Si nos ceñimos al criterio emitido por la Agencia Española de Protección de Datos (AEPD), aparentemente la respuesta fácil tendría sentido negativo:
“Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador (…)” (Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención).
Hemos visto durante estos últimos días varios artículos, posts e incluso denuncias ante la Inspección de Trabajo respecto a la posibilidad, más que inminente (de hecho, algunas empresas ya han comenzado a adoptar la medida), de que el personal de seguridad privada pueda o deba tomar la temperatura a los trabajadores en un control de accesos.
Desde aquí cuestionamos esta práctica, e intentamos arrojar algo de luz, aludiendo al informe 0017/2020, emitido por la Agencia Española de Protección de Datos (AEPD), y el posterior comunicado del 30.04.2020, relativo a la toma de temperatura en comercios, centros de trabajo y otros establecimientos.
La Agencia muestra su preocupación por la anunciada generalización del tratamiento de este dato sensible (la toma de temperatura corporal a una persona identificada es un dato de salud, pero ojo: sólo si podemos identificar o hacer identificable al interesado).
A nuestro juicio, se trata de una situación compleja, en la que, cuando menos, han de ponderarse tres normativas diferentes y complementarias (no siempre pacíficamente) entre sí:
La normativa de seguridad privada.
La normativa de prevención de riesgos laborales.
La normativa de protección de datos.
1. Según la normativa de seguridad privada.
Evidentemente, la normativa de seguridad privada no despeja la duda per se. Ningún artículo va a recoger la procedencia o conveniencia de que un vigilante de seguridad realice tomas de temperatura para controlar accesos a un determinado lugar.
Hemos de acudir, por tanto, a una serie de artículos concretos.
El primero de ellos determina que la protección de bienes, establecimientos, lugares y eventos, y personas que puedan encontrarse en los mismos es una actividad de seguridad privada.
Artículo 5 Ley 5/2014, de Seguridad Privada. Actividades de seguridad privada.
Constituyen actividades de seguridad privada las siguientes:
La vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto públicos como privados, así como de las personas que pudieran encontrarse en los mismos.
Por lo que podemos inferir que, cuando se contrata a una empresa de seguridad privada, una de las posibles funciones de ésta es proteger, en el más amplio sentido, tanto el patrimonio (bienes muebles e inmuebles) como a las personas.
Ahora bien, el artículo 32.1 de la Ley 5/2014 relativo a las funciones de los vigilantes de seguridad y su especialidad recoge que:
Los vigilantes de seguridad desempeñarán las siguientes funciones…
Ejercer la vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto privados como públicos, así como la protección de las personas que puedan encontrarse en los mismos, llevando a cabo las comprobaciones, registros y prevenciones necesarias para el cumplimiento de su misión.
Claro que esta protección está regulada en fondo y forma en la propia normativa precitada. De hecho, ante un control de accesos, la Secretaría General Técnica del Ministerio del Interior ha venido entendiendo, incluso con la derogada Ley 23/1992, que las funciones que necesariamente deben prestarse por vigilantes de seguridad (y no otras figuras laborales) son las siguientes:
El control de acceso cuando existan mecanismos de seguridad incorporados contra la comisión de infracciones.
El control de sistemas de seguridad contra la comisión de delitos y faltas (videos, monitores y alarmas).
La vigilancia y la seguridad activa de los bienes, con posibilidad de represión.
Nos servirá por tanto, como criterio, el contenido del Informe nº 2014/052 de la Unidad Central de Seguridad Privada, de fecha 27.06.2014, relativo a la consideración actual en materia de controles de accesos, en relación con la entrada en vigor de la Ley 5/2014, de Seguridad Privada, a petición de una Unidad Territorial de Seguridad Privada.
Informe UCSP:
“La Ley actual 5/2014 de Seguridad Privada, en su artículo 2.1, en relación con las definiciones y a los efectos de esta ley entiende por Seguridad privada: ‘el conjunto de actividades, servicios, funciones y medidas de seguridad adoptadas, de forma voluntaria u obligatoria, por personas físicas o jurídicas, públicas o privadas, realizadas o prestados por empresas de seguridad, (…) y personal de seguridad privada para hacer frente a actos deliberados o riesgos accidentales, o para realizar averiguaciones sobre personas y bienes, con la finalidad de garantizar la seguridad de las personas, proteger su patrimonio y velar por el normal desarrollo de sus actividades.”
Actividad compatible: lectura de temperatura con un termómetro.
Con la aprobación de la Ley 5/2014, de Seguridad Privada, hemos de remitirnos a un nuevo contexto, desconocido hasta ahora en el sector, en cuanto a las llamadas actividades compatibles (art. 6.2) que pueden realizar las empresas de seguridad privada –y cualquier otra empresa salvo que sean actividades estrictamente de seguridad–:
Quedan también fuera del ámbito de aplicación de esta ley, a no ser que impliquen la asunción o realización de servicios o funciones de seguridad privada, y se regirán por las normas sectoriales que les sean de aplicación en cada caso, los siguientes servicios y funciones:
Las de información o de control en los accesos a instalaciones, comprendiendo el cuidado y custodia de las llaves, la apertura y cierre de puertas, la ayuda en el acceso de personas o vehículos, el cumplimiento de la normativa interna de los locales donde presten dicho servicio, así como la ejecución de tareas auxiliares o subordinadas de ayuda o socorro, todas ellas realizadas en las puertas o en el interior de inmuebles, locales públicos, aparcamientos, garajes, autopistas, incluyendo sus zonas de peajes, áreas de servicio, mantenimiento y descanso, por porteros, conserjes y demás personal auxiliar análogo.
Las tareas de recepción, comprobación de visitantes y orientación de los mismos, así como las de comprobación de entradas, documentos o carnés, en cualquier clase de edificios o inmuebles, y de cumplimiento de la normativa interna de los locales donde presten dicho servicio.
El control de tránsito en zonas reservadas o de circulación restringida en el interior de instalaciones en cumplimiento de la normativa interna de los mismos.
Por lo tanto, puede admitirse una cierta discrecionalidad en cuanto a estas funciones, consistentes en la aplicación ordinaria relacionada básicamente con las normas de funcionamiento del establecimiento, pudieran ser asignados a personal propio o auxiliar, o a personal de seguridad privada, en atención a determinadas circunstancias.
La UCSP entiende en su referido informe que las áreas complementarias para cualquier negocio son imprescindibles y a menudo una clave para alcanzar el buen desarrollo y los objetivos empresariales.
Quiere esto decir lo siguiente:
El personal ‘auxiliar’ puede realizar cualquier tarea (ateniéndose a la normativa que resulte de aplicación), en un control de accesos, siempre y cuando no sea tarea exclusiva del personal de seguridad privada y por las razones exhibidas anteriormente –porque entonces sería un hecho sancionable para el primero–.
El personal de seguridad privada “puede” realizar cualquier actividad compatible, al igual que el personal ‘auxiliar’.
A nuestro juicio, contemplamos la realización de una toma de temperatura en el acceso o en el interior de una instalación, con un dispositivo (termómetro) como una tarea compatible más, de las relacionadas en el art. 6.2. de la Ley 5/2014, de seguridad privada.
La controversia: lectura de temperatura con una cámara termográfica.
El ya mencionado Informe de la UCSP determina:
“Hasta que, en el futuro desarrollo reglamentario de la Ley 5/2014, de Seguridad Privada, contemple una delimitación normativa entre ambos tipos de controles de accesos, los de seguridad, exclusivos para vigilantes, y los auxiliares, para otro tipo de personal, es criterio de esta Unidad establecer una diferenciación acorde a lo siguiente:
A tenor del artículo 32 de la Ley 5/2014 de Seguridad Privada, serán efectuados por Vigilantes de Seguridad, en el ejercicio de sus funciones, los controles de acceso de seguridad, cuando estos conlleven sometimiento a medidas de seguridad, tales como scanner, arcos detectores, raquetas de detección, controles biométricos, expedición de tarjetas de accesos con fotografía u otros similares, así como la posibilidad de controlar a las personas, en cualquier momento y lugar del sitio al que se accede, la capacidad de impedir el acceso o forzar la salida del mismo, todo ello cuando la finalidad principal o común sea la de proteger, prevenir o evitar la posible comisión de actos dañinos o delictivos,
Según establece el artículo 6.2.b, de la Ley 5/2014, se podrán realizar por personal ajeno a la seguridad privada, siempre que no impliquen la asunción o realización de servicios o funciones de seguridad privada, los controles de acceso auxiliares, como puedan ser, a modo de ejemplo: los controles documentales para el embarque en buques o aeronaves; para el acceso a determinados locales o productos a los menores de edad; para el pago con tarjetas; de visitas en inmuebles, despachos o consultas; para la asistencia sanitaria; para recoger a menores en la salida a guarderías o colegios; u otros de similar naturaleza a los citados, etc.
No obstante, estos servicios y funciones podrán prestarse o realizarse por empresas y vigilantes de seguridad privada, siempre con carácter complementario o accesorio de las funciones de seguridad privada que se realicen y sin que, en ningún caso, constituya el objeto principal del servicio que se preste.
Queda claro que cuando la UCSP habla de controles biométricos para evitar actos dañinos no se refiere al contagio vírico. Se refiere exclusivamente a daños susceptibles de tipificación penal, recogidos en el Código Penal.
Por lo tanto, y de momento, estas tareas ‘auxiliares’ de toma de temperaturas en los accesos, sea con termómetro o con otros medios, las podrían realizar:
Personal propio (empleados) de la instalación o propiedad, siempre y cuando no suponga la asunción de funciones de seguridad privada (y no lo son).
Personal ‘auxiliar’, perteneciente a empresa de servicios o ETT, subcontratada ésta por la instalación o propiedad, siempre y cuando no suponga la asunción de funciones de seguridad (y no lo son).
Personal de seguridad privada, habilitado, perteneciente a empresa de seguridad privada, contratada ésta por la instalación o propiedad, siempre con carácter complementario o accesorio de las funciones de seguridad privada que se realicen y sin que en ningún caso constituyan el objeto principal del servicio que se preste.
¿Y si la cámara termográfica está conectada a una C.R.A., a un Centro de Control propio o a un centro de videovigilancia?
Hay riesgo de caer en la trampa, y pensar que por estar conectada la cámara termográfica a un centro de control, ya es una medida de seguridad. Nos explicamos:
El art. 5.1 de la Ley 5/2014, de seguridad privada dice que también son actividades de seguridad privada:
La instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o a centros de control o de videovigilancia.
La explotación de centrales para la conexión, recepción, verificación y, en su caso, respuesta y transmisión de las señales de alarma, así como la monitorización de cualesquiera señales de dispositivos auxiliares para la seguridad de personas, de bienes muebles o inmuebles o de cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y Cuerpos de Seguridad competentes en estos casos.
Por otra parte, la Orden INT/316/2011, sobre funcionamiento de los sistemas de alarma en el ámbito de la seguridad privada, en su art. 1 dice lo siguiente:
Artículo 1 Ámbito material
Únicamente las empresas de seguridad autorizadas podrán realizar las operaciones de instalación y mantenimiento de aparatos, dispositivos o sistemas de seguridad y alarma, cuando estos pretendan conectarse a una central de alarmas o a los denominados centros de control o de video vigilancia que recoge el apartado primero del artículo 39 del Reglamento de Seguridad Privada.
De conformidad con lo dispuesto en el artículo 46 del Reglamento de Seguridad Privada, para conectar aparatos, dispositivos o sistemas de seguridad a centrales de alarmas o centros de control, será preciso que la instalación haya sido realizada por una empresa de seguridad inscrita en el Registro correspondiente y se ajuste a lo dispuesto en los artículos 40, 42 y 43 del citado Reglamento y a lo establecido en la presente Orden.
E incluso el art. 42 de la Ley 5/2014 de seguridad privada determina lo que es videovigilancia y lo que no:
Artículo 42 Servicios de videovigilancia
Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos, incluido cualquier medio técnico o sistema que permita los mismos tratamientos que éstas.
Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales.
No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control de accesos a aparcamientos y garajes, o las actividades que se desarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal distinto del de seguridad privada.
Entonces, ¿por qué pensar que una cámara termográfica debe ser instalada por una empresa de seguridad autorizada por el Ministerio del Interior? ¿Por qué pensar que la cámara termográfica, integrada en un centro de control, deba estar homologado o certificado como producto de seguridad para ser usado por el personal de seguridad privada Desvelamos la trampa:
El artículo 39 del Reglamento de Seguridad Privada (R.D. 2364/1994) refiere tal obligatoriedad solamente a sistemas de seguridad electrónica contra robo e intrusión.
El material (cámara termográfica) no forma parte de un sistema de alarma de los recogidos por la normativa de seguridad privada, por lo que no debe recoger ni grado de seguridad ni las características referidas en el artículo 3 de la Orden INT/316/2011.
El art. 42 de la Ley 5/2014 dice muy claramente, que “no tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes”. Tendremos muy claro que la cámara termográfica estará dispuesta única y exclusivamente para medir temperaturas (comprobar el estado de unos bienes, cuales son las personas), y no con otra finalidad de seguridad.
No obstante, las empresas reciben, en no pocas ocasiones, encargos para instalar cámaras que pueden afectar el derecho a la intimidad: instalar una cámara termográfica puede implicar la colaboración de la empresa instaladora en la comisión de un delito (art. 197 Código Penal).
Es por ello de especial relevancia cumplir, como no puede ser de otra manera, con la normativa de protección de datos, entre otras. Por otra parte, además de la responsabilidad penal, la empresa de seguridad privada podría ser objeto de sanciones previstas en la vigente Ley 5/2014, de Seguridad Privada (arts. 10, 57 Ley 5/2014).
Sin embargo, desde SIQURË estimamos que no aplicarían estas posibles sanciones según la normativa de seguridad privada, en tanto en cuanto no resultan aplicables, al considerar que la instalación y el visionado de la cámara termográfica están dentro de las actividades compatibles (art. 6 Ley 5/2014), y por tanto, fuera del ámbito de aplicación de esta Ley.
Otra cuestión es el deber de asesoramiento de la empresa instaladora a su cliente (cuya falta del propio asesoramiento sí es sancionable; art. 8 Ley 5/2014: “Los servicios y funciones de seguridad privada se prestarán con respeto a la Constitución, a lo dispuesto en esta ley, especialmente en lo referente a los principios de actuación establecidos en el artículo 30, y al resto del ordenamiento jurídico”), o las sanciones de la AGPD para el responsable del tratamiento o la encargada del mismo (empresa de seguridad), por sabidas.
2. Según la normativa de prevención de riesgos laborales.
Muchas son las obligaciones que recaen sobre el empresario en materia de prevención de riesgos laborales y que se contienen fundamentalmente en el capítulo III de la Ley 31/1995. Al enumerar las obligaciones empresariales, se parte de un amplio deber genérico de protección, correlativo al derecho del trabajador a una protección eficaz en materia de seguridad y salud en el trabajo, obligación del empresario concebida en términos máximos que se extiende a garantizar la seguridad y salud de los trabajadores en todos los aspectos relacionados con el trabajo.
Esta obligación genérica de contornos no definidos, hasta hacerla virtualmente ilimitada, debe ser precisada en aras de la seguridad jurídica, y a continuación desciende la Ley a concretar una serie de obligaciones más específicas, en las que se traduce el deber general de protección del empresario.
Se consideran bajo este epígrafe las obligaciones preventivas que debe adoptar todo empresario, con carácter general, cualquiera que sea la actividad de la empresa o las dimensiones de la misma.
Obligación de vigilancia de la salud.
El principio general contemplado en el artículo 22 de la Ley es que “el empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo”. Se trata de una obligación del empresario de carácter sanitario, a la que ha de dar respuesta con medidas y personal médico.
El término “vigilancia de la salud de los trabajadores” engloba una serie de actividades, referidas tanto a individuos como a colectividades y orientadas a la prevención de los riesgos laborales, cuyos objetivos generales tienen que ver con la identificación de problemas de salud y la evaluación de intervenciones preventivas.
La vigilancia de las enfermedades y lesiones de origen profesional consiste en el control sistemático y continuo de los episodios relacionados con la salud en la población activa con el fin de prevenir y controlar los riesgos profesionales, así como las enfermedades y lesiones asociadas a ellos.
La vigilancia de la salud, aunque es una actividad propia del ámbito de la Medicina del Trabajo, supone una relación de interacción y complementariedad multidisciplinar con el resto de integrantes del Servicio de Prevención.
Necesita nutrirse de informaciones producidas por otros especialistas y aporta, a su vez, los resultados de su actividad específica al ámbito interdisciplinar de la evaluación de riesgos y la planificación de la prevención.
Se trata de una actividad para la que debe ser de aplicación el párrafo segundo del art. 15.2 del Reglamento de los Servicios de Prevención relativo a coordinación interdisciplinar. La Vigilancia de la Salud, por tanto, debe cumplir los siguientes preceptos (art. 22 Ley 31/1995, de Prevención de Riesgos Laborales):
El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo.
Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. De este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
Relacionado con el COVID-19, entendemos que la vigilancia de la salud en este caso podría llegar a ser obligatoria en función de la evaluación de riesgos específica y en determinadas circunstancias, al constituir un peligro para él mismo o para terceros.
En todo caso se deberá optar por la realización de aquellos reconocimientos o pruebas que causen las menores molestias al trabajador y que sean proporcionales al riesgo.
Contenido ajustado a las características definidas en la normativa aplicable. Para los riesgos que no hayan sido objeto de reglamentación específica, la LPRL no especifica ni define las medidas o instrumentos de vigilancia de la salud, pero sí establece una preferencia por aquellas que causen las menores molestias al trabajador, encomendando a la Administración Sanitaria el establecimiento de las pautas y protocolos de actuación en esta materia.
Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.
Ética con el fin de asegurar una práctica profesional coherente con los principios del respeto a la intimidad, a la dignidad y la no discriminación laboral por motivos de salud.
Confidencial dado que el acceso a la información médica derivada de la vigilancia de la salud de cada trabajador se debe restringir al propio trabajador, a los servicios médicos responsables de su salud y a la autoridad sanitaria.
Los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados.
Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
En los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deberá ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.
Prolongada en el tiempo, cuando sea pertinente, más allá de la finalización de la relación laboral, ocupándose el Sistema Nacional de Salud de los reconocimientos post-ocupacionales.
Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada.
Realizada por personal sanitario con competencia técnica, formación y capacidad acreditada es decir por médicos especialistas en Medicina del Trabajo o diplomados en Medicina de Empresa y enfermeros de empresa.
Pero entonces, los vigilantes, ¿pueden tomar la temperatura?
En un post anterior, ya aludíamos a la imposibilidad, por parte de las empresas, de prever la pandemia por COVID-19.
Como hemos visto (siquiera por la improvisación a la que nos hemos visto abocados), la empresa puede tomar la temperatura si así lo determina el Ministerio de Sanidad (que en este tiempo de pandemia no lo hace), o el Servicio de Prevención de Riesgos Laborales, propio o ajeno, como resultado de la preceptiva evaluación de riesgo, de acuerdo con el Procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al Sars-Cov-2 (COVID-19) del Ministerio de Sanidad.
La AEPD no se pronuncia sobre la oportunidad ni proporcionalidad de la medida, y sólo atribuye al Ministerio de Sanidad la responsabilidad para exigirla o recomendarla, y de paso determinar las concretas circunstancias para su aplicación:
¿Hasta qué punto la toma de temperatura se puede aplicar para reducir contagios? ¿A partir de qué temperatura se debería impedir el acceso al centro de trabajo, puesto que la fiebre parece no ser siempre un indicativo de la enfermedad?
Para que el empresario pueda cumplir su obligación de vigilar el estado de salud de sus trabajadores, ha de contar con personal sanitario de reconocida competencia técnica, formación y capacidad acreditada (art. 22.6 de la Ley), generalmente especialistas en Medicina del Trabajo o Diplomados en Medicina de Empresa.
Sin embargo, las empresas están derivando esta función de control en el personal de seguridad privada (o en otras contratas), que si bien pueden tener una mínima formación en materia de primeros auxilios, no se puede considerar competencia técnica sanitaria.
Dicho lo cual, la resolución no es pacífica, en tanto en cuanto la empresa estaría externalizando en una empresa de seguridad (que no en un servicio de prevención ajeno) la vigilancia de la salud.
Sin embargo, y a juicio de SIQURË, parece que la mera toma de temperatura con un termómetro telemétrico o con una cámara termográfica no constituye vigilancia de la salud in strictu sensu, ni que requiera unas destrezas sanitarias como para requerir un técnico sanitario. Todos hemos tomado la temperatura a nuestros hijos sin necesidad de una especial preparación.
Otra cosa es que veamos la idoneidad, más por estética que por rigor legal, de que la toma de temperatura la realice un vigilante de seguridad. Todo depende del cómo se realice.
Y evidentemente, a efectos de PRL, deberán adoptarse todas las garantías, tanto por la empresa que decide hacer los controles, como por la empresa de seguridad, para que los vigilantes de seguridad tengan garantizadas las medidas de organización y los EPIs correspondientes para realizar su labor en las mejores condiciones posibles.
En cualquier caso, sí recomendaremos que el contrato entre empresa y subcontrata (empresa de seguridad) recoja, fundamentalmente, los aspectos previstos respecto al derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de sus datos, si éstos fueran registrados.
Según la normativa de protección de datos.
La normativa sobre protección de datos no impide la adopción de medidas para la prevención de la pandemia.
En este mismo sentido, el propio Reglamento General de Protección de Datos (RGPD) recoge distintos supuestos que podrían servir para legitimar el tratamiento de datos de los interesados (también de los trabajadores), incluidos los datos relativos a su salud, como son los tratamientos necesarios para proteger intereses vitales, aquellos tratamientos necesarios para el cumplimiento de obligaciones legales (como las derivadas de la legislación sobre prevención de riesgos laborales) y los tratamientos realizados por razones de un interés público esencial o en el ámbito de la salud pública.
La AEPD descarta el consentimiento y el interés legítimo empresarial como bases de legitimación.
Si el interesado quiere trabajar, o acceder al lugar que establezca el control de accesos, ese consentimiento no sería libre (por tanto, nulo).
También descarta, creemos que no muy claramente, el interés legítimo Probablemente, porque la finalidad empresarial no sea estrictamente tomar las temperaturas corporales o realizar la vigilancia de la salud (como sí lo sería para un servicio de prevención un tratamiento más intensivo y relevante de datos de salud).
Por lo tanto, la base jurídica que legitimaría el tratamiento de las temperaturas podría encontrarse en la obligación legal (aunque ninguna norma con rango de ley obliga a tomar la temperatura, ni siquiera la Orden SND/388/2020) que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo:
“(..) obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo”. (Art. 22.1 de la Ley de Prevención de Riesgos Laborales).
Con lo que la base de legitimación sería la de la obligación legal recogida en el art. 6.1.c) RGPD. También la Disposición adicional decimoséptima de la LOPDGDD, Tratamientos de datos de salud, aun con algunas salvedades, ampararía legalmente el tratamiento.
Esa obligación es a la vez la excepción que permite el tratamiento de datos de salud, recogida tanto en el art. 9.2.b) como en el 9.2.h) RGPD.
Art. 9.2.b) RGPD: “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.”
Art. 9.2.h) RGPD: “el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.”
También el Considerando (46) del RGPD, que reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.
(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -p. ej., el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público -art. 6.1.e)- o intereses vitales del interesado u otras personas físicas -art. 6.1.d-.
Deben por tanto cumplirse las garantías adecuadas, especificadas por el responsable del tratamiento (la empresa que determina la adopción de la medida de control de temperaturas).
Garantías a adoptar.
Ante esta situación, resulta osado contestar la cuestión planteada de manera general, siendo necesario analizar cada situación y asumir, en todo caso, cierto grado de riesgo en la decisión.
Si las cámaras y el personal de seguridad no graban, ni identifican, ni registran la imagen ni la temperatura, no se produciría un tratamiento de datos personales. Si se usan dispositivos que no permiten toma de datos ni registro, no estaríamos en el ámbito de protección de datos.
Dando por hecho que sí se realiza un registro, no debe olvidarse que la temperatura corporal es un dato relativo a la salud de las personas y, en consecuencia, queda comprendido entre las categorías especiales de datos a los que la normativa aplicable otorga un grado reforzado de protección.
Sin perjuicio de lo anterior, los empresarios serían los responsables de adecuar dichos tratamientos a los requerimientos legales del RGPD:
Evaluación de impacto. La idoneidad, necesidad y proporcionalidad de las diversas medidas, y sus circunstancias de aplicación deben ser el resultado de una “evaluación de impacto en privacidad” previa al inicio del tratamiento, ya que pueden concurrir los siguientes criterios de los previstos al efecto por la AEPD (y dos o más de ellos hacen obligatoria la evaluación de impacto):
Tratamientos que impliquen la monitorización o control sistemático y exhaustivo (criterio aplicable a controles sobre trabajadores).
Tratamientos que impliquen el uso de datos de categoría especial.
Tratamientos que impliquen la toma de decisiones automatizadas.
Tratamientos que impliquen el uso de nuevas tecnologías o el uso innovador de tecnologías consolidadas.
Tratamientos que impidan a los interesados ejercer sus derechos.
Transparencia: Recordemos que el art. 13 RGPD determina la información que deberá facilitarse cuando los datos personales se obtengan del interesado:
Identidad y los datos de contacto del responsable del tratamiento (la empresa que encarga la toma de temperaturas).
Los datos de contacto del delegado de protección de datos, en su caso.
Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, ampliamente expuestos anteriormente.
Los intereses legítimos del responsable o de un tercero; aspecto que ya hemos abordado.
Los destinatarios o las categorías de destinatarios de los datos personales, en su caso. Incluyendo, entre otras cuestiones, la cesión de la información a las autoridades sanitarias y/o los servicios de prevención para la adopción de las correspondientes medidas en materia de salud pública.
El plazo durante el cual se conservarán los datos personales.
Posibilidad de ejercicio de los derechos de acceso, rectificación, supresión, limitación de su tratamiento, oposición y portabilidad de los datos.
Derecho a presentar una reclamación ante una autoridad de control (AEPD).
Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
La posible existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, y las consecuencias previstas de dicho tratamiento para el interesado.
Toda esta información preceptiva de la medida a los trabajadores, clientes o usuarios sobre estos tratamientos podría realizarse mediante un cartel similar al de zona videovigilada:
En particular si se va a producir una grabación y conservación de la información, u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones).
Para ello, debe establecerse un procedimiento para que la reclamación pueda dirigirse a la empresa y el procedimiento de admisión al local.
Limitación de finalidad: Estos datos sólo se utilizarán con la finalidad de permitir o no el acceso al establecimiento centro de trabajo. Los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar; esos datos no deben ser utilizados para ninguna otra finalidad.
En el caso del trabajador positivo, debería ser remitido al servicio de prevención, para que tramite la baja o la aptitud para seguir trabajando.
En el caso de terceros (clientes, usuarios, proveedores) en un “centro o local destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona” (AEPD dixit), el empresario tiene esa obligación legal de garantía de seguridad y salud sobre los mismos.
A nuestro juicio, esta obligación legal de hacerse cargo de la seguridad de los terceros no provendría tanto de la figura de la corresponsabilidad en el tratamiento de los datos, sino de la coordinación de actividades empresariales (Real Decreto 171/2004, de 30 de enero, por el que se desarrolla el artículo 24 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, en materia de coordinación de actividades empresariales) y de tantas normativas que obligan al empresario titular del establecimiento a cuidar de sus ocupantes (actividades recreativas, espectáculos públicos, eventos deportivos, etc.).
Pero los usuarios o clientes no son necesariamente personas identificables por el mero hecho de tomar su temperatura, salvo que la empresa disponga de otros medios de control o de información adicional que le permita identificar a la persona sobre la que se está ejerciendo la toma de temperatura (registro de visitas, coordinación de actividades empresariales, etc.).
Encargo del tratamiento (a la empresa de seguridad).
El responsable del tratamiento debería elegir a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, conforme al RGPD (y a la normativa de seguridad privada) y garantizando la protección de los derechos del interesado.
El tratamiento por la empresa de seguridad (encargada del tratamiento) se regirá por un contrato escrito o electrónico, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable:
Siguiendo instrucciones documentadas del responsable.
Garantizando que los vigilantes se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad (los vigilantes lo están, por obligación derivada de la Ley 5/2014 y de la Orden INT/318/2011, sobre personal de seguridad privada).
Tomará todas las medidas necesarias de conformidad con el artículo 32 RGPD.
Asistiendo al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
Ayudando al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 RGPD.
A elección del responsable, suprimiendo o devolviendo todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimiendo las copias existentes (a menos que se requiera legalmente la conservación de los datos personales).
Minimización del tratamiento. Sólo se deberían captar los datos estrictamente necesarios para conseguir la finalidad, cual es preservar la salud de quienes pretender acceder al establecimiento. Es decir, sólo se debería tomar la temperatura, sin registrarla salvo que fuera obligado legalmente o se considerase estrictamente necesario.
Calidad, exactitud del dato: Como hemos avanzado, la medición debería realizarse por personal sanitario en tanto se considere la actuación como vigilancia de la salud.Ya hemos explicado anteriormente nuestras razones para no considerarlo como tal, habida cuenta de la no complejidad del acto en sí.Otra cosa es que el sistema de toma de temperatura (termómetro telemétrico, cámara termográfica) debe estar homologado y debe comprobarse con regularidad su exacto funcionamiento para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.Dicho de otra manera: la tarea del vigilante no debería influir en la exactitud de la toma; Habría que tener en cuenta el posible impacto que sobre los interesados tendría que la identificación de un posible indicador de la existencia de contagio resultara errónea, como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición.
Protección desde el diseño: La empresa responsable del tratamiento debería seleccionar y utilizar la tecnología aplicando el principio de privacidad desde el diseño, seudonimizando (quedando solo en la imagen o forma luminosa visible con la escala de temperaturas).
Criterios de acceso a los datos y período de conservación: Debería evitarse que los datos pudieran quedar grabados si ello no es adecuado al fin perseguido, o garantizar que el plazo de retención de los datos o las imágenes no sea superior al legalmente establecido.Se restringirá el número de personas con acceso al dato, y ha de borrarse del histórico –si es que se ha registrado- cuando ya no sea relevante (de nuevo, el plazo de conservación debería ser el mínimo determinado por el servicio de PRL).
Salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.
Confidencialidad: Aplicación de las medidas técnicas y organizativas habituales para los datos de categoría especial. Ya hemos abordado que las empresas y el personal de seguridad están sujetos normativamente a tal cuestión.
Responsabilidad proactiva: Documentación del cumplimiento en el caso concreto de todo lo anterior: cómo y por qué.
Proporcionalidad: Se debe seleccionar la tecnología menos intrusiva en relación con la intimidad del trabajador.
¿Qué es menos intrusivo? ¿Una cámara termográfica que detecte la temperatura a distancia o que un vigilante ponga un termómetro en la frente y no permita el acceso?
Este post ¿Pueden los vigilantes tomar temperaturas en un control de accesos? apareció originalmente en SIQURË Safety & Security.