La medida de prevención de contagio de coronavirus que más está siendo adoptada en los edificios públicos, establecimientos comerciales y oficinas es la medición de temperatura corporal para detectar posibles casos a partir del síntoma de la fiebre. Es una medida de profilaxis básica que puede ser tomada con la simple utilización de un termómetro de mano pero que en lugares con mayor afluencia de personas resulta más útil de realizar mediante cámaras termográficas que registran la temperatura corporal.
La ventaja de este sistema de cámaras termográficas radica en que mediante conectividad IoT y apps se pueden establecer alertas y seguimientos que resulten menos invasivos y que entorpezcan menos el flujo de personas.
Sin embargo, este control de un dato sensible relativo a la salud ha generado muchas dudas y recelos sobre si vulnera el derecho a la privacidad y cómo debe realizarse el tratamiento de esos datos personales. En este artículo vamos a resolver todas tus dudas.
La salud pública frente al derecho a la privacidad de los trabajadores
En una nota informativa publicada por la propia AEPD (ver enlaces abajo) deja bien claro que la recogida de esos datos se realizará para cumplir con las autoridades sanitarias y que la protección de datos no debe obstaculizarla:
“Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia”.
Es más, la Agencia Española de Protección de Datos explica que la toma de esos datos es en realidad una obligación del empresario:
“los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).”
La AEPD advierte, eso sí, que se tratarán los datos con proporcionalidad y con el único fin de prevenir los contagios. Además, como explica el Consejo General de la Abogacía (ver abajo):
“las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”.
Aspectos a tener en cuenta al usar cámaras termográficas para detectar el COVID-19 en lugares de trabajo
Como insiste la AEPD, “Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario”. Sobre este último punto, la experta en seguridad Ana Marzo reflexiona en cuadernosdeseguridad.com sobre si “la solución térmica para medir la temperatura del cuerpo humano una solución compatible con la normativa de protección de datos, la protección de la salud y el sector de la seguridad privada” y argumenta que “se trataría de dar solución al cumplimiento de la normativa en un contexto de pandemia como el que nos encontramos y sobre la base de una situación excepcional para garantizar no solo la salud laboral sino también la salud pública, en el marco de lo que establece el Considerando 46 del RGPD (tratamiento necesario para el control de epidemias y su propagación), permitiendo exclusivamente al personal de seguridad acceder a los datos objeto de tratamiento”.
Ejemplo de imagen tomada de cámaras termométricas
Las cámaras termográficas no son material sanitario
Para poder concluir sobre las cuestiones que más preocupan entorno al GRPD y el uso de cámaras que miden la temperatura, es importante tener en cuenta estos detalles:
- Las cámaras termográficas no son material médico, y por tanto de cara a hacer una evaluación médica o similar, esto debería ser hecho por el personal adecuado y con el material adecuado
- Las cámaras termográficas, representan un primer filtro para poder proceder a un proceso más en detalle (médico o no, a discreción de cada empresa) en el que se tomen medidas con aquellos casos ‘sospechosos’ de tener una temperatura elevada.
- No existe una regulación específica para este tema de COVID y cámaras térmicas
- Las soluciones tecnológicas cumplen por definición con el GDPR, el cómo se usan las soluciones y los datos, es lo que hace que se cumpla o no GDPR.
A qué obliga el GDPR en cuanto a cámaras de vigilancia
En este sentido de GDPR, es responsabilidad de la compañía (del cliente):
- Comprobar cómo se almacenan los datos, dónde y cómo se garantiza la privacidad.
- Decidir si se graban los datos o no (podrían sólo emitirse alarmas para después tomar una decisión o proceso sin grabar datos). Fuera de emitir una alarma, la compañía debe decidir si graba los datos para aplicar otra serie de procesos posteriores e informa a sus cliente de, cómo es dicho almacenamiento, cómo es el tratamiento y cómo aplica dicho proceso.
- Decidir si se informa o no a los clientes y empleados de que hay una zona donde se está grabando (debería informarse).
- Decidir si el vigilante de seguridad sólo accede a grabaciones. Por normativa en las cámaras de seguridad, es el vigilante el que puede acceder a las grabaciones, aunque aquí hay una ventana gris, dado que una pantalla que el vigilante tiene delante la ve en tiempo real y además no ‘suele’ haber forma de garantizar que dicha pantalla no la ve, por ejemplo, la persona de recepción.
- Decidir qué proceso se hace una vez se ha identificado un posible caso de temperatura elevada. Como no se consideran dispositivos médicos, alguien, con un dispositivo médico y con una cualificación, debería evaluar el siguiente paso si es que se toma la decisión de evaluar un siguiente paso.
En definitiva, la detección en sí de una temperatura anormal, sin estar asociada a otro tipo de datos y sin que sean grabados, no parece representar en sí mismo una vulneración del GRPD, si se cumplen el resto de protecciones a la privacidad. Pongamos un ejemplo muy gráfico: Supongamos que en un edificio público donde ya hay instaladas cámaras de vigilancia, el vigilante puede detectar que está entrando alguien con un pasamontañas atendiendo a la interpretación del espectro de la luz solar. Incluso un sistema de reconocimiento facial podría hacerlo por inteligencia artificial y hacer saltar una alarma a seguridad para que se acerquen a comprobar si es eso lo que está pasando. La cámara sólo da una interpretación de dicho espectro de la luz en una imagen. El tratamiento, la decisión y qué se hace con ese dato es responsabilidad de la empresa.
