¿Es legal instalar dispositivos medidores de la temperatura basados en imagen?

May 14, 2020

La protección de datos personales y la toma de temperatura corporal

La amenaza a la salud mundial que supone la actual pandemia requiere que todos, desde nuestro ámbito de trabajo, colaboremos para salvaguardar la salud de las personas.

SCATI comercializa dispositivos de medida de la temperatura corporal para ayudar en la identificación de personas potencialmente contagiosas. Todos nuestros dispositivos están basados en analizar la imagen de las personas para detectar la temperatura en la frente.

SCATI es muy consciente que dada la naturaleza de los datos que registran nuestros sistemas, la imagen de las personas y, en este caso concreto, el dato de la temperatura, son datos de carácter personal y que por lo tanto están cubiertos por las leyes de protección de datos.

Entendemos las inquietudes de nuestros clientes sobre la legalidad de instalar dispositivos medidores de la temperatura basados en imagen, y queremos trasmitirles que la utilización de estos dispositivos es totalmente legal dentro del marco legal de la protección de datos de carácter personal, como así lo determina la Agencia Española de Protección de Datos en sus comunicaciones.

Hemos elaborado el siguiente análisis desde el punto de vista legal para argumentar esta afirmación.

Bases legitimadoras para tratar el dato de la temperatura corporal

El Reglamento General de Protección de Datos contiene salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general o pandemia, tal como se indica en el Considerando 46.

El artículo 6.1.d) (Licitud del tratamiento) del reglamento establece como base la protección de intereses vitales, que sería suficiente para los tratamientos dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas.

No obstante, y dado que nos encontramos ante datos de salud, esa base legitimadora debemos buscarla en el artículo 9 (Tratamiento de categorías especiales de datos personales), entendiendo que estos tratamientos se ven amparados por las propias relaciones entre empleador y empleado, por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (el empleador) en el ámbito del Derecho laboral y prevención de riesgos laborales.

Así, los empleadores podrán tratar los datos de sus empleados necesarios para garantizar la salud de todo su personal, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo.

Esta es la doctrina que se aplica a la realización de test de COVID-19 en el seno de las empresas, por ejemplo.

Toma de temperatura corporal mediante dispositivos termográficos.

El uso de cámaras térmicas es ciertamente particular porque:

  • En base a la medición se asume que una persona padece una concreta enfermedad.
  • En base a la medición se le puede denegar el acceso a un determinado lugar.
  • Se desvela información de esa medición a terceros que pueden ver ésta así como la denegación de acceso.
  • No se tratan exclusivamente datos de trabajadores, sino que la medida puede afectar también a clientes y usuarios.

Lo relatado puede impactar negativamente en la privacidad de las personas y por ello los sistemas implantados deben reunir una serie de garantías, para legitimar su uso.

1. ¿Cuál sería la base legitimadora para este tratamiento?

  • En el entorno laboral: garantizar la seguridad y salud de las personas trabajadoras y cumplir con las obligaciones con respecto a sus trabajadores y su protección, aunque los centros y locales estén destinados a finalidades que impliquen que en ellos se concentre un elevado número de clientes o usuarios.
  • No cabe el interés legítimo
  • No podemos supeditar el tratamiento al consentimiento de las personas.
  • El tratamiento estará amparado siempre y cuando se cumplan ciertos criterios y se base en la protección de intereses vitales de trabajadores, clientes y usuarios.

Por lo tanto, las recomendaciones son:

  • Disponer de una información clara y visible al respecto.
  • Informar concienzudamente de los extremos que recoge el artículo 13 del RGPD, mediante una cláusula informativa y expresiva del uso de estos sistemas. En ella deberemos hacer especial hincapié en qué datos se recogen (si es que se combina esa medición de temperatura con la recogida de datos biométricos y cuáles son estos), su plazo de conservación y cuáles son los métodos para que la persona pueda ejercer sus derechos, muy especialmente el de oposición, en caso de que pueda acreditar que su alta temperatura se debe a otros motivos.
  • Consensuar el establecimiento de los sistemas con la representación sindical de los trabajadores.
  • Formar al personal que emplee estos sistemas y usar personal cualificado para poder valorar razones adicionales otorgadas por las personas (por ejemplo, que una persona pueda justificar que su fiebre la causa otra dolencia).
  • Revisar los procedimientos de ejercicio de derechos para que puedan ser satisfechos in situ y con celeridad.

¿Cuáles son las garantías?

La preocupación fundamental del uso de estos sistemas viene por el hecho de que no se usan exclusivamente para la detección de temperatura corporal, sino que igualmente esta información se combina con la recogida de otros datos biométricos (identificación del sujeto, conservación de capturas de pantalla, reconocimiento facial, etc.).

Por lo tanto, las recomendaciones son:

Sobre SCATI

SCATI es un fabricante de sistemas de video IP especializado en ofrecer soluciones completas y flexibles para proyectos donde se requiere gestionar la seguridad de grandes redes de instalaciones.

A la vanguardia de la tecnología, las soluciones de SCATI se diseñan con los máximos niveles de ciberseguridad y garantizan la protección de cualquier instalación.

SCATI cuenta con un departamento de I+D propio que customiza sus soluciones inteligentes de video IP a las necesidades específicas de seguridad de cada proyecto.

Con más de 20 años de experiencia en el mercado de la seguridad electrónica, SCATI se ha consagrado como líder en ofrecer soluciones para las entidades financieras y es un referente en el desarrollo de sistemas de video IP inteligentes.

  • Pensar si no puede aplicarse un método menos intrusivo y posibilidad de aplicar medidas alternativas.
  • Ponderar el impacto sobre los derechos de los clientes o usuarios y el impacto en el nivel de protección de las personas empleadas.
  • Limitar la finalidad y usar estos sistemas exclusivamente para detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto con otras personas en él.
  • Registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.
  • Usar equipos homologados, con criterios que tengan en cuenta los niveles de sensibilidad y precisión.
  • Formar al personal que emplee estos sistemas.
  •  
  • Dar información precisa de su uso para que además se tenga capacidad de reacción ante la decisión de no dejar acceder (por ejemplo, justificando que su temperatura elevada obedece a otras razones).
  • Establecer los plazos y criterios de conservación.
  • Limitación de finalidad y minimización de datos.
    • Limitar la finalidad del tratamiento y limitar la identificación del sujeto con respecto a los trabajadores
    • Hacer una ponderación previa para evaluar qué datos se recogen, aplicando el criterio de minimización de tal manera que sólo se recojan aquellos que sean estrictamente necesarios.
    • Concretar los plazos de conservación de los datos, aplicando también el criterio de minimización, recogiéndolos solo durante el tiempo en que sea estrictamente necesario.
    • Usar sistemas fiables y de alta precisión.
    • Usar sistemas homologados, que procedan de proveedores que garanticen la seguridad exigida por el artículo 32 del RGPD.