martes, 16 de junio de 2020

Es pertinente revisar la validez del control de temperatura que se viene exigiendo para el ingreso a oficinas, centros comerciales o edificios residenciales, considerando que dicho mecanismo implica la recolección de datos personales a la luz de la Ley 1581 de 2012 y supone un acceso al ámbito privado de las personas.

Si bien la ley autoriza la recogida de datos en caso de urgencia médica o sanitaria, es necesario recordar que los datos de la salud caen bajo la categoría de datos sensibles, esto es, datos que afectan la intimidad de las personas y tienen la potencialidad de ser usados para discriminar.

El asunto eleva grandes preocupaciones, pues la toma de temperatura usualmente se realiza sin el soporte de una política de privacidad y en zonas abiertas al público, lo que implica que transeúntes no autorizados podrían terminar accediendo a información personal, exponiendo al titular a una situación de potencial discriminación.

Así, probablemente en la mayoría de las ocasiones y por los afanes del día a día, la persona accede sobre la marcha a ser examinada, presionada por el deseo de ingresar al lugar, lo que dista de claramente de un consentimiento libre e informado.

Es factible que el titular no se represente en ese momento que el dato de una temperatura alta, le daría acceso inmediato a las personas solicitantes a otros datos sensibles, como son el estado de posible enfermedad y la circunstancia de que dicha enfermedad sea probablemente coronavirus, de lo que ineludiblemente se desprenderían otras consecuencias.

Por ello, luego de un análisis integral de las leyes y la doctrina, estimamos que para entender que la toma de temperatura como control de acceso a establecimientos públicos o privados se ajusta al ordenamiento jurídico, se deben cumplir las siguientes reglas y principios:

1. Principio de finalidad y temporalidad. La obtención se tendrá que limitar estrictamente al dato de la temperatura, entendiendo que han de obtenerse sólo los datos necesarios para conseguir el objetivo de proteger la salud. Los datos se deben mantener solo por el tiempo de la emergencia y luego tendrán que ser destruidos o anonimizados.

2. Principio de circulación restringida. No podrán entregarse los datos a terceros, salvo en lo puramente necesario para el fin perseguido.

3. Consentimiento. Si bien el establecimiento podría negar el acceso de que quien rechace al control de temperatura, el titular debe tener total claridad de que tiene el derecho a negarse a la práctica del mismo y, en todo caso, debe conocer la política de privacidad -a la par del protocolo de bioseguridad- antes de que se le practique el control respectivo (lo cual aplica aún si en un primer momento se pide el nombre de la persona).

4. Principio de necesidad. Si el objetivo de proteger la salud se puede conseguir con mecanismos menos invasivos de la privacidad, no se puede usar el control de temperatura.

5. Utilidad y proporcionalidad. El control de temperatura sólo será aceptable si es útil a la finalidad legítima de proteger la salud y siempre que su utilización sea proporcional al objetivo señalado. Otros mecanismos igualmente útiles y menos invasivos de la privacidad deberán preferirse.

6. Seguridad y confidencialidad. El establecimiento debe asegurarse que cuenta con dispositivos y aplicativos idóneos para la práctica del examen y el recaudo de la información de forma segura y confidencial.

7. Garantías y personal idóneo. Tomando en cuenta las recomendaciones del reciente comunicado de la Agencia Española de Protección de Datos, y estando de por medio una valoración sobre una situación de salud de las personas, a todas ellas se les debe garantizar su derecho de oponerse a las conclusiones a las que se arribe luego del control de temperatura, lo que implica que se debe contar con personal idóneo para ese trabajo.