El Corte Inglés o el Metro de Bilbao no vulneraron el RGPD por instalar cámaras termográficas en la desescalada de la primera ola, concluye la AEPD

Cuando la primera oleada de la pandemia de coronavirus remitía en España y el Gobierno detallaba los planes para desescalar el confinamiento estricto que se realizó entre marzo y mayo del año pasado, muchos establecimientos tanto públicos como privados comenzaron a instalar cámaras térmicas cuando, en ningún caso, se trataba de una tecnología infalible: es fácilmente 'hackeable'.

Aquello suscitó dudas. Las cámaras termográficas permitirían detectar si una persona tenía fiebre para impedir su acceso a unas instalaciones, como un hipermercado o una estación de trenes. Pero el debate acababa de empezar: ¿es la temperatura un dato sanitario? ¿Podía identificarse a alguien por su temperatura? ¿Vulneraba el Reglamento General de Protección de Datos?

Muchos especialistas recordaron entonces que la fiebre podía ser síntoma del COVID-19 o síntoma de cualquier otra cosa, de la misma manera que la instalación de estas cámaras térmicas podía generar una sensación de falsa seguridad que relajara a los usuarios del resto de medidas. Muchos casos positivos de coronavirus son asintomáticos.

En estas fotos puedes ver cómo registra una cámara térmica la temperatura de tu cara si te has mojado con agua fría o llevas gafas

Un año después la comunidad científica conoce mucho mejor el coronavirus y la enfermedad que ha asolado el planeta durante los últimos meses, y algunas dudas e incertidumbres que entonces se generaron empiezan a despejarse.

La Agencia Española de Protección de Datos ha archivado en lo que va de semana dos investigaciones abiertas contra El Corte Inglés y el Metro de Bilbao, que instalaron estas cámaras térmicas, y es de esperar que estos archivos sigan sucediéndose en los próximos días siempre y cuando se cumplan una serie de parámetros.

En las dos resoluciones que la AEPD ha publicado se zanja, por el momento, un debate que inició el propio organismo de control con este comunicado en el que recordaba que el uso de este tipo de cámaras generaba un "importante impacto" en la privacidad de los ciudadanos. La AEPD lamentaba entonces que estos grandes establecimientos estuviesen instalando estas cámaras sin que el Ministerio de Sanidad no se hubiese pronunciado.

La pandemia ha puesto a prueba la capacidad de Europa para blindar la privacidad de sus ciudadanos: "No hay conflicto entre salud y datos"

En el caso de la investigación a la instalación de cámaras termográficas por parte de El Corte Inglés, la AEPD reconoce en su resolución que actuó de oficio el 14 de mayo al leer en medios de comunicación que estaba teniendo lugar el despliegue de estos dispositivos. Lo mismo ocurre con Metro de Bilbao solo 4 días después, el 18 de mayo de 2020.

En ambos casos, la AEPD reconoce que la temperatura de las personas "puede constituir un dato de salud relativo a una persona física identificada o identificable" y, como tal, "deben ajustarse a una de las bases jurídicas" del rGPD "y concurrir algunas de las excepciones específicas" del mismo (por ejemplo, una pandemia).

"En los controles de temperatura corporal llevados a cabo por El Corte Inglés se usan cámaras termográficas que únicamente están concebidas para la toma de temperatura corporal", detalla la resolución. "Cuando estos controles no van acompañados de un control de identidad de las personas que pretenden acceder al establecimiento", tales medidas "no se encontrarían, en principio, incluidas en el ámbito de aplicación del RGPD". No se puede asociar la temperatura a una persona identificable.

Otra cosa sería "denegar el acceso a una persona con motivo de su temperatura", "o informarle de que su temperatura corporal supera determinado umbral". Ese acto podría desvelar a terceras personas (que estén por allí) que la temperatura corporal de la persona es superior a lo normal, y podría estigmatizársele aun cuando ni siquiera estaría demostrado que padece COVID-19.

En los mismos términos resuelve la AEPD la investigación concerniente al Metro de Bilbao, que también instaló este tipo de cámaras termográficas en sus estaciones.

En ambos casos, tanto El Corte Inglés como el Metro de Bilbao remitieron copiosa documentación a la AEPD detallando incluso que las conexiones de las cámaras termográficas estaban aisladas y segurizadas para que sólo el personal autorizado —las compañías prestadoras del servicio de seguridad— pudiesen consultarlas.