El pasado 30 de abril la Agencia Española de Protección de Datos (AEPD) realizó un comunicado de prensa en el que se incluían consideraciones respecto a varios aspectos, todos ellos en relación con la implantación de medidas, sin el criterio previo y necesario de las autoridades sanitarias, de toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos, que suponen una injerencia intensa en los derechos de los afectados.
Esta comunicación se refiere con carácter general a cualquier proceso de toma de temperatura en los escenarios más probables en este periodo de mitigación del confinamiento y limitaciones a la movilidad y a la actividad social y económica.
En primer lugar se habla del tratamiento de datos personales sensibles. Se considera que la toma de temperatura es un dato de salud de las personas cuyo resultado puede dar lugar a determinadas asunciones, entre ellas una posible infección por coronavirus. Además, la posible denegación de acceso a un recinto desvelaría a terceras personas de modo injustificado datos sobre esa temperatura y una presunta infección por dicha enfermedad.
La Agencia también alude a los criterios bajo los cuales se podrían implantar estas medidas, que requerirían que el Ministerio de Sanidad, Consumo y Bienestar Social determinase previamente que son necesarias y adecuadas al objetivo de prevenir la diseminación de la enfermedad, así como la regulación de los límites y garantías específicos para el tratamiento de los datos personales de los afectados.
A continuación, explica cómo la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD), profundizando especialmente en el principio de legalidad (basarse en una causa legitimadora de las previstas por la normativa de protección de datos); también en el de limitación de la finalidad (utilización de estos datos exclusivamente con la finalidad de detectar posibles personas contagiadas e impedir el acceso a un lugar, de forma que no pueda haber contacto con otras personas); y en el de exactitud de los datos (utilización de equipos adecuados para la medición, con personal formado y con los requisitos legales pertinentes).
Por último, se concluye que tanto los derechos de los afectados como las demás garantías establecidas en el RGPD se siguen manteniendo. Así, se deberán tener en cuenta, por ejemplo, medidas relativas a la información de las personas afectadas por estos tratamientos (como trabajadores, clientes o usuarios) u otras para responder a las diferentes situaciones que se puedan presentar ante los resultados de la medición. También se señala como importante el establecimiento de plazos y criterios de conservación de los datos (si se registrasen), y subrayando que dicho registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.
Se puede consultar el comunicado de prensa completo en este enlace.