¿Constituye la toma de temperatura a clientes un tratamiento de datos personales?
El pasado 6 de abril de 2021, se interpuso una denuncia ante la Agencia Española de Protección de Datos (en adelante, “AEPD”) por parte de una persona física frente a un establecimiento por llevar a cabo una comprobación de su temperatura corporal para permitirle el acceso al referido establecimiento, comprobación que, según el afectado, se había realizado por personal no cualificado y sin habilitación para ello.
En este sentido, y una vez admitida a trámite la antedicha denuncia, la Subdirección General de Inspección de Datos procedió a iniciar las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados.
Pues bien, se procedió al archivo de las actuaciones por no detectarse la existencia de una actuación infractora por parte del establecimiento denunciado en el ámbito competencial de la AEPD, y ello puesto que la toma de temperatura se realizaba utilizando termómetro manual que no grababa imágenes ni información biométrica del usuario, sin que este proceso fuera acompañado de un registro de la temperatura obtenida de las personas que accedían al establecimiento. Por lo tanto, según la AEPD se habrían adoptado medidas para garantizar la confidencialidad de los usuarios y con el objetivo de seguir recomendaciones, y evitar la propagación del virus, en la lucha frente a la pandemia derivada del COVID-19.
La toma de temperatura supondría un tratamiento de datos personales sensibles
En el supuesto de que el dato de la temperatura obtenida no esté sujeto a ninguna operación de registro y, por ende, esté desligado de la persona física, siendo imposible que la persona en cuestión sea identificada o identificable, se considerará que la toma de temperatura no supondría el tratamiento de dato personal de carácter sensible.
Es decir, cuando estos controles de temperatura no van acompañados de un control de identidad de las personas que pretenden acceder a los establecimientos y no se vinculan a una persona determinada a través de su registro o anotación, tales medidas no se encontrarían, en principio, incluidas en el ámbito de aplicación del Reglamento General de Protección de Datos (en adelante, “RGPD”)al no asociarse la temperatura a una persona identificada o identificable.
¿Cómo tendrían que actuar las empresas que apliquen estas medidas de seguridad?
Las empresas que apliquen este tipo de medidas de seguridad deberán cumplir con dos principios básicos, la proporcionalidad y la minimización de datos. Es decir, las medidas que se instauren deberán ser acordes al fin perseguido y las estrictamente necesarias para alcanzarlo.
Por lo tanto, las empresas deberán limitarse a tomar la temperatura de los usuarios sin dejar constancia por escrito de ello, siendo esta práctica poco invasiva y exclusivamente en aras a evitar el contagio por parte de otras personas.
Limitación de finalidad y exactitud de los datos
No obstante lo anteriormente indicado, y en el supuesto de que la toma de temperatura quede registrada y pueda ser asociada a una persona concreta, identificada o identificable, esta puede constituir un tratamiento de datos de salud y, como tal, debe ajustarse a una de las bases jurídicas enumeradas en el artículo 6 del RGPD y concurrir alguna de las excepciones específicas que se relacionan en el artículo 9 del RGPD.
Además, se deberán tener en cuenta los principios de protección de datos recogidos en el RGPD en relación a la limitación de la finalidad y la exactitud de los datos. Respecto al principio de limitación de la finalidad cabe destacar que la temperatura solo podrá tomarse con la finalidad específica de detectar posible contagiados para evitar su acceso a un local y propagar el virus.
Por otro lado, y en relación al principio de exactitud de los datos, implica que los termómetros o equipos sanitarios que se empleen deberán ser los adecuados para la toma de temperatura, estar homologados y contar con criterios que tengan en cuenta altos niveles de precisión.
Derechos y garantías los usuarios
Los usuarios afectados seguirán manteniendo sus derechos de acuerdo con el RGPD, siendo de aplicación las garantías que este Reglamento establece, si bien estas serán adaptadas a las circunstancias específicas de este tipo de tratamientos.
Midiala Fernández es IP/IT Lawyer
Ha desarrollado su carrera profesional en el ámbito de la Propiedad Intelectual, Industrial y Nuevas Tecnologías. Además, presta asesoramiento legal en materias específicas tales como: Comercio electrónico, Privacidad y Protección de datos, Marketing y Publicidad, Competencia desleal y Ciberseguridad.