El control de temperatura y el debate entre seguridad y salud y protección de datos

TransformaW

María Rosa Vallecillo Gámez.
Profesora TU acreditada de Derecho del Trabajo y de la Seguridad Social.
Universidad de Jaén.

Estefanía González Cobaleda.
Profesora Doctora de Derecho del Trabajo y de la Seguridad Social.
Universidad de Jaén

1.La medición de la temperatura corporal de las personas como medida de prevención. En muchos territorios de nuestro país ha comenzado el proceso de desescalada de las restricciones impuestas a raíz de la pandemia del coronavirus. La apertura de algunas empresas y la vuelta progresiva de la actividad económica hacia la nueva etapa post-C19 – esto me recuerda cómo C3PO se recompone pese a ser un robot a trozos -, dispara las ganas de saber acerca de las medidas más efectivas de prevención del contagio en la reapertura de establecimientos y espacios tanto públicos como privados; empresas, fábricas, recintos para espectáculos deportivos y culturales, etc. Además del uso de guantes, mascarillas y el mantenimiento de la distancia física entre personas – que no social, porque esa la hemos intentado mantener viva en todo este tiempo, y lo que nos quede -, cada vez se plantea con más frecuencia la medición de la temperatura corporal de las personas como medida de prevención. Incluso, ya se han instalado cámaras que permiten dicha medición en distintos recintos como, por ejemplo, en el hospital de campaña de IFEMA (Madrid), recientemente clausurado por no ser necesario, afortunadamente, ya su uso.

La pregunta se reitera en el ámbito de la actividad empresarial y se hace casi obligada, como obligada debería ser su concreta respuesta, ¿puede una empresa medir la temperatura corporal de los trabajadores que accedan a sus instalaciones? Siguiendo el criterio emitido por la Agencia Española de Protección de Datos (AEPD), aparentemente la respuesta fácil tendría sentido afirmativo, puesto que en las preguntas frecuentes sobre el coronavirus que ha publicado, se responde que “Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador (…)”, a la pregunta de si el personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos de coronavirus.

Este organismo expresa su preocupación por este tipo de actuaciones que suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo y necesario de las autoridades sanitarias. En este sentido ha realizado un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos con la intención de que las empresas conozcan los requisitos normativos a cumplir para el establecimiento de esta medida.

Por tanto, la afirmación anterior debe ser matizada. En primer lugar, porque atendiendo a la respuesta publicada por la AEPD, ¿podría interpretarse que dichas mediciones deberían realizarse por personal sanitario? o ¿solamente sería cuestión de una autorización?, cuestión sobre la que la doctrina tampoco termina de ponerse de acuerdo. Igualmente, no podemos obviar en el análisis que la temperatura corporal es un dato relativo a la salud de las personas y, en consecuencia, queda comprendido entre las categorías especiales de datos a los que la normativa aplicable otorga un grado reforzado de protección -principios de legalidad, limitación de finalidad y exactitud-. En segundo lugar, porque la AEPD se pronuncia simplemente sobre “tomar la temperatura a los trabajadores” y cuando hasta ahora lo hacía sin referirse a la proporcionalidad de los sistemas que se implanten para ello, ahora si que establece la necesidad de atender a los criterios definidos por las autoridades sanitarias –pueden ocasionar un riesgo de discriminación, estigmatización y difusión de datos de salud-. Esta es una de las cuestiones controvertidas ante el uso de determinados dispositivos como, por ejemplo, las cámaras que permiten realizar dichas mediciones.

2.La tecnología biométrica se está implementando progresivamente, básicamente, con la finalidad de reducir el fraude sobre la identidad y ofrecer mayor seguridad. La medición de la temperatura corporal, junto con el uso de las mascarillas se ha convertido en importante medida de protección ante la desescalada. Los terminales con detección de temperatura corporal comparten una serie de características como una pantalla táctil con doble cámara de reconocimiento facial con IA, un módulo sensor de medición de temperatura con distancia de lectura de hasta 2 m., y tiempo medio de identificación por debajo de 1 segundo. Algunos además cuentan con una gestión de acceso y presencia. Por si la cuestión no planteaba suficientes dudas, las distintas autoridades europeas de protección de datos están emitiendo opiniones contradictorias. Conviene recordar que, aun admitiendo las implicaciones que la normativa de cada Estado Miembro tiene en esta materia, los Estados están sujetos a una normativa común en materia de protección de datos personales cuyo objetivo es, entre otros, evitar este tipo de discrepancias interpretativas. En todo caso, mientras las autoridades francesa e italiana se han mostrado abiertamente en contra de este tipo de mediciones, la autoridad alemana y la española, mantienen posturas más flexibles.

El RGPD dispone de herramientas suficientes que legitiman el tratamiento de datos personales (art. 6.1) y datos de categoría especial (art. 9.2), como los de salud, con el fin de obstaculizar su uso cuando sea necesario para hacer frente a la situación. Pero el traslado de información no ha de identificar a la persona afectada. Si la finalidad es proteger la salud de los trabajadores, esto no puede conseguirse sin identificar al afectado y su divulgación puede ser requerida a la empresa por las autoridades sanitarias, respetando los principios de finalidad y proporcionalidad. Así se establece en el considerando 54 del RGPD “no debe dar lugar a que terceros como empresarios, compañías de seguros o entidades bancarias, traten los datos con otros fines”. El uso de estos conceptos no debe confundirse con los de conveniencia y necesidad.

Mientras la autoridad francesa de protección de datos (CNIL) fue férrea trazando las líneas rojas para evitar injerencias en los derechos de los trabajadores[1], otros países como Alemania han sido más permisivos y ello pese a que la Agencia de Derechos Fundamentales de la Unión Europea (FRA) ha analizado en informes el impacto que las medidas de los diferentes gobiernostendrán en los derechos de las personas. la sugerencia a las empresas puede pasar por el estudio del proyecto mediante la Evaluación de Impacto en la Protección de Datos Personales  siguiendo el esquema:

/var/folders/68/dyd00n2d2d72_9vprms24n4w0000gn/T/com.microsoft.Word/WebArchiveCopyPasteTempFiles/evaluaciones-impacto.png?itok=z0L-YSqt

Con este panorama Amazon ya ha instalado cámaras térmicas en sus almacenes en EEUU, no sin la controversia de los sindicatos.

Sin entrar a analizar las distintas normas aplicables a la adopción de estas medidas (normativa sanitaria, legislación sobre prevención de riesgos laborales, etc.), es indudable que, como ha puesto de manifiesto el Comité Europeo de Protección de Datos, la normativa sobre protección de datos no impide la adopción de medidas para la prevención de la pandemia. En este mismo sentido, el propio Reglamento General de Protección de Datos recoge distintos supuestos que pueden servir para legitimar el tratamiento de datos de los trabajadores, incluidos los datos relativos a su salud, tales como los necesarios para proteger intereses vitales, para el cumplimiento de obligaciones legales derivadas de la legislación sobre prevención de riesgos laborales y los tratamientos realizados por razones de un interés público esencial o en el ámbito de la salud pública. Ese es el contenido fundamental del Informe de la AEPD en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19.

3.Bases legales, responsabilidades y dudas reales. A mayor abundamiento, el citado Reglamento, en su considerando 46[2], reconoce expresamente la licitud de determinados tratamientos en situaciones de epidemia como en la que ahora nos encontramos. Sin embargo, se hace necesario interpretar las bases legales que legitimarían la medición de la temperatura corporal de los trabajadores y las obligaciones que en materia de prevención de riesgos laborales resultan aplicables. Todo ello en un entorno interpretativo que, no es ni mucho menos pacífico.

Para muestra, el sindicato de vigilantes Alternativa Sindical ha denunciado ante la Agencia Española de Protección de Datos a una empresa de seguridad por tomar la temperatura a trabajadores y a usuarios de diferentes centros de trabajo, ya que considera que es una injerencia en los derechos de los afectados y por llevarse a cabo sin el criterio de las autoridades sanitarias. El argumento principal es que las mediciones tienen lugar en espacios públicos y, por tanto, a la vista de las personas que estén alrededor lo que puede llevar, en el caso de un positivo, a situaciones de estigmatización del trabajador sin otros controles que evidencien el positivo por Covid-19. Algo parecido a lo que ocurre con los controles realizados a los futbolistas de la liga de futbol profesional. Ante la realización masiva de test de coronavirus y medición de la temperatura corporal, los médicos de los clubes, argumentan la necesidad de protección ante cualquier infracción y solicitan que las pruebas se supediten a la Orden Ministerial del Ministerio de Sanidad de 13 de abril de 2020 (SND/344/2020). Reclaman que se ponga a disposición de los clubes especialistas en enfermedades infecciosas en los protocolos de asesoramiento para la vuelta a la normalidad, siendo la prioridad la protección de la salud y un nivel alto de certidumbre en la labor profesional de los servicios médicos, tal y como se recoge en la Constitución (art. 18.4). Pero la polémica ante la negativa de algunos jugadores está servida – la Asociación de Futbolistas Españoles traslada que hacer público la identidad del jugador que es positivo, vulnera el derecho a la privacidad de los datos -.

Ante esta situación, resulta atrevido contestar la cuestión planteada de manera general, siendo necesario estudiar pormenorizadamente cada supuesto y asumir, en todo caso, cierto grado de riesgo en la decisión. Sin perjuicio de lo anterior, los empresarios son los titulares de la obligación legal de proteger la salud del personal, mantener el lugar de trabajo libre de riesgos sanitarios, por lo que se justifica el tratamiento sin tener que solicitar el consentimiento (RGPD y art. 14 LPRL), para la realización de cuestionarios detallados. También son los responsables de adecuar dichos tratamientos a otros requerimientos legales, fundamentalmente

  • la obligación de informar a los trabajadores sobre las medidas adoptadas,
  • la recogida de los tratamientos estrictamente necesarios para la efectividad de la medida,
  • la utilización de los datos recogidos exclusivamente para la finalidad perseguida – prevención del contagio – y
  • la supresión de los datos tan pronto como hayan dejado de ser necesarios.

Igualmente, es obligación del trabajador informar al empleador y al servicio de prevención o en su caso a los delegados de prevención, sobre situaciones de cuarentena preventiva o afectación por el virus (art. 29.2.4º LPRL).

De esta manera, ante la situación expuesta, la decisión deberá adoptarse considerando los riesgos que, por un lado, la adopción de estas medidas comporta desde el punto de protección de datos y, por otro, los derivados del incumplimiento de las obligaciones aplicables en materia de prevención de riesgos laborales. En todo caso, sería deseable que ante circunstancias tan excepcionales como las actuales, las autoridades sanitarias, laborales y de protección de datos, facilitasen – de forma clara y precisa – criterios que permitan a las empresas colaborar de manera efectiva en la contención de la pandemia garantizando el derecho de protección de datos de sus empleados.

[1] «Los empresarios deben de abstenerse de recoger de manera sistemática y generalizada, o a través de cuestionarios y preguntas individuales, informaciones relativas a la investigación de eventuales síntomas presentados por un trabajador/agente y sus familiares”. lo único que puede hacer es informar y sensibilizar a sus empleados para que informen de manera individual sobre una eventual exposición, bien a la empresa, bien a las autoridades sanitarias competentes.pero puede recordarles que, en cumplimiento del art. L. 4122-1 del Código de Trabajo, cada trabajador debe establecer todas las medidas posibles con el fin de preservar la salud y la seguridad de otros y de sí mismo y, por tanto, informar a su empleador ante el temor de estar contaminado… La Ley establece expresamente que “corresponde a cada trabajador de cuidar, en función de su formación y según sus posibilidades, de su salud y de su seguridad así como la de todas aquellas personas con las que se relacionen por sus actos o sus omisiones en el trabajo”.

[2] Considerando (46) del RGPD: “(…) Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.”