La AEPD recuerda que las cámaras térmicas para impedir el acceso a gente con fiebre pueden suponer un tratamiento de datos "sin legitimidad.Si un comercio conserva los datos de temperatura de sus clientes gracias a una cámara térmica, la AEPD considera que se produce un tratamiento de datos sin legitimación.
Por este motivo, el organismo de control podría proponer para sanción esta práctica. Las multas del GDPR son millonarias: hasta 20 millones de euros, o de hasta el 4% sobre la facturación del año anterior. Para que estos tratamientos sean legítimos, ayudaría que el Gobierno o las autoridades sanitarias se pronuncien. No ha sido así, pero algunas empresas están instalando las cámaras de todos modos. Las cámaras térmicas son una tecnología "muy intrusiva" y la Agencia Española en Protección de Datos (AEPD) es muy contundente: si algún establecimiento la usa para recabar y conservar datos biométricos de sus clientes "sin un proceso que esté lo suficientemente legitimado", la GDPR podría caer con todo su peso sobre los infractores.
La GDPR es el Reglamento Europeo de Protección de Datos que entró en vigor en 2018 y prevé multas en empresas de hasta 20 millones de euros o del 4% de la facturación total sobre las cuentas del ejercicio anterior. El coordinador de Relaciones Institucionales de la AEPD, Jesús Rubí, explica a Business Insider España que estas sanciones son algunas de las más "disuasorias" que recoge esta normativa. "No sería lo mismo un incumplimiento en una gran factoría de coches con miles de trabajadores que en un pequeño comercio o en una pyme. En esos casos, se modula incluso si hay sanción económica o no, o su cuantía. Es una situación completamente distinta y hay que ver cada caso", advierte Rubí.
Con estas palabras, la AEPD no cierra la puerta a la posibilidad de proponer sanciones en casos muy concretos en los que la instalación de cámaras térmicas hayan supuesto la vulneración del derecho a la protección de datos. La prematura implantación de estas cámaras térmicas no solo provoca un debate sobre posibles riesgos jurídicos. La tecnología de por sí también tiene ciertas lagunas.
Desde hace semanas, grandes empresas están instalando este tipo de tecnología para controlar los accesos. Hay un complejo debate jurídico sobre quién debe ejecutar este tipo de controles en los que se toma la temperatura. La propia AEPD planteaba, siguiendo directrices del Ministerio de Sanidad, que debería ser personal sanitario. Sin embargo, la Policía Nacional interpreta que los profesionales de la seguridad privada también están habilitados para estas funciones, según la respuesta a una consulta presentada a instancias de un sindicato. Jesús Rubí, de la AEPD, pide ahondar un poco más en la controversia. "En el organismo de control mantenemos el criterio de que hay que garantizar el derecho a la privacidad". Insiste en que esta tecnología es "más intrusiva, porque además hace reconocimiento facial, lo que implica el tratamiento de datos biométricos, es decir, categorías especiales de datos que exigen contar con garantías reforzadas".
A juicio de Rubí, implementar las cámaras técnicas para controlar el acceso a establecimientos comerciales —por ejemplo— debe hacerse con unas garantías muy explícitas y determinadas. Para eso, la AEPD lleva pidiendo desde hace semanas que se pronuncie el Ministerio de Sanidad. Del mismo modo, la Agencia advertía esta semana de que iniciará una campaña para recabar más datos sobre las apps que permitirán rastreos de contactos, ya que desde el Ejecutivo no se les ha provisto de información de ningún tipo.
Si estas cámaras tienen como fin "garantizar el control de la epidemia", entonces se ha de tener en cuenta, según Rubí, una orden ministerial de Sanidad que explicita que un caso sospechoso de positivo por coronavirus solo lo es por múltiples factores. En otras palabras: tener fiebre no significa tener el COVID-19."¿Qué se pretende con la captura de esta información? Identificar a una persona concreta para tomar una decisión sobre ella. Si uno va al supermercado y le deniegan la entrada estando rodeado de sus vecinos, se produce una segregación. Y la persona es identificable, porque le pueden pedir que se identifique, o porque sus vecinos le pueden reconocer", advierte Rubí.
Por esta razón, desde la AEPD entienden que hay que proceder con mucha cautela en el caso de que un establecimiento instale este tipo de tecnología para garantizar el acceso de personas sin síntomas de coronavirus. "Puede crear una falsa sensación de seguridad", apunta el técnico de la AEPD, que recuerda que muchos casos "son asintomáticos"."Puede suceder que este señor, cuando vuelva a casa tras haber sido identificado al intentar entrar en el supermercado, se encuentre en su puerta con un cartel de un vecino pidiéndole que se marche del bloque, tal y como le ha sucedido a varios profesionales sanitarios", lamenta.
En este caso, Rubí apunta que convergen 2 cuestiones "completamente distintas". "Denegar el acceso a un establecimiento no es un problema de protección de datos: concierne a las limitaciones y garantías del derecho de admisión, y es un tema de Consumo. Pero en el caso de que un establecimiento conservara esa información asociada a una persona, estaríamos hablando de que hay un tratamiento de datos especiales que no tendrían legitimación". Hoy por hoy, sin una orden expresa del Gobierno de Sánchez, instalar estas cámaras térmicas —y conservar los datos sobre la temperatura corporal de individuos— puede suponer que haya un tratamiento de datos —de datos además, especiales— "ilegítimo". Por esta razón, la AEPD podría iniciar "actuaciones de inspección y sanción" atendiendo al GDPR.
No hay comentarios:
Publicar un comentario