Nos hemos olvidado de la protección de datos ante el COVID-19 y no estamos para sanciones

Hace unos días lanzábamos lavulneración de la ley de protección de datos ante la publicación de imágenes eninformativos y redes sociales de las que no se ha recabado el consentimientoexpreso para ello. Pues bien, seguimos vulnerando la ley adoptando medidas deprotección sanitarias con tratamiento de datos tan sensibles como son la saludde las personas.

Una medida común que se estáadoptando en centros de trabajo, comercios u otro tipo de establecimientos oequipamientos es la toma de la temperatura para determinar si esa personapadece o no COVID-19. Esa toma de temperatura injiere de forma intensa en losderechos de los afectados dado que, normalmente, la toma de temperatura serealiza en el acceso a espacios públicos de forma que, si se deniega el accesoa una persona en concreto se está desvelando a terceros (sin interés en elmismo) que tiene una temperatura por encima de lo normal y que puede estar contagiadapor el famoso virus.

Es indudable que lo que preocupaen realidad es evitar la propagación del virus y velar, en la medida de loposible, por salvaguardar los espacios públicos de un elevado riesgo decontagio. Entonces, ¿qué hacemos?

Atender a las medidasestablecidas por el Ministerio de Sanidad, actual autoridad competente. Esdecir, es de sobra conocido que hay personas asintomáticas, personas quepresentan fiebre por causas ajenas al virus o personas positivas que nopresentan fiebre, por lo que la toma de temperatura en los accesos aestablecimientos públicos supone una medida que podría ser sustituida por otrasde igual eficacia y menos intrusivas.

Por este motivo es importantecontar con un buen asesoramiento en materia de protección de datos y una buenapolítica que se adapte a las necesidades reales del negocio, ¿por qué? Sivolvemos al caso en concreto, la comprobación de la temperatura corporal comomedida preventiva de la expansión del COVID-19 no puede contar con elconsentimiento expreso del interesado dado que las personas afectadas no puedennegarse a someterse a la toma de temperatura sin perder la posibilidad deentrar al establecimiento, es decir, el consentimiento no sería libre.

Si recurrimos al interéslegítimo, que sería lo más normal, debemos de tener en cuenta las leyesnacionales y de la Unión Europea, así como la adopción de medidas adecuadas:equipos homologados para la toma de temperatura, personal preparado y formadopar su uso y evaluación, etc. Importante es también el uso de dispositivos comolas cámaras térmicas para grabar o conservar los datos o tratar informaciónadicional como la biométrica. Los principios de protección de datos establecenla limitación de la finalidad de tratamiento la cual sería, en este caso, detectarposibles personas contagiadas para evitar su acceso y con ello el contagio delos demás, no se puede utilizar para ninguna otra finalidad.

Entonces, ¿qué medidas se puedenadoptar para el acceso a establecimientos sin vulnerar el RGPD?

Medidas de información: atrabajadores, clientes o usuarios a los que se vayan a tomar datos sensibles,en particular, si se va a producir una grabación o conservación de lainformación, así como la posibilidad de justificar la elevada temperaturacorporal por razones ajenas al COVID-19. Por ello, el personal debe estarcualificado para valorar las razones y establecerse un procedimiento dereclamación ante la persona que pueda autorizar, finalmente, el acceso.

Plazos y criterios deconservación, en caso de registro: en principio no deberían registrarse, salvoque pueda justificarse suficientemente su necesidad para hacer frente aevaluaciones legales derivadas de la decisión de denegación de acceso.