A veces, algo que puede parece terriblemente sencillo puede complicarse más allá de lo imaginable. Es curioso, porque a la Adaptación, Consultoría y Auditoría de Protección de Datos se dedican cientos de empresas de todo tipo, lo que podría llevar a pensar que se trata de un asunto de la menor dificultad e importancia. No obstante, en momentos como este, en el que una pandemia conduce a la sociedad a buscar la forma de limitar su contagio mediante todas las tecnologías posibles. Una situación en la que se debate sobre priorizar privacidad frente a salud pública y la salvaguarda de las garantías adecuadas.
Una de las medidas más mediáticas y a la vez de mayor controversia es el control de acceso mediante la lectura de la temperatura corporal. Podríamos discutir sobre la Legitimación, pero sería perder el tiempo porque precisamente el Artículo 9.2 del RGPD lo permite, siempre que utilicemos las garantías adecuadas, como ha ocurrido siempre. Podríamos discutir si una temperatura superior, igual o inferior a una concreta supone directamente capacidad de contagiar una determinada enfermedad. Se trata de dar la seguridad necesaria a los afectados.
En el momento en el que realizamos una inferencia por la que se puede asignar a una determinada persona una enfermedad, esto supone un dato de salud, que se considera “dato especialmente protegido” con la actual Normativa. Este tipo de información requiere unas garantías de protección todavía mayores. Aunque claro… hay Autoridades Nacionales de Protección de Datos que nos muestran su disconformidad sobre esta afirmación:
En Francia, CNIL, al mismo tiempo que prohíbe la medición de temperatura corporal mediante sistemas que registren esa información salvo que se presenten normas excluyentes: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les
En Holanda:https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/corona/temperaturen-tijdens-corona
La diferencia de criterio viene marcada por el Artículo 2 de RGPD y LOPDGG, que acota el ámbito de aplicación de esta Normativa. El detalle que ahora nos ocupa reside en el 2.1: “El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”, entendiendo fichero como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”, según el Artículo 4 del propio RGPD.
Por ejemplo, un circuito cerrado de videovigilancia, sin grabación de las imágenes y/o sonidos, estaría dentro del ámbito de aplicación de la Normativa, por tratarse de datos automatizados. Sin embargo, la simple lectura mediante un termómetro que no guarde ninguna identificación del interesado de su temperatura corporal no formaría parte del objeto del RGPD ni LOPDGDD.
No obstante, en el Comunicado de la Agencia Española de Protección de Datos del pasado 30 de abril (https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos) se deslizaba un motivo por el que a esta información, que a una determinada persona a la que se le ha realizado una lectura de temperatura corporal mediante soportes manuales y cuya información no formase o fuese a formar parte de un fichero a la que se le haya impedido el acceso a unas instalaciones por este motivo quisiese interponer algún tipo de reclamación, sí vuelva a ser objeto de aplicación.
Por este motivo, debemos prever las consecuencias de este control de acceso pensando en aquellas personas a las que se les vaya a denegar el acceso y vaya a documentarse más allá de una hoja de reclamaciones, implantando aquellas medidas que ofrezcan al interesado todas las garantías posibles, desde la información hasta la posibilidad de ejercicio de sus derechos.
