Legitimació per a mesurar la temperatura


Josep Aragonés Salvat     23/04/2020

Consulta:

Cada cop són més els casos en els que les empreses estan començant a instaurar mesures per a prendre la temperatura, com arcs a l'entrada d'un edifici o inclús mitjançant altres vies com el control biomètric. Estem parlant que s'estaria recaptant una dada de salut considerada de "categoria especial" de les persones afectades.

  1. Requeriria això un consentiment per part de l'interessat, sigui treballador de l'empresa o client, per exemple, a un supermercat?
  2. Si no es recopilen dades, podríem entendre que no existeix fitxer (conjunt estructurat de dades) i, per tant, el tractament no estaria afectat pel GDPR?
  3. Si es recopilen dades, però es guarden anonimitzades (no es pot identificar a l'interessat), el tractamento estaria afectat pel GDPR?

Resposta:

El considerant 35 GDPR destaca que són "dades personals relatives a la salut" totes les dades relatives a l'estat de salut de l'interessat que donen informació sobre el seu estat de salut física o mental passat, present o futur, incloent qualsevol informació relativa a una malaltia o risc de patir malalties ... l'estat fisiològic de l'interessat, independentment de la seva font, per exemple, un dispositiu mèdic. Per tant, l'acció de prendre la temperatura (amb independència del dispositiu que s'utilitzi) ens proporciona una dada de caràcter personal de salut, per tant, especialment protegida.

Dit l'anterior, l'acció de prendre la temperatura, en principi, podent constituir un tractament de dades personals, "tota informació sobre una persona física identificada o identificable («l'interessat»)" consistent en una operació o conjunt d'operacions realitzades sobre la dada personal "temperatura", mitjançant un procediment automatitzat (termografia - dibuix (grafos) de la temperatura (termo)), com la recollida (mitjançant captació), utilització (molt important saber la finalitat per la que es pren la temperatura i les conseqüències per a determinar la utilització), difusió (si la temperatura és visible per a tothom), etc.

1. Requeriria això un consentiment per part de l'interessat, sigui treballador de l'empresa o client, per exemple a un supermercat?

Per a legitimar el tractament hem de diferenciar si es realitza als treballadors de l'empresa o a clients (o persones externes a l'organització). Hem dit que la dada "temperatura" és una dada de salut, per tant, al ser considerada dada especialment protegida, el seu tractament es prohibeix amb caràcter general per l'article 9.1 GDPR, que disposa "Queden prohibits el tractament de dades personals que revelen dades relatives a la salut d'una persona física"; tot i així, el seu apartat 2 excepciona dita regla per a cada un dels col·lectius d'interessats segons els fins del tractament:

  • Treballadors: quan la finalitat sigui el control de temperatura per a accedir al lloc de treball per al compliment d'obligacions legals a l'àmbit laboral, la legitimació podrà basar-se en l'obligació legal del responsable en l'àmbit del Dret laboral i de la seguretat i protecció social (art. 6.1.c i art. 9.2.b del GDPR), basat en l'art. 22 de la Llei 31/1995, de 8 de novembre, de Prevenció de Riscos Laborals.
  • Clients: actualment no existeix un suport normatiu que legitimi aquest tipus de tractament per raons d'interès públic en l'àmbit de la salut pública (art. 6.1.e i art. 9.2.i del GDPR), pel que no es podrà aplicar ningún sistema de control de temperatura corporal, encara que sigui a temps real.

Quan els fins siguin diferents als mencionats, només podrà realizar-se el control de temperatura basant-nos en l'excepció 9.2.a, quan "l'interessat hagi donat el seu consentiment explícit per al tractament de dites dades personals amb un o més dels fins especificats". És a dir, vincula consentiment a fins, d'aquí la importància de la informació prèvia.

En qualsevol cas, atenent al comunicat realitzat por l'AEPD el 30/04/2020, el control de la temperatura al personal sanitari, conclou que:

  • L'aplicació d'aquest tipus de mesures de control requeriria la determinació prèvia que faci el Ministeri de Sanitat.
  • Els equips que s'utilitzin per portar a terme el control de temperatura han d'estar homologats i operats per personal qualificat.
  • El tractament no ha de suposar en cap cas la vulneració dels principis generals de protecció de dades, especialment els de limitació de la finalitat, minimització de dades i limitació del termini de conservació.

2. Si no es recopilen dades, podriem entendre que no existeix fitxer (conjunt estructurat de dades) i, per tant, el tractament no estaria afectat pel GDPR?

La qüestió plantejada ens recorda molt al supòsit de videogravació a temps real, on s'emitia el resultat en pantalla, però la mateixa no s'emmagatzemava. Al respecte, l'AEPD va emetre l'informe jurídic de 17 de maig de 2018 en el que afirma "tot i que no es produeixi la gravació de les imatges, la reproducció a temps real, ja que recull les mateixes, suposa un tractament de dades i, per tant, la submissió de dit tractament al regulat al RGPD". L'anterior ha de resultar d'aplicació al present supòsit sempre que la dada personal "temperatura" es reculli mitjançant un sistema automatitzat (com ho és la termografia) que recull la mateixa, dit l'anterior, hem d'analitzar el concepte de "fitxer" sempre que el GDPR és clar en el seu articule 2.1 "El present Reglament s'aplica al tractament total o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes o destinades a ser incloses a un fitxer."

I ara és on l'AEPD s'ha mostrat vacil·lant en relació al concepte de "fitxer" i la presa de dades a "temps real" perquè en la seva Instrucció 1/2006, art. 7.2, afirma en relació a la derogada LOPD 15/1999 el que segueix "En aquests efectes, no es considerarà fitxer el tractament consistent exclusivament en la reproducció o emissió d'imatges a temps real.", per contra, reiterem, l'informe jurídic abans mencionat indica un canvi de criteri en afirmar "tot i que no es produeixi la gravació de les imatges, la reproducció a temps real, ja que recull les mateixes, suposa un tractament de dades, i per tant, la submissió de dit tractament al regulat al RGPD". Resulta clar que si un dispositiu no grava dades i mostra dades fugaces (per fer-ho durant uns segons o lapse temporal mínim que impedeix el seu emmagatzematge i posterior recerca) no podem considerar-ho "fitxer" i, per tant, no podent-se considerar fitxer no hauria de resultar d'aplicació el GDPR si dites dades no estan contingudes O DESTINADES A ser incloses a un fitxer, és a dir, es mostren i es suprimeixen també a temps real.

3. Si es recopilen dades, però es guarden anonimitzades (no es pot identificar a l'interessat), el tractament estaria afectat pel GDPR?

La recollida de la dada personal "temperatura" constitueix un tractament de dades personals. Ara bé, del tenor de la pregunta sembla desprendre's el següent cicle de vida de la dada: Recollida de la temperatura de la persona física identificada o identificable (tractament) mitjançant sistema de termografia -> emmagatzematge (encara que sigui fugaç) -> registre -> anonimització -> conservació (encara que anonimitzades).

El considerant 26 GDPR és clar "Per tant els principis de protecció de dades no han d'aplicar-se a la informació anònima, és a dir, informació que no guarda relació amb una persona física identificada o identificable, ni a les dades convertides en anònims de forma que l'interessat no sigui identificable, o deixi de ser-ho. En conseqüència, el present Reglament no afecta al tractament de dita informació anònima, inclusivament amb fins estadístiques o d'investigació."

Per tant, el GDPR s'aplica a tot el procediment previ a l'anonimització de les dades personals i no s'aplicarà un cop siguin anonimitzades (però per a fer dit procès d'anonimització han d'obtenir-se les citades dades d'acord al GDPR i la LOPDGDD).

Referències:

  • AEPD: Informe de data 12/03/2019 sobre els tractaments de dades en relació amb el COVID-19. El RGPD permet el tractament de dades personals de salut sense consentiment de l'interessat en situacions d'interès públic en l'àmbit de la salut pública i en el cumpliment d'obligacions legals en l'àmbit laboral derivat de dites situacions.

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en

  • AEPD: Informe jurídic, de 17 de maig de 2018.

https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-videovigilancia-tiempo-real.pdf

  • AEPD: Informe N/REF 0017/2020 del Gabinet Jurídic AEPD en relació amb els tractaments de dades resultants de l'actual situació derivada de l'extensió del virus COVID-19.

https://www.aepd.es/es/documento/2020-0017.pdf

  • UE: Recomanació (UE) 2020/518 de la Comissió de 8 d'abril de 2020 relativa a un conjunt d'instruments comuns de la Unió per a la utilització de la tecnologia i les dades a fi de combatre i superar la crisi de la COVID-19, en particular pel que respecta a les aplicacions mòbils i a la utilització de dades de mobilitat anonimitzats.

https://eur-lex.europa.eu/eli/reco/2020/518/oj

  • AEPD: Instrucció 1/2006, de 8 de novembre, sobre el tractament de dades personals amb fins de vigilància a través de sistemes de càmeres o videocàmeres.

https://www.boe.es/buscar/pdf/2006/BOE-A-2006-21648-consolidado.pdf