L’Agencia Española de Protección de Datos, preocupada per les mesures contra el Covid-19 que envaeixen la privacitat

3 maig, 2020

L’Agencia Española de Protección de Datos (AEPD) ha expressat recentment la seva preocupació en relació a algunes de les mesures que està impulsant el govern en la lluita contra el Covid-19 i que poden envair la privacitat dels ciutadans. Decisions com prendre la temperatura a les persones als comerços, centres de treball i altres establiments se estan adoptant, segons l’AEPD, “sense el criteri previ de les autoritats sanitàries”.

Per a l’AEPD que, per garantir que la tornada a la “nova normalitat” com la va qualificar el president de l’Estat espanyol, es facin controls de temperatura a consumidors i treballadors “suposa un tractament de dades personals que hauria d’ajustar-se a les previsions de la legislació corresponent”. Aquesta legislació conté apartats especifics que contemplen solucions com l’actual, al temps que permeten seguir aplicant els principis i garanties que protegeixen el dret fonamental a la protecció de dades”. El tractament de la presa de temperatura “és un injerència particularment intensa dels drets dels afectats”. D’una banda, perquè “afecta a dades relatives a la salut de les persones; no només perquè el valor de la temperatura corporal és una dada de salut, sinó perquè, a partir d’ell, s’assumeix que una persona pateix o no una malaltia concreta, com és en aquests casos la infecció pel coronavirus”.

D’altra banda, els controls de temperatura es preveu que es portin a terme amb freqüència en espais públics, de manera que “una eventual denegació d’accés a un centre educatiu, laboral o comercial estaria desvetllant a tercers que no tenen cap justificació per a conèixer que la persona afectada té una temperatura per sobre del que es consideri no rellevant i, sobretot, que pot haver estat contagiada pel virus”. En darrer extrem, i en funció del context en què s’apliqui aquesta mesura, “les conseqüències d’una possible denegació d’accés poden tenir un important impacte per a la persona afectada”, afirma l’AEPD.

Criteris d’implantació

L’aplicació d’aquestes mesures i el corresponent tractament de dades requeriria la determinació prèvia de l’autoritat sanitària competent, que ara com ara és el Ministeri de Sanitat. Adoptar aquesta decisió s’hauria de justificar en base a criteris de necessitat i adequació a l’objectiu de contribuir eficaçment a prevenir la disseminació de la malaltia en els àmbits en què s’apliquin, sempre, “regulant els límits i garanties específics per al tractament de les dades personals dels afectats”.

En aquest sentit, cal tenir en compte, entre d’altres, que segons les informacions proporcionades per les autoritats sanitàries, hi ha un percentatge de persones contagiades asimptomàtiques que no presenta febre; que la febre no sempre és un dels símptomes presents en pacients simptomàtics, en particular en els primers estadis de desenvolupament de la malaltia, i que, d’altra banda, pot haver persones que presentin elevades temperatures per causes alienes al coronavirus.

És per aquest motiu que l’Agencia Española de Protección de Datos demana que aquestes mesures s’apliquin només atenent als criteris definits per les autoritats sanitàries, tant pel que fa a la seva utilitat com a la seva proporcionalitat. És a dir, fins a quin punt està justificat el sacrifici dels drets individuals que les mesures suposen i fins a quin punt  podrien o no ser substituïdes, amb la mateixa eficàcia, per altres decicions menys intrusives.

D’altra banda, aquests criteris han d’incloure també precisions sobre els aspectes centrals de l’aplicació d’aquestes mesures. Així, per exemple, la temperatura a partir de la qual es consideraria que una persona pot estar contagiada pel Covid-19 hauria d’establir-se atenent a l’evidència científica disponible. No hauria de ser una decisió que assumeixi cada entitat que implanti aquestes pràctiques, perquè això suposaria “una aplicació heterogènia que disminuiria en qualsevol cas la seva eficàcia i podria donar lloc a discriminacions injustificades”, adverteixen els garants de la protecció de les dades personals.

El principi de legalitat

Com a qualsevol tractament de dades, la recollida de dades de temperatura s’ha de regir pels principis establerts en el Reglament General de Protecció de Dades (RGPD), començant pel respecte al principi de legalitat i a la regulació prevista al respecte per a les categories especials de dades (articles 6.1 i 9.2 de l’RGPD). En el cas de la comprovació de la temperatura corporal com a mesura preventiva de l’expansió del coronavirus, aquesta base jurídica no podrà ser, amb caràcter general, el consentiment dels interessats. Les persones afectades no poden negar-se a sotmetre’s a la presa de temperatura sense perdre, al mateix temps, la possibilitat d’entrar en uns centres de treball, educatius o comercials, o en els mitjans de transport als quals estan interessats en accedir-hi. Per tant, aquest consentiment no seria lliure, un dels requisits necessaris per invocar aquesta base legitimadora.

Pel que fa l’entorn laboral, la possible base jurídica podria trobar-se en l’obligació que tenen els ocupadors de garantir la seguretat i salut de les persones treballadores al seu servei en els aspectes relacionats amb el treball. Aquesta obligació operaria alhora com a excepció que permet el tractament de dades de salut i com a base jurídica que legitima el tractament. No obstant això, i addicionalment, el RGPD requereix també en aquests casos que la norma que permeti aquest tractament ha d’establir garanties adequades que han d’estar especificades pel responsable del tractament.

Aquesta base jurídica podria ser, tenint en compte un abast ampli, atenent al fet que, encara que un centre o local estigui destinat a unes finalitats específiques que impliquen que s’hi concentri un elevat nombre de clients o usuaris aliens a l’empresa que els gestiona, sempre seran presents en ells persones treballadores sobre les que l’ocupador manté les seves obligacions.

Aquesta aproximació, però, requereix d’una adequada ponderació entre l’impacte sobre els drets dels clients o usuaris d’aquestes mesures i l’impacte en el nivell de protecció de les persones empleades. Aquesta ponderació s’ha de basar en diferents factors. Abans de res, els criteris establerts per les autoritats sanitàries. Però també els relacionats amb el major o menor risc que es pugui produir en cada cas concret o en la possibilitat d’aplicar mesures alternatives de protecció per al personal. Per exemple, el risc serà menor en un establiment en el qual les persones ocupades estiguin físicament separades de la clientela que en un altre en què aquesta barrera física no existeixi o sigui més precària.

Limitació de la finalitat i l’exactitud de les dades

Entre els principis recollits en el RGPD, cal esmentar el de limitació de la finalitat de l’ús de les dades. Aquest principi suposa que les dades (de temperatura) només es poden obtenir amb la finalitat específica de detectar possibles persones contagiades i evitar el seu accés a un determinat lloc i el seu contacte amb altres persones. Però aquestes dades no han de ser usades per a cap altra finalitat. Això és especialment aplicable en els casos en què la presa de temperatura es faci utilitzant dispositius (com, per exemple, càmeres tèrmiques) que ofereixin la possibilitat de gravar i conservar les dades o tractar informació addicional, en particular, informació biomètrica.

De la mateixa manera, el principi d’exactitud implica que els equips de mesurament que s’emprin han de ser els adequats per registrar amb fiabilitat els intervals de temperatura que es considerin rellevants. Aquesta adequació s’hauria d’establir utilitzant només equips homologats per a aquestes finalitats i amb criteris que tinguin en compte aquests nivells de sensibilitat i precisió. El personal que els faci servir ha de complir els requisits legalment establerts i estar format en el seu ús.

Drets i garanties

Els afectats segueixen mantenint els seus drets d’acord amb el RGPD i  estan protegits per les garanties que el Reglament estableix, si bé adaptades a les condicions i circumstàncies específiques d’aquesta mena de tractament. En aquest sentit, haurien de considerar-se, entre d’altres, mesures relatives a la informació als treballadors, clients o usuaris sobre aquests tractaments (en particular si es produirà un enregistrament i conservació de la informació), o altres per permetre que les persones a les quals es detecti una temperatura superior a la normal puguin reaccionar davant la decisió de impedir-los l’accés a un recinte determinat (per exemple, justificant que la seva temperatura elevada obeeix a altres raons). Per a això, el personal haurà d’estar qualificat per valorar aquestes raons addicionals: això, o bé s’ha d’establir un procediment perquè la reclamació pugui dirigir-se a una persona que pugui atendre-la i, si escau, permetre l’accés.

És igualment important establir els terminis i criteris de conservació de les dades en els casos on es facin enregistraments. En principi, no s’haurien de registrar les dades,  llevat que pugui justificar-se suficientment davant la necessitat de fer front a eventuals accions legals derivades de la decisió de denegació d’accessos.

Finalment cal tenir en compte que, en funció de la tecnologia que s’empri, pot ser necessari prendre en consideració altres elements que tenen una especial incidència en una o altra d’aquestes diferents tecnologies. És el cas de les càmeres tèrmiques han de ser utilitzades prestant especial atenció als principis de limitació de finalitat i minimització de dades que estableix l’article 5.1 del RGPD.