Son muchas y de mucho calado las dudas existentes alrededor de la «nueva normalidad» a la que ya debemos progresivamente acostumbrarnos tras la etapa de confinamiento permanente a la que la población se ha visto sometida desde la declaración del estado de alarma.
En este contexto, las empresas y organizaciones están irremediablemente abocadas a tomar medidas de prevención para que sus empleados, clientes y todas aquellas personas que acudan sus establecimientos se encuentren protegidas ante la situación de emergencia sanitaria en la que desgraciadamente todavía nos encontramos.
Una de las medidas que generalizadamente se ha venido adoptando en las últimas semanas es el control de temperatura de todas estas personas, de forma y manera que, si algún empleado, cliente o visitante se encuentra en un estado febril, no podrá acceder al interior de las dependencias de la empresa u organización.
Ahora bien, ¿existe conflicto normativo en torno a la adopción de esta decisión empresarial?; ¿se trata de una medida proporcionada?; ¿se encuentra legalmente justificada?
1.- NORMATIVA EN CONFLICTO
Evidentemente, la toma de temperatura corporal implica acceder a una información personal que a la empresa interesa obtener para determinar si las personas que acceden y, en su caso, permanecen varias horas al día en la organización presentan un estado febril, como síntoma indiciario de haber contraído coronavirus.
Dicha información personal quedará registrada en los ficheros o bases de datos de la empresa u organización (en orden a poder justificar la prohibición de entrada) y, consecuentemente, pasará a conformar una actividad de tratamiento a la que habrá de aplicarse la normativa de Protección de Datos de carácter personal.
Por su parte, la medida se adopta principalmente con la intención de prevenir que los empleados se contagien de COVID-19, en el marco del deber empresarial de promover la seguridad y la salud de los trabajadores previsto en la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (en adelante, LPRL).
Sin perjuicio de lo anterior, lo cierto es que esta medida resulta efectiva no solo para proteger a los trabajadores, sino también al resto de personas que accedan a la empresa, por lo que con la misma no se estaría persiguiendo únicamente cumplir con el deber empresarial de asegurar la salud e integridad física de los trabajadores en el centro de trabajo, sino también un interés colectivo superior, como es evitar la propagación del virus entre la ciudadanía.
En cualquier caso, la determinación de la legalidad de la medida de toma de temperatura, en tanto que sistema de promoción de la seguridad y la salud en las dependencias empresariales, pasa necesariamente por analizar si la misma supera los criterios de licitud para el tratamiento de datos de carácter personal.
2.- BASES DE LEGITIMACIÓN DE LA MEDIDA
2.1.- Previsiones de la normativa de Protección de Datos
Es cierto que la vigente normativa de Protección de Datos regula un supuesto en el que los datos relativos a la salud de las personas (como los que se refieren a la temperatura corporal de los individuos) pueden ser tratados sin contar con el consentimiento de los interesados y de acuerdo con una serie de exigencias a las que ahora se hará alusión.
Sin embargo, dada la novedad y excepcionalidad de la medida que nos ocupa, la normativa de Protección de Datos no contiene ninguna previsión sobre los requisitos de proporcionalidad que han de concurrir en este supuesto concreto, como sí ocurre en otros casos (como, por ejemplo, al regular el tratamiento de imágenes personales captadas por medio de sistemas de videovigilancia).
Por su parte, conviene aclarar que la obtención del consentimiento de las personas que accedan a la empresa, a la hora de recabar los datos relativos a su estado febril, no se postula como una solución eficaz para dotar de licitud al tratamiento. Y es que, en aplicación del art. 4.11 RGPD, dicho consentimiento debe ser libre, específico, informado e inequívoco, y ello implica que acreditar la concurrencia de todos estos requisitos resulte verdaderamente complicado. Consecuentemente, es recomendable atender a otras bases de legitimación para dotar de licitud a esta medida.
Así, una de estas bases alternativas podría ser la prevista en el artículo 9.2.h) del Reglamento General de Protección de Datos (en adelante, RGPD), por cuanto que este precepto establece que los datos relativos a la salud pueden ser objeto de tratamiento cuando el mismo sea «necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario».
2.2.- Previsiones de la Ley de Prevención de Riesgos Laborales
La adopción de la medida de toma de temperatura corporal, en particular, de los trabajadores, debe realizarse, en cualquier caso, teniendo en cuenta las previsiones que realiza el artículo 22 de la LPRL, que regula una serie de exigencias para llevar a cabo una vigilancia de la salud de los trabajadores de acuerdo con la legalidad y, en particular, respetando el derecho a la protección de datos de los mismos:
«1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo.
Esta vigilancia solo podrá llevarse a cabo cuando el trabajador preste su consentimiento. De este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
En todo caso se deberá optar por la realización de aquellos reconocimientos o pruebas que causen las menores molestias al trabajador y que sean proporcionales al riesgo.
El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.
Pues bien, como se acaba de ver, este artículo recoge una regulación pormenorizada de los requisitos que deben concurrir para que la vigilancia de la salud de los trabajadores sea ajustada a la legalidad y respetuosa de la privacidad de las personas; conectando ello con la habilitación legal regulada en la normativa de Protección de Datos antes vista y aplicable al supuesto de la toma de temperatura corporal de las personas en las dependencias empresariales.
Además, este artículo de la LPRL prevé una serie de medidas procedimentales, entre las que destacan, por su importancia:
2.3.- Conexión entre ambas normativas
En atención a todo lo anterior, se podría pensar que es posible concluir que las empresas estarían habilitadas para tomar la medida relativa a la toma de temperatura corporal en la medida en que, a este respecto, de las letras c) y d) del artículo 6.1 RGPD se desprende que un tratamiento de datos será lícito, sin necesidad de contar con el consentimiento del interesado, cuando:
Sin embargo, el análisis no es tan sencillo y la solución no es tan clara, directa y diáfana como pudiera parecer, pues no basta con escudarse de forma generalizada en la conexión existente entre la normativa de Protección de Datos y la LPRL, sin realizar un juicio de proporcionalidad de conformidad con una interpretación conjunta de las especificidades que se prevén al respecto en ambos sectores normativos, el cual se pasa a detallar en el siguiente epígrafe.
3.- REQUISITOS DE PROPORCIONALIDAD
Al respecto del juicio de proporcionalidad referido, se debe tener en cuenta que la legislación, la jurisprudencia y la doctrina en materia de Protección de Datos vienen sosteniendo desde hace años que cualquier tratamiento de datos personales (más si cabe si se trata de datos de categoría especial, como los relativos a la salud), conlleva, con independencia de cuál sea la base legal del mismo (esto es, incluso cuando se cuente con el consentimiento del interesado debidamente recabado), la necesidad de realizar un juicio de proporcionalidad para comprobar si dicho tratamiento es necesario para alcanzar el interés perseguido y si las medidas adoptadas son las adecuadas para asegurar que la intromisión en los derechos a la vida privada de los individuos es mínima.
Así, la Sentencia del Tribunal Constitucional núm. 186/2000, de 10 de julio, determinó que, «para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumplen los tres requisitos o condiciones siguientes:
Por tanto, el Tribunal Constitucional exige la concurrencia de una serie de requisitos para determinar si la adopción de una concreta medida que implique un tratamiento de datos personales resulta proporcional, esto es, ajustada a la legalidad; así, tal medida debe ser: idónea, en el sentido de que sea válida para la finalidad perseguida; necesaria, en tanto que no exista una medida alternativa y menos invasiva para alcanzar tal finalidad; y ponderada o equilibrada, lo cual precisa que el fin perseguido con la medida reporte más beneficios para el interés general que perjuicios para otros intereses en conflicto.
4.- SOBRE EL ANÁLISIS DE LEGALIDAD DE LA MEDIDA DE TOMA DE TEMPERATURA CORPORAL
Vistos los tres requisitos de proporcionalidad exigibles para el tratamiento de datos de carácter personal, parece claro que la toma de temperatura corporal de las personas que tengan acceso a la empresa u organización supera los dos primeros requisitos, de idoneidad y de necesidad, toda vez que:
a). Se trata de una medida de utilidad para la finalidad perseguida, consistente en prevenir contagios, tanto de los trabajadores (cumpliendo así con la LPRL), como del resto de personas que accedan a las dependencias de la empresa, como se indicó antes.
b). La fiebre es un síntoma indicativo de la posibilidad de haber contraído COVID-19. En este sentido, resulta obvio que la toma de temperatura realizada por el empresario no solo es el método más rápido y sencillo de comprobar si una persona que accede a sus dependencias tiene alguno de los síntomas de la enfermedad, sino también la más moderada (pensemos que la intromisión que se produce consiste únicamente en comprobar la temperatura corporal con un aparato electrónico que mide la temperatura al instante, sin necesidad de tomar muestras biológicas como ocurre con otro tipo de pruebas).
En consecuencia, resta determinar si esta medida supera el tercer requisito, de ponderación, esto es, el control de proporcionalidad en sentido estricto. Para ello, el Tribunal Constitucional, como ya se ha indicado, explicita que la medida debe ser «ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto».
En este punto, se debe apuntar que la Agencia Española de Protección de Datos (AEPD) emitió un Comunicado el pasado 30 de abril de 2020, al respecto de la práctica de toma de temperatura corporal en las empresas (que ya se ha extendido en buena media en nuestro país). En dicho Comunicado expresó «su preocupación por este tipo de actuaciones, que suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias».
Así, la AEPD ha realizado un llamamiento a las autoridades sanitarias para que se pronuncien al respecto y que, de este modo, determinen de la forma más objetiva posible, en tanto que órganos competentes, si la medida de toma de temperatura corporal en las empresas resulta equilibrada y proporcional.
Sin embargo, las autoridades sanitarias no se han pronunciado al respecto, motivo por el cual han de ser las propias organizaciones las que determinen, según su situación particular, dónde se encuentran los límites legales a la hora de adoptar esta medida.
Para ello, resulta esencial contar con un asesoramiento adecuado e individualizado, en atención a la posición del interesado y en función del sector empresarial, el destino que se den a los datos recabados y los efectos que todo ello pueda producir (esto es, tras la realización de la correspondiente evaluación del impacto que esta medida supone para la privacidad de las personas). Y ello al objeto de evitar las cuantiosas multas previstas en el RGPD que, no olvidemos, continúan acechando a las empresas.
Desde el Departamento de Protección de Datos de LEALTADIS ABOGADOS le trasladamos nuestra entera disposición para dotarle de asesoramiento jurídico al respecto de la implementación de esta medida de prevención en el seno de su organización y, en particular, en lo que se refiere al impacto que la misma puede producir sobre los derechos de las personas afectadas y a la adaptación de la normativa a su caso particular.
Germán Serrano Rodríguez
Abogado y Delegado de Protección de Datos
Departamento de Protección de Datos
