Blog

6 06+00:00 mayo 06+00:00 2020

Tratamiento de datos de salud en tiempos de Covid-19. Toma de temperatura

En un documento anterior, resumimos el informe de la Agencia Española de Protección de Datos, donde se detallaba la posibilidad de tratar datos de salud, por parte del empleador, para garantizar la seguridad del resto de trabajadores en caso de detectar un positivo por coronavirus en la plantilla.

Lo más relevante es que esa información, debe ser siempre transmitida por el trabajador hacia la empresa, es decir, si un trabajador presenta síntomas, se realiza un chequeo médico y resulta positivo, tiene la obligación de informar a su empresa, para que esta pueda tomar las medidas oportunas para salvaguardar la seguridad del resto de empleados.

Ahora surgen nuevas dudas con la aplicación de medidas de control de temperaturas en entornos laborales y en negocios. Vamos por partes.

Hay que destacar previamente que la temperatura corporal de una persona, es un dato de salud, dado que a partir del mismo podemos asumir si una persona padece o no una enfermedad, en este caso la Covid-19 y que la Agencia muestra su preocupación por la generalización del tratamiento de estos datos, considerados sensibles.

Por otro lado, la temperatura corporal elevada, no tiene porque suponer que una persona haya desarrollado dicha enfermedad, puede ser provocada por otras distintas, sobre todo teniendo en cuenta que las personas asintomáticas o que estén padeciendo la misma, no siempre desarrollan procesos febriles.

Toma de temperatura en el ámbito laboral.

La Agencia, traslada al Ministerio de Sanidad la responsabilidad de prescripción de esta medida y como llevarla a cabo con garantía. Aunque desde el Ministerio de Sanidad no se ha concretado nada el respecto.

Si vamos a optar por introducir esta medida en nuestros centros de trabajo, tenemos que tener en cuenta que la única legitimación válida es la obligación legal, considerada en el artículo 22.1 de la Ley 31/1995 de Prevención de Riesgos Laborales. Estableciendo la obligación de la empresa de garantizar la seguridad y la salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo.

Por tanto, no existe un interés legítimo del responsable de tratamiento, ni se puede solicitar el consentimiento explícito del interesado, dado que su quiere acceder al centro de trabajo, debe ceder ese dato por lo que el consentimiento nunca sería libre.

Es por esto, por lo que dicho tratamiento siempre se basará en el art. 6.1.c) del Reglamento General de Protección de Datos, donde se estima la obligación legal para el tratamiento, siendo este habilitado por el art. 9.2 en sus apartados b) y h).

Para estos casos sería conveniente que la medida se ponga en práctica una vez la haya prescrito el Servicio de Prevención de Riesgos Laborales de la empresa, conforme al procedimiento de actuación frente al Sars-Cov-2 que ha publicado el Ministerio de Sanidad.

Una vez llegados a este punto, su la organización está dispuesta a poner en marcha este protocolo de control para acceder a las instalaciones, debe tener en cuenta los siguientes principios generales a la hora de tratar estos datos:

  • Transparencia. Se debe informar al interesado acerca de este tratamiento. Puede ser mediante cartelería similar a la de videovigilancia.
  • Limitación. Los datos sólo se utilizarán para facilitar el acceso al puesto de trabajo. No se utilizarán para otras finalidades diferentes.
  • Minimización. Se tratarán sólo los datos necesarios, en este caso, sólo se leerá la temperatura corporal, pero no se almacenará a no ser que sea estrictamente necesario. Se debe valorar quien debe tener acceso a la información y conservarse el tiempo que se considere relevante. Este debería determinarse por el servicio de Prevención de Riesgos).
  • Exactitud de los datos. Los sistemas a emplear deben estar homologados y calibrados regularmente.
  • Confidencialidad. Se evitará la difusión de la información.

Para finalizar, se deberá documentar cómo será el proceso a implantar, de modo que podamos justificar con evidencias que hemos hecho todo correctamente. Habría que valorar si sería necesaria la realización de una Evaluación de impacto en cada caso concreto según los tratamientos que se realicen.

Toma de temperatura fuera del ámbito laboral.

En este caso, la toma de temperatura a clientes, etc., ajenos a la empresa, para facilitar su entrada, se legitima por el mismo principio que en el anterior caso, la obligación legal de salvaguardar la seguridad y salud de nuestros trabajadores que pueden ser contagiados por terceros, ajenos a la organización.

En este caso debemos seguir las mismas premisas que se exponen al final del caso anterior a la hora de tratar estos datos.

Conclusiones.

Aunque la Agencia no ha sido todo lo clara que se desearía, de lo publicado se desprende la posibilidad de la implantación de medidas de control de temperatura corporal en centros de trabajo con la finalidad de facilitar, o no, el acceso a personas que puedan presentar síntomas tales como fiebre.

Si tenemos que tener muy en cuenta que se debe realizar con medios homologados, ya sean aparatos de medición individual, como cámaras termográficas. En el caso de optar por la segunda opción, éstas no deben grabar imágenes, sólo controlar la temperatura.

Además, debemos tratar los datos de acuerdo a los principios recogidos en el art. 5 del Reglamento General de Protección de Datos que se detallan en este documento.

Esperamos haber dado algo de luz sobre este tema, no obstante, quedamos a vuestra disposición para cualquier aclaración que podáis precisar enviándonos un mail a nuestro correo dpo@excell.es

También podéis recabar más información accediendo al comunicado de la Agencia y a su documento de preguntas frecuentes a través de estos enlaces.

Valentín Canga
Técnico Especialista en Seguridad de la Información.