El cambio a un sistema de control de acceso mediante tecnología termométrica e incluso de reconocimiento facial termográfico nos requiere, entre otras cuestiones, informar sobre la legitimación para tratar datos de salud y biométricos en el control de acceso, tal como informábamos en el post Privacidad del control de acceso termométrico y por reconocimiento facial termográfico

Legitimación para tratar datos de salud y biometricos en el control de acceso

Legitimación para tratar datos de salud y biometricos en el control de acceso

Partimos el tratamiento de datos de categorías especiales, entre ellos los de salud y los biométricos, están prohibidos (art. 9 GDPR). Sin embargo, se establecen algunas excepciones, entre las que para la finalidad de control de acceso, destacamos:

  • el consentimiento explícito.

En el caso concreto del control de acceso, podría implicar que hubiera quien no lo aceptara, luego no sería una medida de control de acceso uniforme.

  • el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del derecho laboral y de la seguridad y protección social.

Es decir, la obligación de los empleadores y de su personal en materia de prevención de riesgos laborales, que incluye también que el personal debe informar a su empleador, en caso de sospecha de contacto o síntomas líricos, con el fin de proteger su propia salud y la de los demás trabajadores del centro de trabajo.

Este criterio nos vale para legitimar el tratamiento de los datos de salud con el plazo de conservación limitado (mientras dure la pandemia) pero no indefinidamente y, en nuestra opinión, no acoge al tratamiento de datos biométricos.

  • el tratamiento es necesario por razones de un interés público en el ámbito de la salud pública, protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.

Teniendo en cuenta el Informe 0017/2020 de la AEPD, Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) y Ley 33/2011 General de Salud Pública, este tratamiento quedaría legitimado a las autoridades sanitarias y las entidades privadas que reciban una instrucción de las autoridades sanitarias indicando que adopten una concreta acción preventiva.

Ahora mismo no existe como tal una instrucción que requiera la obligación de implantar sistemas de toma de temperatura, ni cámaras termográficas como medida, con lo que – a nuestro entender – la implantación por parte de entidades privadas no tendría cabida bajo esta causa de legitimación.

  • el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías requeridas.

Esto supondría el tratamiento de datos de salud mediante personal sanitario, no mediante herramientas basadas en control de temperatura y/o biometría facial gestionadas, de forma automatizada, generalmente por personal de seguridad.

  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento que, no es al menos el caso general.

Tratamiento de datos de salud como obligación legal del empleador en prevención de riesgos laborales.

En definitiva, entendemos que si se quiere implantar el control de accesos con toma de temperatura en una entidad privada, el tratamiento de datos de salud con la finalidad de asegurar su derecho a la protección de la salud y evitar contagios (sin recoger el consentimiento explícito) estaría únicamente legitimado en base al cumplimiento de una obligación legal del empleador en la prevención de riesgos laborales de su personal.

No obstante, conviene recordar que aun en estas situaciones de emergencia sanitaria como la del Covid-19, los tratamientos de datos personales obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello los principios de licitud, lealtad y transparencia, limitación de la finalidad (en este caso exclusivamente, salvaguardar los intereses de las personas ante esta pandemia y contener la propagación de la enfermedad), exactitud, minimización de datos y conservación de los datos no más del tiempo necesario para tal finalidad

Como vemos, hasta aquí, salvaríamos el tratamiento de datos de salud.

Para el tratamiento de datos de salud y biométricos es necesario realizar un estudio más profundo de evaluación de impacto para la protección de datos de los interesados, así como cumplir otras tareas que identificamos en nuestro post  Privacidad del control de acceso termométrico y por reconocimiento facial termográfico

Elece Legal puede ayudarte a asegurar la legalidad del sistema de control de accesos en tu organización.