Videocámaras térmicas y protección de datos: una difícil decisión ante el Covid-19

Ana Marzo. Equipos Marzo.

El pasado 19 de marzo el Comité Europeo de Protección de Datos (por sus siglas en inglés EDPB) adoptó la “Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19” respecto de las medidas que los gobiernos y las organizaciones públicas y privadas de toda Europa están tomando para contener y mitigar el COVID-19 en relación con el tratamiento de datos de carácter personal.

El EDPB formula una serie de conclusiones a partir de las siguientes afirmaciones generales:

• Las normas de protección de datos, como el Reglamento General de Protección de Datos (en adelante RGPD), no obstaculizan la adopción de medidas en la lucha contra la pandemia de coronavirus.

• La lucha contra las enfermedades transmisibles es un objetivo valioso compartido por todas las naciones y, por lo tanto, debe apoyarse de la mejor manera posible.

• Es de interés para la humanidad frenar la propagación de enfermedades y utilizar técnicas modernas en la lucha contra los azotes que afectan a grandes partes del mundo.

• Aun así, incluso en estos tiempos excepcionales, el responsable y el encargado del tratamiento deben garantizar la protección de los datos personales de los interesados.

• Por lo tanto, cualquier medida tomada en este contexto debe respetar los principios generales de la ley.
• La emergencia es una condición legal que puede legitimar las restricciones de las libertades, siempre que estas restricciones sean proporcionadas y limitadas al período de emergencia.

Esta ambigua respuesta dada por el organismo cuya función es “contribuir a la aplicación coherente de las normas de protección de datos en toda Europa, clarificar los términos de la legislación europea de protección de datos y proporcionar a todas las partes interesadas una interpretación coherente de sus derechos y obligaciones”, en un contexto de pandemia como en el que nos encontramos, ha llevado a que algunas autoridades de protección de datos saquen conclusiones como las siguientes:

• La autoridad belga Autorité de Protection des Données opina que la evaluación de riesgos para la salud no debe ser realizada por empresas y empleadores, sino por el médico ocupacional, que es el competente para detectar infecciones e informar al empleador y a quienes han estado en contacto con la persona infectada.
• La autoridad francesa Commission Nationale de l’Informatique et des Libertés explica que los empleadores deben abstenerse de recopilar de manera sistemática y generalizada, o mediante consultas y solicitudes individuales, información relacionada con posibles síntomas presentados por un empleado/agente y sus familiares. Por lo tanto, no es posible implementar a su criterio, por ejemplo: lecturas obligatorias de la temperatura corporal de cada empleado/agente/ visitante.
• La autoridad luxemburguesa Commission Nationale pour la protection des Données recomienda implementar acciones de prevención, acciones de información y capacitación y establecer instrucciones internas. Pero indica que no cabe exigir a los empleados que comuniquen diariamente una declaración de la temperatura de su cuerpo y que las organizaciones deben evitar incluso que los visitantes firmen una declaración previa por escrito que indique que no tienen síntomas o que no han estado viajando recientemente a un área de riesgo.
• La autoridad holandesa Autoriteit Persoonsgegevens es igualmente restrictiva, explicando que los empleadores normalmente no deberían sacar conclusiones sobre la salud de los empleados individuales. Sin embargo, puede pedirle al servicio de salud y seguridad ocupacional/médico de la compañía que haga esto.

No parece que en una situación de alarma y alarmante estos criterios en materia de tratamiento de datos de carácter personal sean de mucha ayuda para que los responsables y encargados del tratamiento puedan valorar medidas objetivas y efectivas de cara a frenar el contagio entre sus empleados y clientes con seguridad jurídica.

Veamos algunas problemáticas que se plantean al respecto en nuestro cuerpo normativo, en relación con las medidas de prevención efectiva para frenar contagios.

El artículo 21 de la Ley 31/1995, de prevención de riesgos laborales, exige al empleador que, cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo, de un lado informe lo antes posible a todos los trabajadores afectados acerca de la existencia de dicho riesgo y de las medidas adoptadas o que deban adoptarse en materia de protección y de otro lado, disponga lo necesario para que el trabajador que no pudiera ponerse en contacto con su superior jerárquico, ante una situación de peligro grave e inminente para su seguridad, la de otros trabajadores o la de terceros a la empresa, esté en condiciones, habida cuenta de sus conocimientos y de los medios técnicos puestos a su disposición, de adoptar las medidas necesarias para evitar las consecuencias de dicho peligro.

No Parece que en una situación de alarma los criterios de protección de datos sean de mucha ayuda para los responsables Valoren medidas objetivas y efectivas

Veamos un ejemplo práctico de lo anterior. Pongamos por caso un supermercado o una farmacia (establecimientos exceptuados al cierre en el estado de alarma decretado por el Gobierno) donde diariamente siguen accediendo personas. Si alguna persona (ya sea personal laboral, proveedores o clientes) en situación febril accede, pondrá en riesgo la salud no solo de otros trabajadores sino también de otros clientes que en el mismo momento estén efectuando la compra.

¿Cómo podría el empleador o incluso un trabajador del establecimiento detectar “una situación de peligro grave e inminente”?. Es bien sencillo.

El titular del establecimiento podría incorporar como medida preventiva el uso de una videocámara térmica que detecta la temperatura de las personas que entran en él (bien sean trabajadores, clientes o proveedores).

La medida parece razonable en una situación de pandemia, donde las consecuencias de que comercios como los indicados tuvieran que llegar a una situación de cierre por causa de contagio de los empleados no solo serían críticas para el propio comercio, sino también socialmente alarmantes. ¿Imaginamos que una farmacia de barrio tuviera que cerrar por contagio de su personal?

La instalación de un sistema termográfico por videocámara parece una medida proporcionada si de lo que se trata es de obtener un indicador sobre la presencia de una temperatura corporal elevada escaneando a las personas que acceden al local de forma que sea posible reconocer personas con una temperatura corporal elevada de forma rápida y fiable y separarlas para advertirles de la necesidad (i) de que no accedan al local y (ii) de se pongan en manos de los profesionales sanitarios para un control más exacto.

Esta solución que se ha puesto en marcha en otros países, incluidos centros de transporte, centros comerciales, bancos y otros lugares, tanto como medida de detección del virus en su momento álgido de expansión como para permitir una reanudación del trabajo segura y sin problemas, encuentra en Europa sus restricciones o casi podríamos decir, sus prohibiciones, a la vista de la posición adoptada por algunas autoridades de protección de datos en Europa.

Pero no hay que olvidar que, determinado tipo de instalaciones y negocios (centros comerciales, instalaciones deportivas, aeropuertos u otros) asumen una gran responsabilidad en relación con la prevención de expansión de la epidemia. Diría yo que hasta tienen una diligencia debida que les exige detectar, prevenir y reaccionar.

¿Dónde está el problema? Pues según parece, a criterio de las autoridades en materia de protección de datos, en el difícil equilibrio que existe entre los derechos fundamentales a la salud y a la protección de datos.

Así, el EDPB en la misma nota de prensa “Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19” incorpora una preguntas y respuestas relacionadas con el tratamiento de datos en el ámbito laboral como ¿Puede un empleador exigir a los visitantes o empleados que proporcionen información de salud específica en el contexto de COVID-19? ¿Se le permite a un empleador realizar controles médicos a los empleados? ¿Puede un empleador revelar que un empleado está infectado con COVID-19 a sus colegas o externos? ¿Qué información procesada en el contexto de COVID-19 pueden obtener los empleadores?

El problema esta en el DIFÍCIL Equilibrio que existe entre los derechos fundamentales a la salud y a la protección de datos

Para todas estas preguntas la respuesta común que el Comité da (al margen de algunos matices particulares) es que el empleador solo debe tratar los datos personales de salud de sus empleados en la medida en que la legislación nacional lo permita, lo requiera, o lo exija.

Dicho de otra forma, pese a que el RGPD se aprobó, entre otros fines, con el de armonizar la normativa de protección de datos para toda Europa, el Comité de Protección de Datos Europeo no ha encontrado una solución jurídica única y excepcional para que todos los países tengan un criterio común y flexible que permita con totales garantías en protección de datos adoptar medidas como la instalación de cámaras térmicas para control de la temperatura. Medida que por otro lado a los países asiáticos les ha sido muy útil para poner freno a la expansión de la epidemia.

Pero el EDPB hace una afirmación trascendental que podría servir de argumento a los países de la Unión: “El RGPD también prevé excepciones a la prohibición del tratamiento de ciertas categorías especiales de datos personales, como los datos de salud, cuando sea necesario por razones de interés público sustancial en el área de la salud pública (Art. 9.2.i), sobre la base de la legislación nacional o de la Unión, o cuando exista la necesidad de proteger los intereses vitales del interesado (artículo 9.2.c), ya que el considerando 46 se refiere explícitamente al control de una epidemia”.

Nuestra autoridad de control, la Agencia Española de Protección de Datos publicó un informe de los tratamientos de datos en relación con el Covid19 donde deja margen para explorar posibles medidas, advirtiendo en todo caso de lo siguiente:

• Serán estas autoridades sanitarias competentes de las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Lo anterior hace referencia, expresamente, a la posibilidad de tratar los datos personales de salud de determinadas personas físicas por los responsable de tratamientos de datos personales, cuando, por indicación de las autoridades sanitarias competentes, sea necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).
• Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo.

En este contexto, parece razonable decir que si se crea un entorno de medidas garantistas con los derechos de las personas afectadas, con la protección de sus datos y con los intereses vitales de las personas (esto es, el derecho a la salud), el tratamiento de datos personales es posible en el contexto laboral.

Pero plantea un límite en su documento de preguntas frecuentes sobre el tratamiento de datos en relación con el coronavirus donde se pregunta:

“¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?”

A lo que ella misma responde:

“Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario. En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.”

Salvo que la autoridad de control hiciera una interpretación más clara, parece que con esta respuesta se limita la posibilidad de implantar determinadas medidas, como el uso de cámaras térmicas asistidas por vigilantes de seguridad que tomen la temperatura de visitantes, proveedores y empleados a los centros de trabajo, dado que, obviamente, este personal no es personal sanitario.

Pero a falta de una interpretación más concreta, el sector de la seguridad privada debería defender algunos argumentos que sirven para la adopción de una conclusión distinta como la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los períodos de conservación limitados, la calidad de los datos y la protección de los datos desde el diseño, todo ello en el marco de lo establecido en el RGPD para  el tratamiento de salud en su artículo 9.2, párrafos c), g), h) e i) en conexión con el artículo 9 de la Ley 33/2011, de 4 de octubre, General de Salud Pública, que establece el deber de todas las personas de comunicar datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud.

Veamos a continuación algunas cuestiones en relación con estos principios:

• En primer lugar, los responsables del tratamiento deberían seleccionar y utilizar la tecnología aplicando el principio de privacidad desde el diseño y por defecto, de manera que dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar los datos personales (quedando solo en la imagen o forma luminosa visible con la escala de temperaturas) y dar transparencia a las funciones y el tratamiento de datos personales.
• En segundo lugar, los responsables del tratamiento deberían mantener la necesaria proporcionalidad en relación con la tecnología seleccionada y el recurso a la toma de temperatura por videocámara. Así, debería valorarse si la medida puede superar el juicio de proporcionalidad, cumpliendo la triple condición de idoneidad (la medida es susceptible de conseguir el objetivo propuesto que es prevenir la entrada de personas con síntomas positivos); necesidad (en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia, siendo más invasivas por ej. medidas como la toma de temperatura con termómetro de forma individual) y proporcionalidad, en sentido estricto, por derivarse de esta medida más beneficios o ventajas para el interés general (que en este caso es la salud) que perjuicios sobre otros bienes o valores en conflicto.
• En tercer lugar, el mismo principio también es aplicable a los criterios de acceso a los datos y el período de retención. Debería evitarse, por ejemplo, que los datos pudieran quedar grabados si ello no es adecuado al fin perseguido o en otro caso, garantizar que el plazo de retención de las imágenes no sea superior al legalmente establecido. Si bien en algunos casos un sistema que sólo permita la visualización de imágenes, sin necesidad de grabar, puede ser suficiente, en otros (dependiendo del análisis realizado) por ejemplo podría quedar justificado grabar las imágenes durante unas cuantas horas y borrarlas automáticamente, sin exceder nunca el final del día o, como mucho, el final de la semana o incluso llegando al plazo legalmente establecido de un mes.
• En cuarto lugar, igualmente debería valorarse si en algún caso pudiera tener que llevarse a cabo el intercambio de información con las autoridades competentes (sanitarias, laborales o de las fuerzas y cuerpos de seguridad) en cumplimiento de las obligaciones para los responsables del tratamiento.

Todo ello amén del cumplimiento del resto de obligaciones generales como la creación de un registro de actividades específico, el deber de información a las personas interesadas, la seguridad del sistema y la garantía de los derechos de las personas.

En definitiva, se trataría de dar solución al cumplimiento de la normativa en un contexto de pandemia como el que nos encontramos y sobre la base de una situación excepcional para garantizar no solo la salud laboral sino también la salud pública, en el marco de lo que establece el Considerando 46 del RGPD (tratamiento necesario para el control de epidemias y su propagación), permitiendo exclusivamente al personal de seguridad acceder a los datos objeto de tratamiento, personal que por cierto, de acuerdo con la Orden INT/318/2011, de 1 de febrero, está sujeto, entre otros principios básicos, según lo establecido en su artículo 31:

“a la guarda de una rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones, especialmente de las informaciones que reciba en materia de seguridad y de los datos de carácter personal que deba tratar, investigar o custodiar, y no podrá facilitar datos sobre dichos hechos más que a las personas que les hayan contratado y a los órganos judiciales y policiales competentes para el ejercicio de sus funciones”.

Visto todo lo expuesto, en mi opinión hay que confiar en que las empresas de seguridad privada aconsejarán a los responsables del tratamiento sobre la selección y uso de aplicaciones, servicios y productos que estén basados en el tratamiento de datos personales o que traten datos personales para cumplir la función de prevenir contagios de coronavirus teniendo en cuenta el derecho a la protección de datos y asegurando que, con la debida atención al estado de la técnica, los responsables y los encargados del tratamiento estén en condiciones de cumplir las obligaciones que les corresponden al amparo del RGPD y la LOPDGDD.

Este deber de diligencia que podríamos atribuir a las empresas de seguridad está en consonancia con el que la Agencia Española de Protección de Datos ya atribuyó al sector en la Guía de Videovigilancia editada en el año 2008, donde ya indicaba que “a las empresas de seguridad, tengan o no la condición de encargados, les compete el deber de asesorar a los particulares sobre la adecuación a la normativa de protección de datos de las instalaciones de videovigilancia”, y en sus recomendaciones finales igualmente explicaba que “la empresa de seguridad debería asesorar diligente y lealmente a quien requiera sus servicios incluyendo dicho asesoramiento en las cuestiones relativas a la normativa de protección de datos”.

La cuestión queda para el debate, ¿es la solución térmica para medir la temperatura del cuerpo humano una solución compatible con la normativa de protección de datos, la protección de la salud y el sector de la seguridad privada?. Se admiten opiniones.