I.
Consideraciones previas sobre el Derecho a la Protección de Datos
Han pasado ya casi tres años desde la publicación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018). Dicha ley orgánica, tiene como objetivo principal adaptar el Derecho interno español al Reglamento Europeo General de Protección de datos 2016/679, que bajo la misma temática compele a todos los Estados Miembro a su aprobación e implementación en su marco normativo respectivo.
La utilización de una figura jurídica como el Reglamento europeo, y no de la Directiva, como ha ocurrido en anteriores ocasiones, ya nos da una idea de que lo que se pretende no es sólo una mera armonización, que deje a los Estados miembros libertad para la trasposición de lo regulado en la Directiva, sino alcanzar una verdadera homogeneidad en el ámbito de la Unión Europea en una materia tan sensible como la protección de datos personales de los ciudadanos europeos.
Este derecho a la protección de datos personales ha adquirido autonomía respecto a otros derechos con los que presenta evidentes conexiones como el derecho a la intimidad, o al honor. En la evolución del derecho a la protección de datos personales hacia un derecho autónomo e independiente ha contribuido de un modo esencial la jurisprudencia del Tribunal Constitucional, especialmente la sentencia 292/2000, de 30 de noviembre, haciendo que este derecho la protección de datos adquiriera la posición de derecho fundamental autónomo con respecto a la intimidad (Fernández López, 2003, p.37-38).
Dentro de la sentencia anteriormente citada, en concreto en los fundamentos jurídicos quinto y sexto, se encuentra el argumento jurídico que emplea nuestro Alto Tribunal para, a partir del art. 18.4 de la Constitución (LA LEY 2500/1978), que establece un mandato a los legisladores para garantizar el honor y la intimidad frente a los avances de la informática, alcanzar a deducir la existencia de un nuevo derecho fundamental a la protección, desligado del derecho a la intimidad, ya que entre otros aspectos, mientras la intimidad protege la esfera íntima, el ámbito objetivo del derecho a la protección de datos es cualquier información, privada o no, que identifique o pueda hacer identificable al sujeto. Por otro lado, mientras que el derecho a la intimidad es un derecho reactivo, que entra en juego una vez producida la intromisión no consentida, el derecho a la protección de datos es más preventivo, de tal forma que otorga a su titular una serie de facultades para evitar acciones ilícitas.
Como resume muy eficazmente Martínez Martínez (2007), este derecho fundamental establece un haz de garantías a los datos de los interesados, de tal forma que estos puedan prestar consentimiento tanto para la recogida como para el uso, acceso, rectificación y cancelación de sus datos.
II.
Los caracteres generales de los datos en el entorno educativos
Si hay algo que resulta evidente es el hecho de que los datos son el instrumento más importante de la protección de datos, el bien más preciado y sobre lo que gira el conjunto de esta rama jurídica. Los datos, y así lo expresa la AEPD (1) , es toda la información relativa a una persona física, el afectado o interesado, que ha de estar identificada o ser identificable. Los medios de identificación pueden ser varios como, por ejemplo: el nombre, elementos de la identidad física, número de identificación, salud física o mental, datos de localización, fotografías, etcétera. Dichas fuentes o medios de identificación revelan información tanto de conocimiento público, como aquellas más referentes al ámbito personal e íntimo.
El ámbito educativo no es ajeno a las formulaciones generales, pues se pueden encontrar también varios afectados en el ambiente educativo, aunque resulta más preciso centrarse en dos tipos afectados diferentes en la protección de datos escolar. Por un lado, los datos personales referentes a los menores y por otro, los datos personales referentes a los progenitores, padres o tutores sujetos a la patria potestad del menor. Asimismo, y en distintas condiciones se encuentran los datos personales de tutores, profesores o personal de la administración educativa y del centro.
Aunque los dos tipos de afectados que se han citado anteriormente son importantes, ha de notarse el celo con el que la normativa comunitaria, el Reglamento (UE) 2016/679 (LA LEY 6637/2016) del Parlamento Europeo y el Consejo, vela por una protección específica cuando los afectados son menores de edad, pues así lo expresan en su considerando 38.
Su motivación se basa en la idea de que los menores son menos conscientes de los riesgos y consecuencias que tienen sus propios datos personales. Es por ello, por lo que la propia normativa comunitaria establece que serán los titulares de la patria potestad quienes deban dar el consentimiento para la utilización de esos datos, salvo para los casos de servicios preventivos o de asesoramiento ofrecidos directamente al niño.
El recorrido de los datos inicia desde el momento en el que el menor va a ingresar en el centro y finaliza su uso cuando el alumno concluye los estudios. En dicho recorrido se entrelazan varios datos, de diferentes interesados y con distintas finalidades bajo un único pretexto: la educación del menor.
El ámbito educativo no sólo se atiene al hecho de educar al alumno, pues también queda interconectado a otros espacios, como son: el uso de comedores y otros servicios ofrecidos por el centro, las actividades extraescolares que complementan la formación, los servicios de gestión y administración del centro, entre otros, y todos estos espacios también necesitan datos personales de los interesados para actuar conforme a derecho.
En definitiva, los datos que se van a tratar son los que, de su conocimiento, permitan identificar a una persona y que, además, dichos datos tengan que ser imprescindibles para lograr la finalidad buscada por los centros educativos.
III.
Los datos de especial sensibilidad en los centros educativos. Importancia de los datos médicos
Queda constatado por lo anteriormente mencionado que la finalidad del tratamiento de datos no es otra que la identificación de una persona. Sin embargo, para ciertas situaciones es necesario requerir de datos que están revestidos de una especial sensibilidad, y se atribuyen dichos calificativos debido a los múltiples bienes jurídicos que se conectan y afectan estos datos mentados.
Estos datos siguen temáticas que se encuentran fuertemente protegidas, constitucionalmente hablando, en la normativa nacional, tales como: la política, religión, salud o genética, entre otros. Por ello, a que versen sobre materias especialmente protegidas, son datos que deben tener un especial fortalecimiento y rigor en su tratamiento.
Ejemplo de ello son datos tan personales como pueden ser los datos sanitarios, que tienen una presencia simultánea de multitud de bienes jurídicos que le son afectables; el derecho al honor, a la intimidad, el derecho a la vida, la integridad física y la protección de la salud. (Hidalgo Cerezo 2017). Si a esta ecuación se le añade el factor en el cual los datos pertenecen a alumnos menores de edad, el rigor protocolario en dicho tratamiento se intensifica.
En los datos sobre la salud de los alumnos es necesario encontrar una base jurídica legitimadora de obtención y tratamiento en el contexto educativo
En los datos sobre la salud de los alumnos es necesario encontrar una base jurídica legitimadora de obtención y tratamiento en el contexto educativo. Su fundamento se sostiene en los artículos 15 (LA LEY 2500/1978) y 43 CE (LA LEY 2500/1978), donde se vela por el derecho a la salud y la integridad física del alumno durante las funciones educativas; haciendo conocedor al centro de posibles enfermedades, intolerancias, alergias o discapacidades, para salvaguardar la integridad física y mental del menor (Art. 15 CE (LA LEY 2500/1978)). Asimismo, se recogen los datos sanitarios de los menores que durante su período escolar han necesitado tratamiento médico u orientación psicopedagógica.
Por consiguiente, la normativa nacional, en firme consolidación con el Reglamento Europeo establece que los datos que se obtengan en los centros educativos han de ser adecuados y pertinentes para las labores educativas, intentado no extralimitarse ni excederse en recabar datos. En definitiva, cumpliendo los principios de proporcionalidad e idoneidad de su obtención, así como con el principio de minimización que impone que sólo se recopilen aquellos datos imprescindibles y necesarios para la finalidad pretendida.
IV.
Las imágenes de los menores en el contexto educativo. Ejemplo particular del consentimiento
La misma línea argumental del caso anterior se mueve en el ejemplo del consentimiento y tratamiento de las imágenes de los menores dentro del contexto educativo. Antes que nada, entiéndase que en el contexto educativo entra, tanto las fotografías realizadas por el centro en sus labores educativas, como aquellas imágenes realizadas dentro de las actividades extraescolares como, por ejemplo, las actividades realizadas por las distintas AMPA’s (2) de los centros.
En general, el precepto constitucional que brinda protección jurídica y da el control al titular sobre la captación y posterior difusión de sus imágenes y en general sobre cualquier rasgo que lo identifiquen o permitan su identificación, ya sea su imagen, voz, o cual otra cosa que lo pudiera hacer identificable, es el derecho a la propia imagen, el cual se recoge en el artículo 18.1 CE (LA LEY 2500/1978) junto al derecho al honor y a la intimidad personal y familiar.
En el ámbito educativo generalmente se sigue una línea similar a los conceptos generales, pues para la captación y utilización de dichas imágenes es necesario contar con el consentimiento expreso del titular o de aquellas personas que ejerzan la patria potestad o tutela en el caso de menores de edad o incapacitados.
El tratamiento de las imágenes anteriormente mencionado puede tener escenarios diferentes con arreglo a la función educativa; Cuando la recopilación de datos e imágenes sea necesaria para el ejercicio de la función docente o cuidado del menor no se requerirá consentimiento, siendo en el momento de la matriculación del alumno, cuando el centro informa que dentro de su función educativa se procederá a la captación de imágenes o útiles videográficos. Sin embargo cuando se trate de imágenes de los alumnos en actividades fuera de la función educativa, sí se requerirá el consentimiento expreso de los padres, tal y como sería el caso, por ejemplo, de incluir imágenes de los alumnos en la página web del colegio para promocionar actividades extraescolares de los alumnos o fiestas escolares.
Por tanto, la función educativa brinda de autonomía a las Administraciones educativas para la captación y tratamiento de los datos, siempre velando con los objetivos de proporcionalidad y necesidad de la medida.
V.
La regulación del tratamiento de datos en el entorno escolar. El comienzo de la figura del delegado de protección de datos en las instituciones educativas
Una vez constatado que el derecho a la protección de datos personales viene regulado y protegido tanto por el RGPD como por la Ley 3/2018 de protección de datos (LA LEY 19303/2018) y garantía de derechos digitales, la siguiente cuestión que se plantea a nivel práctico es quien se encarga de velar por la efectividad de este derecho. Son varias las figuras jurídicas que expone la Ley Orgánica y que se clasificarán a continuación de forma generalizada para poder aplicarlas al contexto educativo.
La figura que presenta la Ley Orgánica en cuanto a la organización del tratamiento es el encargado de protección de datos. Así lo expresa en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), cuando define a dicho encargado como un sujeto físico o jurídico que debe determinar las medidas técnicas y/u organizativas que sirvan para poder garantizar el efectivo tratamiento de los datos, así como velar por las normas en desarrollo de dicha materia y la legislación sectorial aplicable. En otras palabras, el encargado es el sujeto que con sus conocimientos y rigor jurídico trata los datos personales del alumnado bajo el mandato del responsable del tratamiento, siendo éste último sobre el que recaerá la responsabilidad.
Por su parte, el responsable del tratamiento de protección de datos se regula en el artículo 33 de la ya expuesta Ley Orgánica. El responsable del tratamiento es aquel sujeto físico o jurídico que determina la finalidad de los datos personales que quiere obtener y, por consiguiente, sobre él repercute la responsabilidad de la utilización de estos mismos. En este apartado es necesario resaltar que, aunque el tratamiento de dichos datos corresponde al responsable del tratamiento, éste mismo puede delegar su función en un encargado del tratamiento mediante un contrato, convenio o acto jurídico análogo. En el caso de que se contrate con un tercero externo (ya sea persona física o jurídica) el tratamiento o cualquier otra gestión de datos personales y ello implique la comunicación de datos a este tercero, no constituye una cesión de datos, ya que se enmarcaría dentro de una relación contractual a la que deben someterse ambas partes.
Dicho de una manera simplificada, el responsable del tratamiento ostenta la labor del tratamiento de datos personales, y es responsable directo de los problemas que atenten contra los derechos y libertades que quedan expuestos tras la cesión de los datos. Sin embargo, el mismo responsable puede transferir a un tercero su labor de tratamiento de datos a un encargado, que, mediante un contrato o acuerdo, queda supeditado a las funciones del responsable. Aunque esta transferencia de funciones pueda ser cierta, la responsabilidad última seguirá recayendo en el responsable del tratamiento.
Aplicando dichas premisas en el contexto educativo, las instituciones educativas, que gozan de cierta autonomía para estos aspectos, serán las responsables del tratamiento de los datos del alumnado que consideren útiles y necesarios para la labor educativa. Por lo general, dichas instituciones van a delegar el tratamiento de los datos ante un tercero que organice y de un adecuado tratamiento a dichos datos. Por ende, la institución educativa tiene la responsabilidad de escoger diligentemente al ya encargado del tratamiento de datos.
La actual normativa sobre Protección de Datos y Garantías Digitales trae consigo varias reformas respecto de los anteriores textos jurídicos, como son las valoraciones de riesgo, la supresión de la obligatoriedad de elaboración de ficheros de datos de carácter personal o reformas en el consentimiento de los interesados al tratamiento de datos. pero entre dichas reformas se encuentra la inclusión de la novedosa figura del Delegado de Protección de Datos (DPD).
El delegado de protección de datos supervisa las acciones realizadas por los encargados y responsables para velar por la protección jurídica de los datos personales
El Delegado de Protección de Datos, regulado en el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), es la figura que supervisa las acciones realizadas por los encargados y responsables del tratamiento, y que, de igual modo, asesora e informa a los mismos para el correcto cumplimiento y conocimiento de las normativas estatales y europeas sobre protección de datos. Se podría decir que el delegado de protección de datos supervisa las acciones realizadas por los encargados y responsables para velar por la protección jurídica de los datos personales. Además, servirá de enlace entre el responsable o encargado del tratamiento y los titulares de los datos objeto de tratamiento.
La normativa estatal es clara en cuanto a la imposición de esta figura en el plano educativo. Así lo expresa en el artículo 34.1 b) de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018), cuando determina que esta figura es obligatoria para los centros docentes, públicos o privados, de cualquiera de los niveles regulados en la legislación sobre educación.
Una vez más se denota que la legislación vigente protege con mucho recelo los derechos y libertades implicados tras la cesión de datos de los interesados. La imposición del delegado de protección de datos no es más que otro muro para la contención de problemas que podrían ocasionarse por una mala actuación de protección, impidiendo que las actuaciones no sean acordes a la legislación vigente.
VI.
La protección de datos en los centros docentes durante la pandemia del COVID
La situación creada como consecuencia de la declaración de pandemia producida por el llamado COVID 19 también ha afectado muy profundamente a la protección de datos personales. Ya es habitual que en la entrada de los colegios se tome la temperatura a los alumnos antes de acceder a las aulas. Por otro lado, las Comunidades Autónomas han fijado protocolos de actuación que marcan las pautas que deben seguirse cuando se adviertan casos de COVID en los centros docentes.
Los datos que a este respecto se van a manejar son datos de salud, que están considerados datos especialmente sensibles en el art. 9 del RGPD (LA LEY 6637/2016) por lo que se deberán extremar las precauciones en su tratamiento por parte de los centros docentes.
Como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, —como por ejemplo el cumplimiento de una obligación legal previsto en el art. 6.1.c) RGPD (LA LEY 6637/2016) (para el empleador en la prevención de riesgos laborales de sus empleados)—, el RGPD reconoce explícitamente misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).
Sin embargo, al tratarse de datos especialmente sensibles el art. 9 del RGPD (LA LEY 6637/2016) establece la prohibición de tratamiento de este tipo de datos a menos que se den algunas de las circunstancias recogidas en el apartado segundo de este citado art 9. La justificación para ello las podemos encontrar en el apartado 9.2 g), 9.2 i) y 9.2h).
En el artículo 9.2h) se hace referencia a la posibilidad de tratar datos sensibles entre los que están los datos de salud cuando sea necesario por motivos de interés público esencial. En el apartado i) del citado artículo también se permite el tratamiento de dichos datos cuando sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social y por último en el apartado i) también se legitima cuando el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública. Por lo que se puede deducir, que el tratamiento de datos de salud en el marco de la pandemia COVID 19 se puede basar en cualquiera de las situaciones previstas en el art. 9.2 g), 9.2i) y 9.2h) y siempre de acuerdo con las pautas designadas por las autoridades sanitarias correspondientes.
Adicionalmente el considerando 46 del Reglamento de Protección de Datos abre otra puerta de legitimación al tratamiento de este tipo de datos al disponer lo siguiente: «El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. […] ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.».
También en la legislación nacional encontramos una base de legitimación en el art. 3 de la Ley Orgánica 3/ 1986 de medidas especiales de salud pública que dispone que «con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible»,
Una vez que se ha aclarado que el tratamiento de datos de salud en los centros docentes podría estar legitimado en la protección de intereses de salud pública o en la necesidad de preservar la salud del propio afectado o de terceras personas como pueden ser las del resto de los alumnos o las del personal que trabaja en el colegio haremos referencia a una de las principales medidas que se suelen establecer como es la toma de temperatura al acceder cada día a la escuela.
VII.
La toma de temperatura en los colegios
En la situación de pandemia provocada por el virus SARS COV 2 y como medida que ayuda a la identificación de personas contagiadas y evitar así la propagación de la enfermedad, se ha generalizado en la mayoría la toma de temperatura de los alumnos antes de acceder al centro docente. La temperatura corporal de una persona no deja de ser un dato de salud, por lo que sería lícito preguntarse si realmente está sometido a las previsiones que sobre este tipo de datos considerado sensible se recoge tanto en el RGPD como en la Ley Orgánica 3/2018 de protección de datos (LA LEY 19303/2018) personales y de garantías de derechos digitales.
A este respecto resulta muy esclarecedoras las ORIENTACIONES emitidas por el Supervisor Europeo de Protección de Datos (en adelante SEPD) respecto a la toma de temperatura. En este documento, el SEPD, distingue dos situaciones:
-
• Toma de temperatura sin ningún tipo de registro de datos, con lo que no sería posible identificar al afectado en ningún momento posterior. Tal sería el caso de la toma de temperatura con termómetros analógicos o digitales sin que se registre ningún dato después. Este tipo de actuación no representa ningún problema ya que al no haber ningún tipo de registro de datos no le sería aplicable la legislación de protección de datos.
-
• Toma de temperatura con registro de datos. En este caso, si se estará sometió al Reglamento Europeo de Protección de Datos y a la Ley 3/2018 de Protección de datos personales (LA LEY 19303/2018) y de garantías de derechos digitales.
En este último supuesto, el SEPD establece una serie de pautas que podríamos resumir en las siguientes:
-
• La independencia de los sistemas de control de temperatura. Lo que viene a concretarse en que dichos sistemas no deberán estar vinculados a ninguna otra forma de control, en especial cámaras de videovigilancia o cualquier otro método que permita verificar la identidad de la persona objeto de control.
-
• Los resultados de la temperatura deben ser tomados en tiempo real, verificando que no se graben ni almacenen dichos
-
• Respeto al principio de finalidad y exactitud de los datos, lo que implica que la información recabada sólo podrá ser utilizada con el objetivo de detectar posibles contagiados por COVID y que en todo caso se deberá garantizar que los aparatos empleados son adecuados para garantizar una toma de temperatura fiable. En este sentido las personas encargadas deberán estar capacitadas para interpretar los datos y calibrar los aparatos cuando sea pertinente.
Merece especial consideración la utilización de cámaras térmicas, ya que éstas posibilitan la toma de datos adicionales a la mera toma de temperatura. Se trata generalmente de cámaras con una instalación fija que refleja la temperatura de la persona y de los objetos que escanea, y que pueden estar conectados o no a un sistema de videovigilancia. En la medida en que como hemos adelantado, este sistema posibilita que se recabe una mayor información a la simple temperatura, se hace en este caso prestar mayor cuidado al cumplimiento del principio de finalidad y de minimización de datos, de tal manera que sólo se proporcione aquellos datos necesarios para la finalidad perseguida que es la identificación de casos positivos de la infección para evitar su propagación. También se debería cumplir el principio de privacidad por defecto y por diseño.
En el caso de que un alumno muestre una temperatura corporal que sobrepase los límites establecidos, se deberá seguir también unas pautas lógicas de actuación. Para evitar la posible estigmatización se respetarán todos los protocolos fijados por las Autoridades sanitarias siempre garantizando el anonimato del alumno y actuando con la mayor discreción posible.
VIII.
Confirmación de casos positivos en el centro docente
Otra cuestión que debe ser abordada es la actuación que se debe seguir una vez que hay una confirmación de un caso de infección por Covid 19. Tanto la legislación sanitaria como de protección de datos personales autoriza al centro docente a tratar y comunicar datos personales por razones de salud pública o la protección de la salud de las personas, como podrían ser el resto de los alumnos y trabajadores del centro, pero ello no significa que no estén obligados a cumplir con las previsiones recogidas en el Reglamento de Protección de datos y respetar en especial los principios de finalidad, secreto y minimización.
Los protocolos de actuación emitidos por las autoridades sanitarias establecen que los servicios de salud pública correspondientes, una vez confirmado un caso de infección por Covid 19, se comunicarán con el centro docente afectado y las familias para informarles de la situación y de las medidas a seguir, que básicamente se concreta en el aislamiento de la persona enferma de covid y sus contactos estrechos en las 48 horas anteriores a la presentación de síntomas. A su vez, el centro docente debe facilitar al servicio de salud que corresponda un listado de los alumnos y profesores que han tenido contacto estrecho con la persona enferma, incluidos los que han compartido transporte escolar, comedor o actividades extraescolares,
Es necesario hacer hincapié en el hecho de que la comunicación a las familias de los contactos estrechos se debe realizar sin proporcionar ningún dato personal del afectado
Es necesario hacer hincapié en el hecho de que la comunicación a las familias de los contactos estrechos se debe realizar sin proporcionar ningún dato personal del afectado, en aras de garantizar el anonimato y evitar posibles estigmatizaciones de la persona contagiada.
A efectos de que exista una comunicación más fluida, los centros docentes deberán contar con un coordinador covid., que básicamente constituirá el principal canal de comunicación entre el centro docente y la autoridad sanitaria competente.
Los principios que deben regir en todas estas comunicaciones entre servicios de salud, centros docentes y familias, son especialmente los de secreto y finalidad. Por lo que se refiere al deber de secreto, el art 5 de la Ley de Protección de datos y de garantías de derechos digitales 3/2018, obliga a todos los que tengan acceso a los datos personales a guardar confidencialidad sobre los mismos, incluido el personal administrativo, docente y auxiliar. Por otro lado, el cumplimiento del principio de finalidad implica que los datos recabados sólo se pueden tratar única y exclusivamente para la finalidad para la que fueron recabados, que es el rastreo de las personas contagiadas y sus contactos estrechos para evitar la propagación de la enfermedad, sin que se puedan utilizar para ninguna otra finalidad.
IX.
Opinión
Los datos de salud son considerados información especialmente sensible, por lo que el art. 9.1 del Reglamento General de Protección de Datos (LA LEY 6637/2016) parte del principio general de prohibición del tratamiento de datos. Si bien en el apartado segundo de este mismo artículo se establecen una serie de excepciones a esta prohibición. Sin duda, la temperatura corporal es un dato de salud, por lo que entraría dentro de esta categoría de información considerada sensible.
A raíz de la pandemia mundial ocasionada por la expansión del virus SARS Cov 2, la toma de temperatura se ha convertido en una práctica habitual al entrar en determinados espacios, para detectar posibles contagiados y así poder detener los contagios. Por lo que respecta a la implicación de estas medidas en la protección de datos personales, hay que distinguir entre la simple recogida de temperatura, sin registro de dicha información ni identificación de la persona afectada. En este caso, no entraría en aplicación la legislación en protección de datos ya que no hay tratamiento de datos, al no quedar éstos almacenados. Cuestión distinta es cuando esa información se almacena o se trata, en este caso si se debe estar al cumplimiento de toda la legislación tanto europea como nacional en materia de protección de datos.
Partiendo de que como regla general los datos de salud son considerados datos especialmente protegidos, estaría prohibido su tratamiento, sin embargo, el art. 9.2 del RGPD (LA LEY 6637/2016) establece una serie de excepciones, dentro de las que cabría la toma de temperatura para acceder a establecimientos tanto públicos como privados, ya que su fundamento sería la protección de los trabajadores, prestación sanitaria o salud pública.
Por lo que a los centros docentes se refiere, éstos se verían legitimados a tomar la temperatura de los alumnos para proteger la salud de trabajadores y alumnos, siempre respetando los principios de proporcionalidad y especialmente el de minimización, recabando sólo aquella información imprescindible para la finalidad pretendida. La figura del coordinador covid en el caso de los centros docentes adquiere mucha relevancia, ya que cumple un papel esencial como es el de actuar entre nexo de comunicación entre padres, centro educativo y autoridades sanitarias.
email de autor: marialidia.suarez@unir.net
X.
Referencias utilizadas
AEPD. 2019. Evaluaciones de impacto de protección de datos. Agencia Española de Protección de Datos. [En línea] AEPD, 29 de junio de 2019. https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/evaluaciones-de-impacto.
— 2018. Guía para Centros Educativos. AEPD. Agencia Española de Protección de Datos. [En línea] 22 de mayo de 2018. [Citado el: 18 de febrero de 2021.] https://www.aepd.es/es/node/796.
BOE. 2018. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018). Boletín Oficial del Estado. [En línea] 2018. https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673.
El derecho fundamental a la protección de datos: perspectivas. Martínez Martínez, Ricard. 2007. [ed.] Universitat Oberta de Catalunya. 5, Barcelona : Universitat Oberta de Catalunya, septiembre de 2007, IDP: revista de Internet, derecho y política = revista d’Internet, dret i política.
El derecho fundamental a la protección de los datos personales. Obligaciones que derivan para el personal sanitario. Fernández López, Juan Manuel. 2003. 1, 2003, DS : Derecho y salud. XI Congreso de Derecho y Salud : «Nuevos retos del Sistema Nacional de Salud», Vol. XI, págs. 37-46.
La protección de datos de los menores de edad. Especial referencia a sus excepciones en. Hidalgo Cerezo, Alberto. 2017. 15, s.l. : La Ley Digital, 2017, La Ley Derecho de Familia: Revista jurídica sobre familia y menores.