre las bases jurídicas que justifican la imposición de la medida de control térmico en el acceso a las instalaciones, sobre la limitación de finalidad y exactitud de los datos, el periodo de conservación, así como la aplicación de garantías y el reconocimiento de derechos.
Las comunicaciones individuales a los progenitores o representantes legales deben completarse con carteles informativos colocados en los lugares de acceso. Al final del artículo les dejo un ejemplo real de circular adaptada a centros educativos.
En el caso de cámaras térmicas, en la medida en que pueden ofrecer posibilidades adicionales a la toma de temperatura, deben ser utilizadas prestando especial atención a los principios de limitación de la finalidad y minimización de datos establecidos por el artículo 5.1 del RGPD. La AEPD ha emitido guías específicas sobre videovigilancia inteligente, prohibiendo el almacenamiento de imágenes térmicas sin justificación explícita.
En cualquier caso, cuando la toma de temperatura no se vincula a una persona concreta, es decir, cuando se realiza sin registros o anotaciones, tales medidas no entran en el ámbito de aplicación del RGPD, al no asociarse la temperatura a una persona identificada o identificable (AEPD E-03884-2020).
Cartel informativo
No existe un modelo oficial o estándar de cartel informativo, de modo que pueden elaborar uno de cosecha propia.
A continuación, les dejo el modelo que hemos elaborado para nuestros clientes. Recomendamos imprimirlo en papel de color (amarillo, preferentemente) y con un tamaño adecuado, pues la idea es facilitar su lectura. Que no pase como los carteles de videovigilancia, que son minúsculos, y que se colocan solo para hacer acto de presencia, pero con ninguna intención de informar a los afectados.
Pueden ampliar la información con el comunicado emitido durante la pandemia por la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos, que pueden encontrar haciendo clic aquí.
No se pierda nuestro podcast sobre el artículo
