Data PrivacyGDPR

COVID-19 Control de temperatura y de interacciones humanas.

¿Es legítimo y legal utilizar sistemas técnicos de control de temperatura y de interacciones humanas ?

El utilizar sistemas técnicos para controlar la sintomatología y las interacciones humanas, es legítimo (legal) por las siguientes razones:

  • Porque el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. ( GDPR art. 9.2.c).
  • Por el interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial ( GDPR art. 9.2.g).
  • Específicamente debido a las obligaciones legales dictaminadas en el Estado de Alarma de España y en la «nueva normalidad» según el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19. (GDPR Art. 6).
  • Por el cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (GDPR art. 9.2.b). El informe 2020-0017 de la AEPD recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.

¿En este sentido puedo instalar un sistema técnico para detectar la temperatura de las personas, o incluso medir las distancias y comprobar si llevan máscaras o se encuentran en riesgo?

Sí. Ya hemos comentado que es completamente legítimo el tomar la temperatura con esta finalidad, y ello es extensible a cualquier tipo de sistema técnico, como medir las distancias, comprobar si una persona lleva una máscara o la identificación de una situación de riesgo. Esto es aplicable en establecimientos hoteleros, centros comerciales, restaurantes, cines, edificios públicos, transporte, retail y en general en espacios donde el movimiento de personas es relevante y sea necesario un control adecuado.

En todo caso, el tratamiento de los datos obtenidos a partir de sistemas técnicos debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, manteniendo los datos no más del tiempo necesario para la finalidad para la que se recaban.

Cortesía de Beabloo Interaction Care © . Más info en https://www.beabloo.com/interaction-care/

Entonces, si mediante sistemas técnicos controlo esta información de las personas, ¿qué debemos hacer para cumplir la normativa de Protección de datos?

  1. Primero tener claro que la finalidad sea esta y no otra, utilizando los datos con este motivo y no para otro. 
  2.  Definir y ejecutar un tiempo de conservación.
  3.  Informar al afectado en una primera información (capa 1) similar a los carteles de videovigilancia.
  4. Documentar el tratamiento en política/privacidad para empleados y/o clientes (deber de informar, capa 2).
  5. Documentar con detalle el tratamiento (registro de actividades de tratamiento, documentación interna). Si por ejemplo la organización ha desarrollado su protocolo sanitario y lo ha hecho público para sus clientes o empleados, este sería un lugar idóneo para publicar su política de privacidad.
  6. Analizar los riesgos en un informe de evaluación de impacto
  7. Definir e implementar el rol y las funciones del Delegado de Protección de datos.
  8. Tener en cuenta el derecho de acceso de los afectados a esta información que las personas podrían ejecutar, los otros derechos (oposición, supresión, olvido, limitación, etc.) no se pueden aplicar en este tratamiento
  9. Proteger los datos (medidas de seguridad sobre el sistema de información que lo trate)
    1. Identificación y autenticación de los usuarios que deban acceder a la información.
    2. Garantizar la disponibilidad y la integridad con copias de seguridad y otros procesos de respaldo.
    3. Con encargados de tratamiento (como proveedores del sistema de información) firmar acuerdos de tratamiento con estos terceros y valorar la seguridad del servicio del proveedor. (Verificar la firma de contrato y validación de medidas de seguridad aplicadas con el proveedor. (software propio o de terceros, medidas de seguridad en la base de datos y en la capa de aplicación, ubicación del alojamiento, cadena de suministro con terceros) en general información muy detallada del cumplimiento GDPR que podría acompañarse también de una evaluación de impacto.)
    4. Si se considera necesario realizar una formación/concienciación al personal que trata los datos
    5. Auditar/evaluar el cumplimiento de estas medidas en un plazo razonable tras la implantación del proceso

Y si soy proveedor de estas soluciones ¿qué debo implementar en mi producto y servicio?

Un proveedor que suministre este tipo de soluciones se sitúa legalmente como «Encargado de tratamiento» y derivado de ello deberá realizar una seria de acciones, siempre con la perspectiva de seguridad en el diseño y por defecto:

  • Firma de contrato de encargo de tratamiento, según el Art. 28 del GDPR
  • Documentar el registro de actividades, detalle de los datos personales que el servicio/producto trata.
  • Implementar en el producto y servicio medidas de seguridad de cara a la confidencialidad (control de acceso lógico), integridad, trazabilidad, etc.
  • Documentar y hacer llegar al cliente su política de seguridad, medidas técnicas-organizativas para garantizar la seguridad de la información.
  • Implementar otros procesos derivados del contrato y de su política de seguridad (acuerdos con terceros, acuerdos con usuarios, análisis de riesgos del producto, certificaciones de seguridad, procesos relacionados con potenciales solicitudes de derechos de acceso por los afectados)

En general debe facilitar al cliente (responsable del tratamiento) toda la información relacionada con el cumplimiento GDPR del servicio. En algunos casos si es el cliente es administración pública o dispone de elementos de direccionamiento de seguridad hacia sus proveedores la certificación en ISO 27001 y en Esquema Nacional de Seguridad, puede convertirse además de en una ventaja un requerimiento.

COVID-19 Digital Solutions. Cortesía de https://www.healthxl.com/

Toni Martín Ávila es Delegado de Protección de datos certificado por la AEPD, actualmente desarrolla servicios de DPO externo para diversas organizaciones en el ámbito de la salud, sector hospitalario y prevención de riesgos laborales. El contenido de este documento es una recopilación ordenada de documentación publicada por la AEPD, en informes jurídicos, noticias y respuestas en su canal de atención al ciudadano y a DPDs, junto a conclusiones personales y prácticas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *