Aici descoperim
dreptul tehnologiei

mobile-phone-opened-google-application_1421-1751.jpg




Potrivit, Thenextweb, Google este dat în judecată și i se cer daune de 5 miliarde de dolari pentru urmărirea utilizatorilor în Chrome – chiar și în modul incognito.

Potrivit Reuters procesul, care a fost înregistrat marți în instanța federală din San Jose, California, acuză compania că a colectat informații despre utilizatori, despre vizitele acestora pe site-uri și paginile pe care le accesează, inclusiv atunci când utilizează modul incognito.

Reclamanții susțin faptul că prelucrarea datelor despre utilizatori prin Google Analytics, Google Ad Manager și alte aplicații asemănătoare ajută compania Google să afle date suplimentare despre contactele cele mai apropiate ale utilizatorilor, hobby-urile, obiceiurile de dietă și chiar date despre cele mai intime informații pe care utilizatorii le caută online.

Google „nu poate continua să se angajeze în colectarea de date ascunse și neautorizate de la aproape fiecare american care are un computer sau un telefon”, susțin reclamanții. Ei solicită despăgubiri de cel puțin 5 miliarde de dolari pentru încălcarea legilor federale ale confidențialității datelor din California pentru „milioane” de persoane care au folosit modul incognito începând cu 1 iunie 2016.




„După cum afirmăm clar de fiecare dată când deschideți o nouă filă incognito, site-urile web ar putea să colecteze informații despre activitatea dvs. de navigare”, a declarat pentru Reuters purtătorul de cuvânt al Google, Jose Castaneda, adăugând compania că are toate mecanismele pentru a se apăra în instanță.

Activiștii pentru viața privată au avertizat de mult timp faptul că Google, Facebook și alți giganți IT colectează date despre utilizatori chiar și atunci când se folosește modul incognito.

Skeptics have long been warning companies like Google and Facebook’s pervasive tracking practices collect data about users even when using incognito mode. Cercetătorii de la Microsoft susțin că site-urile și aplicațiile au coduri de urmărire inserate din alte părți, iar despre aceste practici utilizatorii de internet nu sunt conștienți. „Un astfel de cod„ terț” permite companiilor să monitorizeze acțiunile utilizatorilor fără cunoștința sau consimțământul lor și să construiască profiluri detaliate ale obiceiurilor și intereselor lor. “

Google a mai fost acuzat de personalizarea rezultatelor de căutare în modul incognito de rivalul său, DuckDuckGo care susține că modul incognito nu este atât de anonim așa cum am putea crede.

 

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



maxresdefault-1200x675.jpg




Subiectul teroscanării a stârnit controverse în România. Redacția LegalUp.ro a intervievat zece specialiști în protecția datelor cu privire la acest subiect. 

 

1. LegalUp: Este temperatura o dată cu caracter personal? În ce condiții putem spune că termoscanarea implică prelucrarea datelor personale?

 

Silvia Uscov (Avocat, Specialist GDPR și CEDO): „Sunt de părere că temperatura este o dată cu caracter personal, iar ea este calificată astfel și în cele mai recente comunicate ale autorităților pentru protecția datelor din UE. Aceste autorități au atras atenția asupra prelucrării datelor privind sănătatea în contextul termoscanării. Prelucrarea datelor cu caracter personal poate avea loc printr-o mulțime de tehnici, cele mai intruzive fiind cele care presupun și corelarea acestei date cu datele biometrice.”

 

Mirela Morar (Avocat, Specialist GDPR și securitatea informației): „Într-adevăr, există o opinie minoritară la nivelul autorităților privind protecția datelor cu caracter personal referitoare la faptul că ”temperatura corporală nu reprezintă o dată cu caracter personal per se atât timp cât nu este combinată cu alte tipuri de date cu caracter personal” (Autoritatea privind Protecția Datelor din Belgia), dar opinia covârșitoare a autorităților europene privind protecția datelor desemnează temperatura ca fiind o dată cu caracter special, făcând referire la sănătatea persoanei.

În primă instanță, am tins spre opinia Autorității privind Protecția Datelor din Belgia, considerând temperatura o dată variabilă care, colectată singură, nu poate fi considerată dată cu caracter personal. Am considerat inițial că această temperatură nu prezintă relevanță până la momentul depășirii valorii de 37.3 grade Celsius, când persoana devine suspect de infectare cu COVID-19 și poate fi obligat la comunicarea altor date cu caracter personal; implicit, poate fi supus unor discriminări atât pe termen scurt cât și pe termen mediu. Totuși, am revenit asupra opiniei mele destul de repede – Acum consider temperatura corporală o dată cu caracter special pentru că aceasta poate confirma/infirma starea de sănătate a unei persoane fizice la un moment dat.

Potrivit art. 4 pct. 15 din Regulamentul UE 2016/679 sunt considerate date privind sănătatea orice date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia”; Așadar, apreciez că simpla catalogare a unei persoane ca fiind sănătoasă/nesănătoasă e o dată cu caracter personal, legea nu face diferențiere asupra acestui aspect. Chiar dacă o persoană este considerată sănătoasă și nu pare a exista riscul unei discriminări,  nu schimbă faptul că datele sale tot au fost supuse unei prelucrări de date.

Consider că simpla măsurare a temperaturii corporale este o prelucrare de date întrucât este o colectare de informații, chiar dacă nu este înregistrată. Potrivit art. 4 pct. 2 din Regulamentul UE 2016/679, prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea (…);

În plus, persoană vizată poate fi orice persoană fizică identificată sau identificabilă. Sub acest aspect, tind să afirm că, atât timp cât persoana responsabilă cu efectuarea triajului epidemiologic privește persoana a cărei temperatură o măsoară, o poate identifica în circumstanțe ulterioare, în caz de necesitate; la fel se pune problema camerelor termografice cu soft integrat sau alte soluții tehnice. Adițional, această prelucrare, dacă este dublată de supravegherea video sporește gradul de identificare a persoanei. Deci, doar în condiții neverosimile, în care nu s-ar identifica caracteristicile fizice ale unei persoane fizice prin niciun mijloc tehnic și de către nicio persoană, ar putea fi considerată o neprelucrare a datelor.”

 

Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Da, consider că temperatura corpului este o dată cu caracter personal referitoare la sănătatea persoanei, pentru motivele expuse anterior și preluând opinia CNIL (Autoritatea de supraveghere din Franța). De asemenea, temperatura poate deveni parte integrantă dintr-un sistem biometric, atunci când este corelată cu alte date biometrice precum imaginea facială sau imaginea retinei. Un exemplu relevant pentru această situație o reprezintă camerele termale cu soft integrat, care prelucrează datele privind temperatura și le corelează cu imaginea facială (dată biometrică). Așadar, prelucrarea datelor privind temperatura ar trebui să se bucure de o protecție sporită, sub imperiul articolului 9 din GDPR.”



Roxana Constantinescu (Avocat, Specialist GDPR): În general, datele cu caracter personal prelucrate în legătură cu COVID-19 sunt în principal date privind sănătatea, fiindcă furnizează informații despre starea de sănătate, iar simptomele unei boli sau existența febrei ce reprezintă la rândul ei un simptom și care se confirmă prin măsurarea temperaturii reprezintă date cu caracter personal. Mai mult decât atât, datele privind sănătatea au un regim special în GDPR și ar trebui să li se acorde atenția cuvenită în acest sens.”  

 

Anamaria Francu (Avocat, Specialist GDPR): Temperatura este o dată cu caracter personal, având în vedere că prin dată cu caracter personal se înțelege: ”ORICE informație privind o persoană identificată sau identificabilă”, iar temperatura unei persoane este o informație despre persoana respectivă. 

Da, termoscanarea implică  prelucrarea datelor cu caracter personal, având în vedere că prin prelucrare se înțelege orice operațiune, inclusiv consultarea, înregistrarea, colectarea, stocarea, etc. Aceste două noțiuni sunt definite de art. 4 din Regulamentul (UE) 2016/679, nefiind definite în altă parte. 

Dacă rigorile și obligațiile prevăzute de Regulament în sarcina operatorilor de date se aplica sau nu termoscanării este însă o alta poveste… Cu privire la acest aspect a apărut în presă o opinie care i-ar aparține ANSPDCP în sensul că în măsura în care rezultatele termoscanării nu fac parte dintr-un sistem de evidență sau nu sunt destinate să facă parte dintr-un sistem de evidentă a datelor, prevederile Regulamentului (UE) 2016/679 nu sunt aplicabile. Această opinie este discutabilă prin prisma interpretării textului pe care te întemeiază, respectiv prevederile art. 2 din Regulament care prevede ca: ”Prezentul regulament se aplica prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.” Ori aceasta prevedere are două teze, respectiv două situații: 

  1. când prelucrarea este efectuată total sau parțial prin mijloace automatizate (cum este și termoscanarea), prelucrarea totala sau partiala prin aceste mijloace fiind considerată că prezintă un risc suficient pentru a atrage aplicabilitatea și rigorile Regulamentului;
  2. când prelucrarea (prin alte mijloace decât cele automatizate) se face asupra datelor cu caracter personal care fac parte dintr-un sistem de evidență sau sunt destinate să facă parte dintr-un sistem de evidență;

Dacă legiuitorul nu ar fi avut în vedere aceste două ipoteze, ci doar una singură, textul ar fi sunat altfel, respectiv:”Prezentul regulament se aplică prelucrării, efectuată total sau parțial prin mijloace automatizate sau prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.”

In concluzie, temperatura este o data cu caracter personal și termoscanarea reprezintă o prelucrare a datelor cu caracter personal (cel puțin, consultare, înregistrare) căreia i se aplică prevederile Regulamentului (UE) 2016/679.”




Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): „Părerea mea este că temperatura este o dată cu caracter personal, iar în contextul actual, pentru că cel mai adesea este corelată și cu date biometrice, prelucrarea acesteia devine foarte periculoasă, aflându-se sub umbrela unui scop aparent legitim (protecția socială/sănătatea publică), dar care de multe ori nu este justificat. Cred că această pandemie ne-a demonstrat cât de nepregătiți suntem la nivel național în domeniul protecției datelor, aceste lacune plecând în primul rând de la un nivel foarte înalt, cum ar fi executivul, legislativul și chiar ANSPDCP, care a rostit timid câteva fraze despre situația existentă, creând mai multe întrebări, decât răspunsuri.

Aș îndrăzni să spun că termoscanarea implică prelucrarea datelor personale în sensul GDPR în orice situație, deoarece simpla măsurare este o prelucrare, dar aproape niciodată nu este vorba doar de o simplă măsurare. Cea mai puțin intruzivă modalitate de măsurare a temperaturii, termometrele digitale, stochează un anumit număr de măsurători, existând un număr infim pe piață de termometre ce nu stochează date. Dacă există și un sistem CCTV care poate corela imaginea persoanei cu temperatura, lucrurile se complică, dar fiecare situație implică prelucrarea de date cu caracter personal.”

 

Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software) „Sunt de părere că valoarea temperaturii unei persoane nu poate fi tratată separat de starea de sănătate sau de comportamentul biologic al persoanei respective. Din acest motiv, valoarea temperaturii se poate încadra în definiția din art. 4 (Regulamentul GDPR) ca fiind dată care dezvăluie informații despre starea de sănătate a persoanei vizate.

ANSPDCP a transmis presei din România un punct de vedere prin care consideră că temperatura corporală este dată cu caracter personal, doar în măsura în care informațiile colectate se înregistreză într-un sistem de evidență.

Se ridică întrebarea dacă verificarea temperaturii se face prin înregistrarea într-un sistem de evidență sau nu. La prima vedere, răspunsul pare simplu: se verifică temperatura fară ca datele să fie stocate într-un registru dedicat. Însă, în realitate, cerința este ca verificarea temperaturii să fie făcută printr-un dispozitiv electronic contactless – care de cele mai multe ori stocheaza valorile măsurate în memoria internă a aparatului (sau care trebuie configurat explicit pentru a nu stoca datele) sau înregistrează și alte date suplimentare. O altă problemă este că verificarea temperaturii trebuie făcută la intrarea în spațiile operatorilor, intrare care este de regulă monitorizată prin sisteme CCTV care stochează imaginea persoanelor vizate timp de 30 de zile.

Iată cum, de regulă, sunt întrunite toate premizele existenței unui sistem de evidență, iar temperatura devine dată cu caracter personal.”

 

Slageana BRANCOV (Avocat, specialist GDPR). Temperatura corpului poate fi considerată o dată cu caracter personal, încadrându-se chiar în categoria datelor cu privire la sănătatea umană. În acest context, termoscanarea poate implica, în anumite situații, o prelucrare de date cu caracter personal. În formularea unui răspuns la întrebarea ”Când anume se aplică Regulamentul GDPR în contextul termoscanării?”, mă voi ralia opiniei formulate de autoritatea de supraveghere din Franța (CNIL), în conformitate cu care, prevederile Regulamentului GDPR devin aplicabile atunci când (i) se efectuează o prelucrare automată de date precum și atunci când (ii) prelucrarea este efectuată prin alte mijloace decât cele automate iar datele astfel prelucrate fac parte dintr-un sistem de evidență a datelor. Prin urmare, dacă termoscanarea se efectuează prin mijloace automate (cum ar fi, de exemplu, camerele de imagistică termică), ea implică o prelucrare de date cu caracter personal iar dacă se efectuează prin mijloace manuale, ea implică o prelucrare de date cu caracter personal atunci când se creează evidențe ale acestor date (spre exemplu, dacă se folosește un termometru manual dar operatorul înregistrează temperaturile pentru a avea o evidență a rezultatelor triajului epidemiologic efectuat). Tot CNIL spune că, simpla verificare a temperaturii cu ajutorul unui termometru manual (cum ar fi, de exemplu, un termometru cu infraroșu, fără contact), fără a se păstra nici o evidență a rezultatelor și fără a se efectua nici o altă operațiune, nu intră sub incidența reglementărilor privind protecția datelor.”

 

Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Temperatura este o dată cu caracter personal, deoarece întotdeauna spui „X are temperatura Y”, unde X este o persoană. Chiar dacă ne referim la persoană ca „omul cu cămașă bleu”, ne referim la ea ca la o persoană unică. Și este fix definiția datelor cu caracter personal – orice date sau set de date ce pot identifica direct sau indirect o persoană. Temperatura nu are sens ca valoare fără ca această valoare să fie atribuită cuiva unic.

Referitor la termoscanare, ordinul de ministru precizează că aceasta se face în zona de triaj, în punctele de intrare în locație. De obicei la punctele de intrare în locație avem camere care înregistrează pentru maximum 30 de zile tot, inclusiv procesul de termoscanare. Camerele nu văd valoarea temperaturii, însă văd dacă un om este rejectat sau nu. Om rejectat = om cu temperatură peste 37.3 grade, om acceptat = om cu temperatură sub 37.3 grade. Practic avem o metadată (temperatură peste/sub 37.3 grade) asociată unei persoane unice, care este stocată pe cameră, deci avem o prelucrare de date cu caracter personal ce intră sub acoperirea GDPR.”

 

Ruxandra SAVA (Avocat, CIPP/e): „Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special(datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.

Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD):
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”

1.Primul element: „Orice informații”

Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.

2. Al doilea element: „referitoare la”

Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.

Potrivit CEPD, „informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.



(…)

Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.

(…)

Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”

Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.

3. Al treilea element: „identificată sau identificabilă”

Potrivit CEPD, „În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).

(…)

Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”

Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.

Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.

Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.

4. Al patrulea element: persoană fizică

Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.

În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.”

 

2. Este teama de termoscanare justificată sau nu?

Silvia Uscov (Avocat, Specialist GDPR și CEDO): „Din punctul de vedere al prelucrării datelor cu caracter personal mă situez în colțul persoanelor care urmăresc o prelucrare la un nivel minim și doar în măsura strict necesară pentru că la acest moment nu cunoaște modul în care acestea vor fi utilizate pe viitor. Având în vedere că starea febrilă poate fi determinată de un număr mare de cauze (atât medicale, cât și non-medicale),  apreciez că termoscanarea nu este justificată, mai cu seamă că nu se oferă garanții suficiente în ceea ce privește ingerințele aduse dreptului la viață privată.”

Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Consider că teama de termoscanare în rândul cetățenilor este fundamentată pe lipsa transparenței cu privire la această procedură, luând în considerare două aspecte: pe de-o parte, faptul că toată această situație generată de pandemia COVID-19 și, implicit, procedura termoscanării,  reprezintă un aspect de noutate și nu există un punct de referință sau un exemplu din trecut despre cum ar trebui să procedăm și să reacționăm, și, pe de altă parte, faptul că oamenii sunt conștienți că astăzi au mai multe drepturi ca niciodată, însă majoritatea nu le cunosc cu exactitate și, mai ales, nu știu cum să le exercite în mod efectiv. 

Pentru cei care înțeleg gravitatea situației și implicațiile termoscanării, teama devine și mai pregnantă în fața unei proceduri inedite care nu oferă garanții corespunzătoare pentru drepturile omului, precum dreptul la viață privată și protecția datelor cu caracter personal (articolele 7 și 8 din Carta Drepturile Fundamentale a Uniunii Europene) sau nediscriminarea (articolul 21). De asemenea, se poate dezbate și o încălcare a altor drepturi fundamentale precum demnitatea umană (articolul 1) sau interzicerea unor tratamente degradante (articolul 4), dacă analizăm procedura termoscanării în profunzime și ne imaginăm situația unui angajat dintr-un supermarket aflat cu un ”pistol” de termoscanare îndreptat spre capul unui client, în văzul altor persoane, pentru a-i putea permite accesul la alimente de bază în vederea asigurării traiului. 

Teama de termoscanare, dacă nu este fundamentată pe lipsa garanțiilor adecvate pentru drepturile omului, cu siguranță va fi justificată de implicațiile pe care această procedură le va avea, în lipsa acestor garanții. Câteva exemple se referă la discriminare, stigmatizare, îngrădirea accesului la produse și servicii de bază, îngrădirea accesului la locul de muncă (cu consecințele economice de rigoare), și chiar violență. Oamenii sunt diferiți și reacționează diferit. Iar teama de a se îmbolnăvi sau de a le fi îngrădite anumite drepturi poate genera reacții imprevizibile. Bineînțeles, aceste temeri sunt augumentate în situația în care persoana a cărei temperatură excede limitele considerate a fi ”sigure”, chiar dacă starea febrilă este cauzată de alți factori, nu neapărat de virusul COVID-19 (de exemplu, o infecție dentară, o indigestie sau orice altă condiție medicală necontagioasă).

De asemenea, pe lângă problema transparenței, se adresează întrebarea dacă măsura termoscanării respectă principiile necesității și proporționalității. Acestea trebuie respectate ori de câte ori se ia o măsură care poate aduce atingere unor drepturi fundamentale, precum dreptul la viață privată și la protecția datelor cu caracter personal. 

  1. O măsură este necesară atunci când este aptă să conducă la atingerea obiectivului propus (stoparea răspândirii virusului). Consider că, într-o anumită măsură, termoscanarea poate fi considerată necesară, deoarece se reduce semnificativ riscul ca o persoană infectată să intre în contact cu alte persoane. 
  2. O măsură este proporțională atunci când s-a ales metoda cea mai puțin intruzivă pentru atingerea obiectivului. Consider că termoscanarea nu respectă principiul proporționalității deoarece, așa cum am expus deja, starea febrilă poate fi cauzată de o varietate de factori, nu numai de infecția cauzată de virusul COVID-19. Așadar, măsura are o eficiență redusă raportat la atingerile aduse drepturilor fundamentale. Teama oamenilor în privința termoscanării poate izvorâ și din acest dezechilibru care se creează, având în vedere că se pot alege metode mult mai eficiente și semnificativ mai puțin intruzive pentru viața privată și celelalte drepturi fundamentale în vederea atingerii aceluiași obiectiv. De exemplu, se poate opta, la nivel național, pentru adoptarea unui sistem de urmărire digitală a contactelor, bazată pe tehnologia Bluetooth descentralizată (considerată a fi măsura cea mai puțin invazivă de către Comisia Europeană).”

 

Roxana Constantinescu (Avocat, Specialist GDPR): „Cred că justificarea unei temeri ține de resorturi subiective însă, cu siguranță se pot aduce argumente în ceea ce privește acest tip de intruziune în viața privată și acestea sunt legate în principal de necesitatea și finalitatea acestei măsuri. O persoană infectată cu coronavirus nu are neapărat febră, astfel încât măsurarea temperaturii sale nu poate identifica în mod clar persoana ca purtătoare a virusului. În al doilea rând, febra nu este un simptom decisiv și atunci când este detectată o temperatură crescută a corpului, nu indică neapărat o infecție cu coronavirus. În cele din urmă, deoarece perioada de incubație este de până la 14 zile, un individ, chiar dacă prezintă simptome de febră asociate infecției cu coronavirus, ar fi putut oricum avea o formă neidentificată a virusului până atunci.”

 

Mirela Morar (Avocat, Specialist GDPR și securitatea informației): Mă voi raporta atât la percepția autorităților de protecție a datelor cât și la persoanele vizate cu privire la temerea justificată asupra termoscanării.

În primul rând, la o analiză comparativă a ghidurilor emise la nivel european de către autoritățile de protecție a datelor cu caracter personal cu privire la modalitatea de prelucrare a datelor în contextul identificării persoanelor infectate de COVID-19, putem distinge trei opinii referitoare la justificarea măsurării temperaturii angajaților și a vizitatorilor de către angajator/persoană responsabilă.

Prima opinie, este cea susținută de către Autoritățile de protecție a datelor din Spania și Italia, care afirmă că măsurarea temperaturii este justificată și poate fi desfășurată și implementată pe scară largă. Spre exemplu, Autoritatea de protecție a datelor din Spania, motivează acest răspuns – „întrucât Spania se confruntă cu un focar major de COVID-19, efectuarea controalelor de temperatură, ca măsură de precauție pentru prevenirea răspândirii infecției cu COVID-19 pot fi justificate pe baza interesului public, din motive de interes public în domeniul sănătății publice sau, acolo unde este necesar, pentru îndeplinirea obligațiilor și exercitarea drepturilor specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și a securității sociale”.

Autoritățile de protecție a datelor din Slovacia, Germania, Cehia și Ungaria oferă o soluție de compromis, considerând că justificarea măsurii de termoscanare depinde de mai mulți factori, nu poate fi luată ca o măsură unitară. Germania consideră că măsurarea temperaturii va depinde în totalitate de circumstanțele individuale, în special dacă angajatorul consideră această măsură necesară și proporțională. Cehia, în schimb, consideră proporționată măsurarea temperaturii angajaților, dar disproporționată măsurarea temperaturii vizitatorilor per se și trebuie analizată aplicarea măsurii de la caz la caz (de exemplu, timpul petrecut de vizitator la locul de muncă, regularitatea vizitelor, tipul de activitate desfășurat de vizitator). Controlul temperaturii la, de exemplu, poștași/curieri sau persoane care doar livrează bunurile ar fi considerate disproporționate. Pe de altă parte, pot fi verificate temperaturile dacă sunt conduse pentru personalul unei agenții de curățenie. La opinia Cehiei se raliază și Slovacia. În schimb, Ungaria aduce precizări de importanță semnificativă – este justificată măsurarea temperaturii doar în situațiile în care angajatorul concluzionează în evaluarea riscului că aceste măsuri sunt necesare pentru anumite locuri de muncă care sunt îndeosebi afectate de expunerea la virus și sunt, de asemenea, proporționale și necesare;

În schimb, autoritățile de protecție a datelor din Olanda, Luxemburg, Franța, inclusiv Belgia – care nu consideră justificată măsurarea temperaturii dacă sunt prelucrate date cu caracter personal – (N.B. Autoritatea de protecția a datelor din Belgia nu consideră simpla măsurare a temperaturii corporale ca fiind o prelucrare de date) resping vehement această idee de măsurare a temperaturii neconsiderând-o justificată. Ca o concluzie unitară a acestor autorități este percepția asupra faptului că instituirea unei obligații de măsurare a temperaturii pentru toate persoanele, angajați și vizitatori, este disproporționată; În plus, Olanda consideră că se impune aplicarea unei astfel de măsuri doar în locațiile sau localitățile unde au fost identificate focare de infectare cu COVID-19.

Din perspectiva persoanelor vizate, unde a fost adoptată obligația de măsurare a temperaturii în mod unitar, fără o diferențiere (spre exemplu România), consider că e justificată temerea de termoscanare a persoanelor din mai multe puncte de vedere:

  1. Persoanelor nu le sunt explicate, într-o manieră transparentă, care sunt consecințele în situația în care temperatura lor corporală depășește 37.3 grade Celsius, creând un sentiment de nesiguranță și disconfort.
  2. Din cauza unei date variabile care depinde de mai mulți factori interni sau externi, persoanelor cărora li se măsoară temperatura pot deveni anxioase și să sporească starea de nervozitate întrucât procurarea celor necesare din magazine sau desfășurarea activității la locul de muncă depinde de un aspect care se poate schimba într-un termen foarte scurt.
  3. În plus, în prea puține locuri măsurarea temperaturii se poate face în regim de confidențialitate și intimitate, astfel, măsurarea temperaturii poate naște stigmatizări, discriminări și intruziuni considerabile în viața privată a indivizilor.
  4. La acest moment, în România, conceptul de protejare a datelor cu caracter personal nu este înțeles pe deplin și nici măsurile care trebuie implementate nu sunt cunoscute pe scară largă. În acest sens, consider că riscurile unei prelucrări neadecvate sau ilegale nerespectând măsurile tehnice și organizatorice menite să protejeze datele cu caracter personal sunt destul de ridicate.
  5. În ultimul rând, din practicile societăților și autorităților, am constatat că sunt desemnate persoane responsabile cu efectuarea triajului epidemiologic desfășurat prin măsurarea temperaturii fără o instruire adecvată a pașilor necesari de urmat sau fără să fi avut măcar o pregătire avizată de către un cadru medical întrucât, prin neștiință sau neinformare, poate să aducă atingeri grave demnității persoanelor.”




Anamaria Francu (Avocat, Specialist GDPR): „Teama nu e justificată și așa cum spunea Frank Herbert, ”Fear is the mind-killer”, deci nu e nici utilă. În acest context teama izvorăște din neștiință, iar teama de termoscanare în sine, cred că există doar când nu ești informat corespunzător. În momentul în care ai informații certe cu privire la aparatura folosită, la datele cu caracter personal pe care le colectează, unde și cum sunt stocate, dacă și unde sunt transferate, unde ajung și cine ce face cu ele, precum și dacă au fost implementate măsuri de securitate corespunzătoare, teama nu mai există, deoarece deții suficiente informații pentru a lua decizii conștiente și raționale, respectiv decizi dacă intri în magazinul sau instituția respectivă sau găsești alte soluții, inclusiv una practică de a avea propriul sistem de măsură (termometrul), pentru a putea contesta în timp util înregistrarea, respectiv înainte de a produce efecte sau consecințe reale. Pe de altă parte am constatat, prin propria experiență că această procedură este una formală, având în vedere că aparatele fie dau erori, fie sunt setate intenționat cu 2 grade în minus.

Însă ar fi fost util ca în momentul în care în legislație s-a prevăzut obligativitatea termoscanării, să se prevadă și caracteristicile aparatelor ce urmează a fi folosite, astfel încât un simplu cetățean să nu fie pus în situația împovărătoare de a culege informații și a avea suspiciuni, uneori justificate, cu privire la tipul de date care îi sunt prelucrate efectiv prin aparatele folosite pentru termoscanare. Și o intervenție a ANSPDCP ar fi fost utilă, care să traseze niște linii directoare pentru operatorii care trebuie să efectueze termoscanarea, la fel de puțin informați și ei.”

 

Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): Teama de orice vine, de multe ori, din necunoaștere. Domeniul protecției datelor în țara noastră începea ușor să ia avânt, existând puțini experți, mulți care ,,știu de la televizor și de pe Facebook care e treaba cu GDPR-ul ăsta” și extrem de mulți care nu voiau să știe. Mulți din ultima categorie sunt cei care refuză termoscanarea din motive închipuite, nu din motive bine documentate sau pertinente. Acum, ca DPO, îmi pun întrebarea: cum să reușesc să și respect prevederea legală și protecția datelor, în același timp? Este extrem de greu, mai ales din prisma imprevizibilității și neclarității cadrului legislativ, dar și din perspectiva timpului scurt de conformare. Totuși, ca o concluzie, teama de termoscanare este justificată doar dacă există din motive bine documentate, iar operatorul nu respectă protecția datelor, puțini fiind aceia care sunt și bine documentați și își pot da seama dacă nu le sunt respectate drepturile.”

 

Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software): Teama de termoscanare este justificată atunci când se pune problema prelucrării ilegale a datelor sau a lipsei de securitate aferente.

Prelucrarea ilegală poate însemna de exemplu o prelucrare fără temei legal, în exces, în scopuri diferite celor pentru care au fost colectate datele sau fără o informare corespunzătoare a persoanei vizate.

Prelucrarea nesecurizată a datelor poate să consiste de exemplu, în transmiterea datelor către persoane neautorizate, sau pur și simplu în lipsa de conștientizare deplină a întregului proces de prelucrare care are loc, și a tuturor implicațiilor.

Prelucrări de date se fac tot timpul, iar persoanele vizate ar putea să conteste necesitatea sau oportunitatea lor, însă operatorii care prelucrează datele trebuie să ofere suficiente garanții că datele sunt prelucrate în conformitate cu cerințele legale.

Articolul 3 din legea 190/2020 ne informează despre condițiile în care pot fi prelucrate datele genetice, biometrice sau cele care privesc sănătatea:

„Art. 3. – (1) Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decisional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziţii legale exprese, cu instituirea unor măsuri corespunzătoare.

(2) Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă nu se poate efectua ulterior, în alte scopuri, de către terţe entităţi.”

Așadar, în lipsa măsurilor corespunzătoare, teama de termoscanare este perfect justificată.”

 

Slageana BRANCOV (Avocat, specialist GDPR): Sunt de părere că nu termoscanarea în sine generează (sau ar trebui să genereze) teamă în rândul cetățenilor. În situația particulară a termoscanării, elementele susceptibile să genereze teamă sunt (cel puțin) următoarele trei (i) cadrul legislativ (și aici mă voi limita la a preciza inconsecvența în reglementare, lipsa de claritate a reglementării și lipsa unor garanții adecvate pentru drepturile omului), (ii) modalitatea în care această procedură este pusă în practică (nesocotirea principiului transparenței prelucrării, utilizarea unor tehnologii al căror grad de intruziune în viața privată a persoanelor este mult prea ridicat raportat la principiile necesității și al proporționalității, lipsa unor măsuri de securitate adecvate etc.) și (iii) consecințele pe care această procedură le poate avea în lipsa oferirii unor garanții suficiente (iar consecințele trebuie privite dincolo de materia protecției datelor). Prin urmare, pentru a răspunde întrebării, apreciez că da, teama de termoscanare trebuie apreciată ca fiind justificată atât timp cât, în rândul operatorilor, gradul de conștientizare a importanței protejării datelor este unul mult prea redus, ceea ce face ca majoritatea operațiunilor de prelucrare de date să se efectueze în afara cadrului legal. Or, doar dintr-o vădită necunoaștere sau ignoranță am putea afirma că prelucrarea datelor cu caracter personal în afara cadrului legal nu reprezintă o ingerință în sfera dreptului nostru la viață privată.”

 

Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Este justificată deoarece temperatura de peste 37.3 grade nu indică neapărat prezența bolii COVID-19. Sunt multiple cauze ce pot duce la creșterea temperaturii! Practic unei persoane i se refuză accesul într-o clădire doar pe baza unei măsurări de temperatură, nu pe baza unui test care să releve clar că o persoană are COVID-19.”

 

3. În situația termoscanării, putem vorbi, în anumite condiții, de un proces decizional automatizat interzis de art. 3 din alin. (1) din Legea nr. 190/2018 în lipsa consimțământului explicit?

 

Silvia Uscov (Avocat, Specialist GDPR și CEDO): „E cu siguranță o întrebare deosebit de interesantă în contextul în care ai un prag (37.3 grade Celsius) și un sistem automat (termoscanerul) care îți oferă acces sau nu într-un anumit spațiu în urma depășirii acestui prag. Consider că da, în anumite condiții, poate fi încadrat ca proces decizional automatizat, cu consecințele de rigoare.”

 

Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): Legea nr. 190/2018 este legea națională ce instituie măsurile de aplicare ale GDPR în România. Articolul 22 din GDPR interzice ca persoana vizată să facă obiectul unei decizii bazate exclusiv pe prelucrarea automată care produce efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă. Totuși, acest proces decizional individual automatizat este permis dacă: (1) există consimțământul explicit al persoanei vizate sau (2) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, atât timp cât măsura este necesară și se instituie garanții corespunzătoare pentru protecția drepturilor fundamentale și ale intereselor persoanei vizate.

În primul rând, prin procedura termoscanării, este clar că ne aflăm în prezența unui proces decizional individual automatizat. Termometrul utilizat, indiferent de funcționalitățile sale, indică, în mod automat, temperatura persoanei. Temperatura afișată va sta la baza deciziei de a permite sau de a refuza accesul acelei persoane într-o anumită incintă (loc de muncă, supermarket etc.). 

În al doilea rând, consider că, în absența unui consimțământ expres din partea persoanei vizate, măsura ar putea fi întemeiată pe interesul public major, având în vedere că stoparea pandemiei COVID-19 s-ar putea încadra în această categorie. Totuși, așa cum am demonstrat deja, măsura nu este proporțională cu scopul urmărit și, mai ales, nu există garanții corespunzătoare pentru protejarea drepturilor fundamentale și ale intereselor persoanei vizate.

Așadar, termoscanarea privită ca proces decizional automatizat ar trebui interzisă în temeiul Legii nr. 190/2018, însă nu neapărat pe motivul lipsei consimțământului expres al persoanei vizate, ci pe motivul disproporționalității măsurii în raport de interesul public major urmărit și al lipsei garanțiilor corespunzătoare pentru protejarea drepturilor fundamentale.”

 

Roxana Constantinescu (Avocat, Specialist GDPR):Chiar dacă trecem peste lipsa consimțământului expres și temeiul rămâne excepția privind interesul public major, în opinia mea, de asemenea, nu sunt îndeplinite condițiile de necesitate și de proporționalitate a măsurii în situațiile în care termoscanarea ia forma unui proces decizional automatizat.”

 

Anamaria Francu (Avocat, Specialist GDPR):Ordinul nr. 874/22.05.2020 privind instituirea obligativităţii purtării măştii de protecţie, a triajului epidemiologic şi dezinfectarea obligatorie a mâinilor pentru prevenirea contaminării cu virusul SARS-CoV-2 pe durata stării de alertă prevede în Anexa I art.II pct. 3 că: ”a) Intrarea într-o incintă este permisă doar pentru persoanele care, în mod rezonabil, au motive justificate de a se afla în acea incintă. c) Dacă este necesară intrarea în incintă, sunt obligatorii triajul epidemiologic şi dezinfectarea mâinilor. Triajul epidemiologic nu implică înregistrarea datelor cu caracter personal (n.b. mențiune care vrea probabil să justifice faptul că Regulamentul nu s-ar aplica, aspect nereal deoarece de înregistrat, temperatura se inregistreaza, altfel nu ar fi afișată de aparat, chiar dacă ulterior se stochează sau nu) şi constă în:

  a) măsurarea temperaturii prin termometru noncontact (temperatura înregistrată nu trebuie să depăşească 37,3ºC);b) observarea semnelor şi simptomelor respiratorii (de tipul: tuse frecventă, strănut frecvent, stare generală modificată).

  În cazul în care temperatura înregistrată depăşeşte 37,3ºC, se recomandă repetarea măsurării temperaturii, după o perioadă de 2-5 minute de repaus.

Dacă se constată menţinerea unei temperaturi peste 37,3ºC sau/şi prezenţa altor simptome respiratorii, persoanei nu i se permite accesul în incintă.”

Aici se naște o nouă poveste generată de o exprimare nefericită: ”sau/și”. Este neclar când nu i se permite accesul în incintă unei persoane: este suficient să aibă temperatură de peste 37,3 C sau doar dacă are temperatură+ alte simptome respiratorii (și aici avem o întreagă altă discuție cu privire la prelucrarea altor date de sănătate: tuse frecventă, strănut, stare generală modificată, iar în acest caz depinde de pregătirea sau capacitatea salariatului instituției sau operatorului economic de a o aprecia).

Prima problemă care se pune este dacă avem sau nu o decizie, în sensul Regulamentului, respectiv o decizie „care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.”(art. 22 al.1 din Regulament). Acest aspect va trebui analizat de la caz la caz, deoarece interzicerea intrării într-un magazin de haine din care nu aveam o intenție reală să cumpăr ceva, neavând bani la mine nu ar putea produce efecte juridice reale și nici să mă afecteze într-o măsură semnificativă, în timp ce interzicerea intrării în școală pentru a-mi susține examenul de BAC, cu siguranță mă va afecta într-o măsură semnificativă.

A doua problemă este dacă avem sau nu un proces decizional automatizat.

Un proces decizional individual automatizat are loc atunci când se iau decizii în privința persoanei vizate bazate EXCLUSIV pe prelucrarea automată (automatizată), conform art. 22 al. (1) din Regulament. Potrivit prevederilor art. 2 lit. c din Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981, ”prelucrarea automatizată înseamnă următoarele operaţiuni efectuate în totalitate sau parţial cu ajutorul procedeelor automatizate: înregistrarea datelor, aplicarea acestor date prin operaţiuni logice şi/sau aritmetice, modificarea lor, ştergerea, extragerea sau difuzarea; ” Chiar dacă termoscanerul realizează o prelucrare automatizată, procesul decizional nu este bazat exclusiv pe prelucrarea automatizată, existând o intervenție umană. Această intervenție umană, constă în repetarea măsurării temperaturii după 2-5 minute de repaus. Această intervenție umană va putea consta inclusiv în faptul că persoana care utilizează termoscanerul ar putea decide (la instrucțiuni, sau din oficiu) să seteze aparatul cu un grad mai jos, sau să permită intrarea unei persoane care are 37.3 dar fără alte semne de sănătate alterată, sau ar putea chiar să-i permită persoanei compararea temperaturii cu cea arătată de termometrul propriu.  



Este adevărat că dispozițiile legale exprese, nu instituie măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate și deci, prin prisma prevederilor art. 3 din Legea nr. 190/2018, am avea nevoie de consimțământ, dar existența sau inexistența unui proces decizional automatizat, care presupune rigori suplimentare și care ar atrage aplicarea prevederilor art. 3 din Legea nr. 190/2018 va trebui analizat de la caz la caz.”

 

Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): Consider că putem vorbi de un proces decizional automatizat, ținând cont de faptul că această măsură produce efecte juridice ce poate afecta persoana în cauză. Cazul consimțământului explicit consider că este extrem de complicat de gestionat, cu tot ce implică acesta (obținerea unui consimțământ care să îndeplinească toate condițiile de validitate, stocare, distrugere etc.), iar prelucrarea necesară din motive de interes public major nu prezintă garanții, fără să îndrăznesc să pronunț ,,garanții suficiente”. Până acum nu am văzut vreo informare referitoare la procesul de termoscanare în vreun magazin sau la vreun operator vizitat în această perioadă, deci nu poate fi vorba nici măcar de ,,câteva garanții”.”

 

Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software) Tehnologia ia de multe ori fața  legislației și apar des situații pe care autoritățile nu le prevăd. În cazul de față, ordinul de ministru parcă vine în preîntâmpinarea posibilității unui proces decizional automat, prin precizarea că în cazul în care temperatura măsurată depășește valoarea stabilită, procedura de termometrizare se va relua după câteva minute – ceea ce pare să implice o intervenție umană.

Ce facem însă cu operatorii care doresc eficiență și rapiditate, și care își permit să investească în automatizări? Este cunoscut cazul unui operator hotelier din România care a investit într-un sistem de automatizare a deschiderii ușilor comandat de senzori care verifică dacă turistul poartă mască și dacă temperatura acestuia este sub 37.3 grade C.

O altă situație este cea a fabricilor sau marilor intreprinderi, atunci când sute de muncitori ajung la lucru în același timp și soluția termometrizării individuale nu ar fi fiabilă.

În contextul dezvoltării tehnologice actuale și a migrării către automatizarea proceselor, problematica procesului decizional automat va fi din ce în ce mai importantă și va fi nevoie de dezvoltarea unor noi mecanisme care să implementeze o informare corectă și completă a persoanei vizate și obținerea (ne-forțată) a consimțământului acesteia.”

 

Slageana BRANCOV (Avocat, specialist GDPR). Apreciez că, în anumite situații, ar putea fi vorba despre un proces decizional exclusiv automatizat, caz în care, în lipsa consimțământului explicit al persoanelor vizate prelucrarea poate fi privită ca fiind în afara cadrului legal întrucât nu avem nicio dispoziție legală expresă, la nivel intern, care să o permită și care să instituie măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

 

Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Sunt două aspecte: când este implicat un algoritm și când nu este implicat un algoritm. Există implementări de termoscanare unde o cameră cu termoviziune determină temperatura persoanei și nu o lasă să treacă de o anumită barieră. Acolo vorbim clar de un proces decizional automatizat. Mai interesant însă este când avem un om cu termometrul în mână și a cărui termometru arată peste 37.3 grade. În acest caz este decizia omului cu termometrul ce face: repetă măsurarea, întoarce persoana din drum sau o lasă să intre. Ordinul Ministerului Sănătății spune doar că măsurarea temperaturii este obligatorie, iar în cazul „se constată menținerea unei temperaturi peste 37,3ºC sau/și prezența altor simptome respiratorii, persoana este trimisă pentru consult la medicul de familie”. Pe 26 Mai Ministerul Sănătății a venit cu un comunicat în care spune așa: „în cazul în care un client are temperatura peste 37,3 grade Celsius, refuză dezinfectarea mâinilor sau purtarea măștii de protecție i se poate interzice intrarea în spațiul închis.” Nimic despre obligativitate; deci este la latitudinea „cerberului” dacă lasă persoana să intre sau nu. Deci avem o intervenție umană clară – a celui care măsoară temperatura și ia decizia dacă lasă persoana să intre sau nu. Într-un asemenea caz nu vorbim de un proces decizional automatizat, așa cum este el foarte bine descris în ghidul WP251 emis de EDPB (fostul Grup de Lucru 29), care la capitolul IV punctul A dă următorul exemplu: „Un proces automat are ca rezultat ceea ce este, de fapt, o recomandare cu privire la o persoană vizată. Dacă o ființă umană examinează și ține cont de alți factori în luarea deciziei finale, decizia respectivă nu ar fi „bazată exclusiv” pe prelucrarea automată.”

 

Ruxandra SAVA (Avocat, CIPP/e): „Art. 3 alin. (1) din Legea nr. 190/2018 prevede că „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Temperatura corpului se încadrează în categoria datelor privind sănătatea.

Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.

Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.

Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)

Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.”

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



GDPR-2018.jpg




La data de 4 mai 2020, Comitetul European pentru Protecția Datelor („CEPD”) a adoptat o versiune actualizată a ghidului privind consimțământul GDPR . Noile recomandări sunt destinate să asigure un consimțământ lipsit de ambiguitate. Vom indica mai jos, pe scurt, principalele modificări:

1. CEPD a statuat că „consimțământul nu poate fi considerat ca acordat în mod liber dacă un operator argumentează că acordul este liber pentru că persoana vizată poate să aleagă între a-și da consimțământul pentru utilizarea serviciilor sale sau a alege un serviciu echivalent al altui operator”. CEPD consideră că, în acest context, „un furnizor de servicii nu poate interzice accesul la servicii pentru simplul fapt că persoana vizată nu își dă consimțământul.

Te-ar putea interesa și: Consimțământul GDPR. Ghid complet pentru operatorii de date

2. CEPD statuează că “access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user”. În continuare, CEPD oferă drept exemplu ferestrele pop-up de cookies care interzic utilizatorilor care nu acceptă utilizarea modulelor cookies care nu sunt necesare să acceseze site-ul. Potrivit CEPD, aceste practici de cookies nu sunt conforme cu GDPR deoarece utilizatorul (persoana vizată) nu are o alegere reală.

3. CEPD consideră că acțiuni precum scrollul în interiorul unei pagini web sau orice alte activități similare ale utilizatorului nu reprezintă o acțiune clară și afirmativă, iar consimțământul nu este valabil din punct de vedere GDPR. Cu alte cuvinte, bannerele de cookies care statuează că navigarea implică acceptul utilizării modulelor cookies nu sunt conforme cu GDPR, deoarece nu există o alegere reală a utilizatorului.

 

KIT GDPR Premium

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



white-drone-hovering-bright-blue-sky_158595-3345.jpg




Conseil d’État, cea mai înaltă instanță administrativă din Franța a interzis recent printr-o decizie  utilizarea dronelor de către autoritățile franceze în contextul urmăririi cetățenilor pentru a depista dacă se încalcă regulile de distanțare. Instanța a stabilit că supravegherea cetățenilor prin drone de către poliție trebuie să fie interzisă deoarece se încalcă dreptul la viață privată atâta timp cât tehnologia utilizată permite filmarea și identificarea persoanelor fizice și nu s-a obținut autorizația din partea autorității de supraveghere a prelucrării datelor cu caracter personal din Franța, CNIL. 

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



GDPR-2018.jpg





Azi, 25 mai 2020, se împlinesc 2 ani de când Regulamentul General privind Protecția Datelor (GDPR) se aplică direct în România.

Subiectul termoscanării este pe buzele tuturor. Opiniile lansate în spațiul public variază. O parte din specialiști spun că nu este vorba de prelucrarea datelor personal, iar alții sunt de părere că termoscanarea poate prelucra date personale și devine incident GDPR care prevede amenzi care pot ajunge până la 4% din cifra de afaceri pentru prelucrări neconforme.

Silvia Uscov și Ruxandra Sava, avocate în Baroul București, au transmis azi, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării.  Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.

Petiția conține 84 de pagini și începe cu un citat al scriitorului Gabriel Garcia Marquez: „Toate ființele umane au trei vieți: o viață publică, o viață privată și o viață secretă”

Potrivit petitiției, „(…) Măsurarea temperaturii prin tehnologii evoluate și invazive poate prezenta riscuri pentru viața privată și pentru celelalte drepturi ale omului. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice. În contextul în care o parte din specialiștii în drept afirmă că termoscanarea nu cade, în nicio situație, sub incidența RGPD, există riscul ca organizațiile să nu se conformeze prevederilor RGPD ce poate avea ca urmări atât riscuri mari la adresa drepturilor și libertăților persoanelor vizate, cât și scăderea încrederii persoanelor ceea ce poate avea drept consecință frânarea procesului de combatere a pandemie. RGPD, pentru majoritatea organizațiilor, este o lege complexă și dificilă de aplicat, iar ANSPDCP este autoritatea care poate aduce o doză ridicată de conștientizare pentru a realiza atât combaterea pandemiei prin creșterea încrederii publicului, cât și evitarea prejudiciilor asupra persoanelor vizate prin alinierea organizațiilor la prevederile RGPD.”

Silvia Uscov și Ruxandra Sava sunt de părere și că petiția justifică urgența și prin faptul că în perioada următoare urmează examenele elevilor, iar școlile și licee trebuie să aibă niște orientări în baza cărora pot organiza examenele în condiții de confidențialitate și cu impact minim asupra drepturilor și libertăților copiilor.

Petiția adresează 23 de întrebări către ANSPDCP cu privire la interpretarea GDPR în situația termoscanării acoperă subiect precum:




  • În ce condiții poate fi temperatura o dată cu caracter personal în contextul termoscanării?
  • Suntem în prezența unor date privind sănătatea?
  • Poate fi termoscanarea considerată, în anumite condiții, un proces decizional automatizat interzis de Legea nr. 190/2018?
  • Ce se întâmplă dacă o persoană își exercită dreptul de restricționare?
  • Ce sancțiuni riscă operatorii care implementează termoscanarea fără a alinia procesul la GDPR?
  • Ce tehnologii de termoscanare trebuie să aleagă companiile pentru a respecta RGPD?
  • Pot fi utilizate tehnologii din China?
  • Ar trebui operatorii să afișeze la intrare o plăcuță de informare?

 

Redăm cele 23 de întrebări din petiția adresată ANSPDCP mai jos:

  1. În interpretarea art. 4 pct. 1 RGPD, poate fi considerată temperatura corpului o „dată cu caracter personal”?

 

  1. În interpretarea art. 4 pct. 15 RGPD, poate fi considerată temperatura corpului o „dată privind sănătatea”?

 

  1. Observăm că există mai multe soluții pentru măsurarea O parte din acest soluții stochează date personale (camere termografice cu soft integrat, dispozitive de tip „wearable” – brățări, ceasuri etc). Considerați că pentru a se da eficacitate principiului reducerii la minimum a datelor (art. 5 alin. 1. lit c) RGPD), operatorii ar trebui să utilizeze tehnologia cu cea mai mică intruziune în viața privată? Dacă da, care ar trebui să fie criteriile de care ar trebui să țină cont operatorii atunci când achiziționează astfel de tehnologii?

 

  1. În interpretarea art. 4 pct. 15 RGPD, dacă tehnologiile prin care se măsoară temperatura prelucrează (stochează) date privind temperatura corpului, ne aflăm în situația unei prelucrări de date care intră sub incidența RGPD și Legii nr. 190/2018?

 

  1. În interpretarea art. 4 pct. 1, 2, 5, 6, 14 și 15 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul termometrelor digitale non-contact și neconsemnarea rezultatului într-un registru reprezintă o prelucrare de date cu caracter personal? Dacă da, care sunt temeiurile în baza cărora se poate realiza prelucrarea acestei categorii speciale de date cu caracter personal? Poate fi considerată această prelucrare ca respectând cerințele de proporționalitate cu obiectivul legitim urmărit în condițiile în care temperatura de peste 37.3 grade Celsius nu reprezintă un diagnostic pentru Covid-19?

 

  1. În interpretarea art. 4 pct. 1, 2, 5, 6, 14 și 15 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul termometrelor digitale non-contact și consemnarea rezultatului într-un registru sau captarea rezultatului măsurătorii și a persoanei prin camere CCTC reprezintă o prelucrare de date cu caracter personal? Dacă da, care sunt temeiurile în baza cărora se poate realiza prelucrarea acestei categorii speciale de date cu caracter personal? Poate fi considerată această prelucrare ca respectând cerințele de proporționalitate cu obiectivul legitim urmărit în condițiile în care temperatura de peste 37.3 grade Celsius nu reprezintă un diagnostic pentru Covid-19?

 

  1. În interpretarea art. 4 pct. 1, 2, 5, 6, 14 și 15 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul camerelor termografice (termoscanare) sau a dispozitivelor pe care le poarta persoana vizată asupra sa reprezintă o prelucrare de date cu caracter personal? Dacă da, care sunt temeiurile în baza cărora se poate realiza prelucrarea acestei categorii speciale de date cu caracter personal? Poate fi considerată această prelucrare ca respectând cerințele de proporționalitate cu obiectivul legitim urmărit în condițiile în care temperatura de peste 37.3 grade Celsius nu reprezintă un diagnostic pentru Covid-19?

 

  1. În interpretarea art. 3 alin. (1) din Legea nr. 190/2018 și art. 22 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul camerelor termografice (termoscanare) sau a dispozitivelor pe care le poartă persoana vizată asupra sa poate fi considerată un proces decizional automatizat? Dacă da, care sunt situațiile în care suntem în prezența unui proces decizional automatizat nepermis de art. 3 alin. (1) din Legea nr. 190/2018? Dacă ne aflăm în situația unui proces decizional automatizat, care e sancțiunea în temeiul RGPD?

 




  1. În interpretarea art. 5 alin. (1) lit. a), art. 12 și 13 din RGPD, dacă tehnologiile prin care se măsoară temperatura prelucrează (stochează) date privind temperatura corpului, este necesară informarea persoanelor înainte de prelucrare? Dacă da, considerați că ar fi necesară o plăcuță de informare la intrarea în locație? În lipsa notei de informare care este sancțiunea în temeiul RGPD?

 

  1. În interpretarea art. 5 alin. 1 lit d) RGPD („exactitate”), în situația în care termoscanarea ar da eroare, iar unui angajat i s-ar interzice accesul la locul de muncă, operatorul ar încălca principiul exactității și ar putea fi sancționat în temeiul RGPD? Dacă da, care ar fi sancțiunea în temeiul RGPD?

 

  1. În interpretarea art. 5 alin. 1 lit d) („exactitate”), în situația în care termoscanarea ar da eroare, iar unui elev i s-ar interzice accesul la un examen, operatorul ar încălca principiul exactității și ar putea fi sancționat în temeiul RGPD? Dacă da, care ar fi sancțiunea în temeiul RGPD?

 

  1. Potrivit art. 2 din Ordinul 3577/831/2020, pe durata stării de alertă, toți angajații din sectorul public și privat au obligația să accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu. RGPD instituie standarde ridicate pentru consimțământ,iar potrivit art. 4 pct. 11 din RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Considerăm că noua formă de consimțământ introdusă recent de Ministerul Muncii și-a pierdut caracterul liber. Considerați că noua formă de consimțământ introdusă de Ministerul Muncii intră în conflict cu prevederile RGPD?

 

  1. În interpretarea art. 18 din RGPD (dreptul la restricționare) și având în vedere că nu s-a derogat de la acest articol prin dreptul intern, dacă persoana vizată contestă exactitatea măsurării temperaturii, în ce măsură poate da operatorul eficacitate acestui drept având în vedere restricționarea prelucrării ar conduce către riscul infectării altor persoane în situația în care persoana suferă de COVID-19? Dacă operatorul refuză să răspundă la cererea de restricționare, operatorul ar încălca RGPD? Dacă da, care ar fi sancțiunea în acestă situație?

 

  1. În interpretarea art. 22 din RGPD și având în vedere că nu s-a derogat de la acest articol prin dreptul intern, are dreptul persoana vizată să se opună procesului decizional automat realizat prin termoscanare? Dacă operatorul refuză să dea eficacitate acestui drept, operatorul ar încălca RGPD? Dacă da, care ar fi sancțiunea în acestă situație?

 

  1. În interpretarea art. 25 din RGPD care ar fi măsurile pe care ar trebui să le pună în aplicare operatorul pentru a respecta RGPD?

 

  1. În interpretarea art. 26 din RGPD dacă doi operatori decid să folosească împreună o tehnologie de termoscanare, au calitatea de operatori asociați?

 

  1. În interpretarea art. 28 din RGPD, furnizorii de soluții de termoscanare pot avea calitatea de persoana împuternicită? Dacă răspunsul este da, ce garanții adecvate ar trebui să prezinte aceștia?

 

  1. În interpretarea art. 30 din RGPD, considerați că operatorii și persoanele împuternicite ar trebui să își actualizeze evidența activităților de prelucrare și cu privire la activitatea de termoscanare?

 

  1. În interpretarea art. 33 din RGPD considerați că este necesară notificarea ANSPDCP dacă intervine un incident de securitate asupra înregistrărilor cu privire la temperatura corpului?

 

  1. În interpretarea art. 34 din RGPD considerați că este necesară informarea persoanelor vizate dacă intervine un incident de securitate asupra înregistrărilor cu privire la temperatura corpului?

 

  1. În interpretarea art. 35 din RGPD și Deciziei ANSPDCP nr. 174/2018, considerați că este necesară efectuarea unei evaluări a impactului înainte de introducerea termoscanării? Dacă da, considerați că la efectuarea evaluării de impact ar trebui luată în calcul și opinia persoanelor vizate?

 

  1. În interpretarea art. 36 din RGPD, dacă rezultatul evaluării impactului prezintă riscuri mari pentru persoanele vizate, considerați că este necesară consultarea prealabilă ANSPDCP? În situația termoscanării, ce ar însemna riscuri ridicate cu privire la drepturile și libertățile persoanelor vizate?

 

  1. În interpretarea art. 44 -50 RGPD privitoare la transferurile internaționale de date, considerați că termoscanerele cu soft integrat achiziționate de la furnizori din China pot fi utilizate de către organizații? Care ar fi sancțiunea RGPD în situația în care o organizație ar încălca regulile tranferului internațional de date?

Silvia Uscov, Avocat, Managing Partner în cadrul USCOV | Attorneys at law

contact: silvia.uscov@uscov.eu

 

Ruxandra Sava, Avocat, Certified Privacy Professional/Europa, CIPP/e

contact: ruxandra.sava@legalup.ro

 

Ruxandra Sava: „Este termoscanarea vizată sau nu de RGPD? Poate fi, dacă tehnologiile folosite prelucrează date personale. Ordinul MS MAI spune că se vor folosi tehnologii care nu stochează date, dar cu toate acestea, din diverse rațiuni economice (eliminarea factorului uman, automatizare etc), pot exista situații în care companiile să aleagă tehnologii care prelucrează date, de tipul camerelor termografice cu soft integrat. Eu nu sunt nici pro, nici contra termoscanării atâta timp cât ea este implementată respectând legea și drepturile persoanelor vizate. Mă interesează îndeosebi opinia ANSPDCP cu privire la posibilitatea ca termoscanarea prin tehnologii superioare să se încadreze în noțiunea de proces decizional automatizat prin prelucrarea datelor privind sănătatea, proces interzis de Legea nr. 190/2018 care pune în aplicare RGPD. Cred că opinia ANSPDCP contează și cu privire la tipurile de tehnologii pe care le pot folosi companiile pentru o minimă intruziune în viața privată și ce au de făcut concret organizațiile pentru a nu risca o amendă din partea ANSPDCP.”

 

Silvia Uscov: „Am considerat ca se justifică formularea unei petiții către autoritatea națională, care are atribuții și de orientare în domeniu, nu numai de sancționare a operatorilor de date cu caracter personal, având în vedere următoarele:

a) celelalte autorități cu atribuții similare din statele membre UE au formulat deja opinii cu privire la soluțiile de termometrizare/termoscanare prin raportare nu doar la RGDP, dar și la legislația lor națională
b) există două curente de opinie în România, persoane care se opun unor asemenea măsuri și le consideră disproporționate, dar și persoane care doresc implementarea lor pe scară largă, apreciind că, astfel, se reduce procentul de infectare a persoanelor cu SARS-CoV-2. Tot în contextul celor două curente de opinie unii apreciază ca se prelucrează date cu caracter personal, alții că nu se prelucrează, iar lămuririle oferite de autoritate sunt deosebit de importante, cu atât mai mult cu cât Ordinul comun MS-MAI impune ca termometrizarea/termoscanarea să nu se realizeze cu prelucrarea datelor cu caracter personal.
c) pot exista situații în care se încalcă nu doar RGDP, dar și drepturile fundamentale ale omului, caz în care trebuie pus în balanță interesul public vs. interesul individual 
d) consider că, dacă adoptăm soluția termometrizării/termoscanării, atunci, după caz, e nevoie fie de consimțământul persoanei, fie măcar de o notă de informare a persoanei vizate, dar, din practică, nu am întâlnit sau sunt foarte puține cazuri în care se respectă aceste prevederi referitoare la nota de informare astfel încât nu știi cum și unde sunt stocate datele tale, pe ce perioadă sunt stocate, care sunt drepturile tale și modalitatea de exercitare etc.
e) cel mai important motiv se leagă de necesitatea de a minimiza prelucrarea datelor cu caracter personal în contextul dezvoltării inteligenței artificiale, preocupare pe care o manifest constant.”

 

 




IMG-20200520-WA0000.jpg




Termoscanarea este un subiect pe buzele tuturor în perioada asta. Părerile sunt împărțite: o parte din oameni se tem de noile tehnologii, alții cred că cei din prima categorie sunt paranoici. Adevărul este undeva la mijloc și în majoritatea cazurilor depinde de tehnologia folosită. Dacă se folosesc termometre clasice care nu prelucrează și imagini faciale sau alte date biometrice, nu ar trebui să ne îngrijorăm. Însă dacă se folosesc camere termale cu soft integrat, motivele de îngrijorare pot fi întemeiate având în vedere că acestea prelucrează date biometrice care pot identifica unic o persoană.

Motivele de îngrijorare pot fi cu atât mai mari cu cât tehnologiile provin sau sunt fabricate în state care nu au un nivel adecvat de protecție a datelor potrivit Comisiei Europene. Vorbim de state precum China sau Rusia.

Indiferent de nivelul de securitate (criptare, anonimizare, pseudonimizare) al acestor tehnologii, adevărul că nicio măsură de securitate nu este complet sigură, iar procesul de criptare/anonimizare/pseudonimizare poate fi inversat ajungându-se la identificarea persoanei. În consecință, furnizorii de soluții IT din statele care au pus în circulație astfel de produse pot accesa date personale ale cetățenilor Uniunii Europene deși nu protejează datele potrivit Comisiei Europene.

Potrivit Comisiei Europene, în afară de statele membre al Uniunii, doar următoarele state prezintă un nivel adecvate de protecție a datelor: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay,  Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield).

Prin urmare, atunci când achiziționezi o cameră termală cu soft integrat trebuie să te asiguri că ea provine din Uniunea Europeană sau că provine din următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina.

Cu privire la SUA trebuie să verifici dacă furnizorul (producătorul) este inclus în această listă. 

Dacă furnizorul/producătorul nu se află în statele de mai sus sau în Privacy Shield List, iar tu folosești o cameră termală cu soft integrat din alt stat, vei încălca GDPR. Amenda poate ajunge până la 4% din cifra de afaceri și având în vedere că vorbim de un transfer date sensibile („biometrice”) către state netolerate din punct de vedere al protecției datelor, amenzile se pot orienta către maxim.

Te-ar putea interesa și:

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



futuristic-artificial-intelligence-face-technology-background_1017-18295.jpg




Conform Wired, ,,Până în 2050, vor exista 9 miliarde de oameni de hrănit, îmbrăcat, transportat, angajat și educat. Suntem angrenați într-o economie mondială bazată pe creștere, care trebuie să se umfle timp de secole, furnizând un consum nelimitat tuturor. Cu noua tehnologie, am putea adăuga o lume digitală care să ajute toată lumea să reușească și să prospere în timp ce lucrează împreună? Am putea deveni o lume de succes în care măreția este normală?”

Suntem pregătiți cu adevărat pentru digitalizare?

Implementarea de programe informatice la nivel rural părea un vis cu mult prea măreț pentru un stat precum România. Atunci când au fost puse bazele creării unui sistem informatic în rural, scepticismul nu a întârziat să apară. Cu toate acestea, la nivel micro, activitatea ONG-urilor s-a dovedit a fi una benefică și a condus la înlăturarea scepticismului oamenilor și la formarea și dezvoltarea de programe care să faciliteze accesul la informație (A se vedea studiile Anei Caras, Etică și dezvoltare comunitară, Editura Lumen, Iași, 2013.). În decursul anilor, atât la nivel micro, cât și la nivel macro, tehnologia și utilizarea acesteia nu a mai reprezentat o problemă. Astăzi toată lumea dispune de acces facil la rețeaua de internet (excluzând condițiile de natură economică, socială). Internetul a înglobat cu precădere sfera de socializare în relațiile interumane, însă, treptat, persoanele au început să selecteze cantitatea și calitatea informației distribuite sau receptate. Prin raportare la contextul actual, se pare că omenirea progresează întru și pentru digitalizare. Desigur, protecția vieții private rămâne o constantă în desfășurarea oricărui tip de activitate – online sau offline. De altfel, la nivel practic s-au remarcat următoarele aspecte, pe care le vom reda punctual:

 



1.Creșterea comerțului electronic (e-commerce) și a tehnologiei la nivel online, fapt ce implică și o creștere a riscurilor privind viața privată și confidențialitatea datelor;

,,Creșterea comerțului electronic și a tehnologiei Internetului reflectă o abundență de noi preocupări privind confidențialitatea. Într-o eră în care utilizatorii pot lucra de la distanță, își pot gestiona afacerile personale și pot accesa o cantitate mare de informații în câteva clicuri pe un mouse, confidențialitatea nu mai este ceea ce era înainte. Abilitatea de a fi urmărit într-o societate digitală are ca efect transformarea consumatorului în produsul consumat, deoarece informațiile despre activitățile de zi cu zi sunt aspirate într-un fișier pentru o analiză ulterioară”(Traducere, John MacDonnell, Exporting Trust: Does E-Commerce Need a Canadian Privacy Seal of Approval?, 2001, 39, Alberta L. Rev. 346 at 349, Mac Donnel, citat în David Dubrovsky, Protecting Online Privacy in the Private Sector: Is there a better model?, op.cit. pp. 172-173).

 

Te-ar putea interesa și:

 

2.Inexistența sau lipsa unui control fundamentat, concret, obiectiv, și imposibilitatea de a cunoaște situațiile în care suntem urmăriți/ Fenomenul de data tracking;

,,Problema majoră cu care se confruntă utilizatorii de internet astăzi este incapacitatea de a ști când sunt urmăriți: În cyberspace, supravegherea nu se auto-autentifică. Nimic nu dezvăluie dacă ești urmărit, deci nu există o bază reală pe care să o consimți ”(John MacDonnell, Exporting Trust: Does E-Commerce Need a Canadian Privacy Seal of Approval?, 2001, 39, Alberta L. Rev. 346 at 349, Mac Donnel, citat în David Dubrovsky, Protecting Online Privacy in the Private Sector: Is there a better model?, op.cit. pp. 172-173)

KIT GDPR Premium

Data tracking sau despre cât de ,,în siguranță” mai suntem în online

Conceptul de ,,data tracking”, tradus punctual înseamnă ,,urmărirea datelor”. Acest concept este aplicat în sfera online-ului, ori de câte ori accesăm în serviciu, produs, o pagină web. Platforma Internethealthreport.org prezintă în cadrul articolului The good, the bad and the ugly sides of data tracking modalitatea în care se produce urmărirea datelor, astfel:

,,Imaginați-vă o zi obișnuită online: începeți să verificați textele și e-mailurile, apoi derulați prin Twitter în autobuz și postați o fotografie cu cafeaua dvs. de dimineață pe Instagram, etichetând cafeneaua (…) Acestea sunt doar câteva site-uri web, dar de fiecare dată când sunteți online, lăsați în urmă urme ale activității voastre. În spatele scenei, o serie de companii „terțe părți” – entități separate de site-urile pe care le-ați vizitat – vă pot urmări activitatea și colecta datele pe măsură ce vă deplasați pe Web (Sursa aici)

De la real la digital sau despre digitalizare în România

Procesul de digitalizare presupune codificarea numerică a unei informații. Digitalizarea de la nivel intern a devenit un fenomen amplu, dar care câștigă pe zi ce trece teren. Depunerea unui act, care alteori necesita ore întregi de așteptare la coadă, se află astăzi la doar un click distanță.  În materie de digitalizare, România a făcut pași importanți, cel mai recent fiind reprezentat de înființarea Autorității pentru Digitalizarea României. Hotărârea de Guvern nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României (ADR) cuprinde prevederi relevante, pe care le vom reda punctual, menționând faptul că analiza acestei autorități face obiectul unui articol anterior.

Autoritatea pentru Digitalizarea României exercită următoarele funcțiide strategie, prin care planifică strategic şi asigură elaborarea şi implementarea politicilor în domeniul transformării digitale şi societăţii informaţionale; de reglementare, prin care reglementează participarea la elaborarea cadrului normativ şi instituţional în domeniul transformării digitale şi societăţii informaţionale, inclusiv cu privire la interoperabilitatea sistemelor informatice ale instituţiilor publice; de avizare; de reprezentare, prin care asigură, în numele Guvernului, reprezentarea în organismele şi organizaţiile naţionale, regionale, europene şi internaţionale, ca autoritate de stat, pentru domeniul său de activitate, în conformitate cu cadrul normativ în vigoare; de autoritate de stat, prin care se asigură urmărirea şi controlul respectării reglementărilor în domeniul său de competenţă; de administrare şi gestiune; de promovare, coordonare, monitorizare, control şi evaluare a realizării politicilor în domeniul său de competenţă, precum şi a cadrului naţional de interoperabilitate; de comunicare, prin care se asigură comunicarea atât cu celelalte structuri ale sectorului public, cât şi cu sectorul privat şi societatea civilă; de implementare şi gestionare a proiectelor finanţate din fonduri europene, precum şi a programelor şi proiectelor finanţate din fonduri naţionale şi alte surse legal constituite; de organism intermediar.

De asemenea, prin raportare la contextul actual, a fost dezvoltată platforma aici.gov.ro, platformă care permite depunerea documentelor online, momentan privind următoarele proceduri:

  • Procedură acordare indemnizație pentru persoanele care își desfășoară activitatea în baza contractelor de activitate sportivă;
  • Procedură acordare șomaj tehnic potrivit OUG nr. 30/2020 modificată prin OUG nr. 32/2020;
  • Procedură acordare indemnizație pentru personalul încadrat în muncă la un angajator prin altă modalitate prevăzută de lege;
  • Procedură acordare indemnizație pentru persoanele fizice care obțin venituri exclusiv din drepturile de autor și drepturile conexe;
  • Procedură acordare indemnizație pentru persoanele care au încheiate convenții individuale de muncă în baza Legii nr.1/2005 privind organizarea și funcționarea cooperației;
  • Procedură acordare indemnizație persoane fizice autorizate (PFA), întreprinderi individuale (II) și familiale (IF), profesii liberale (PF).

Această platformă cuprinde și un ghid de utilizare, ce poate să fie consultat aici.

De asemenea, în cadrul statului român a avut loc prima desfășurare a unui proces de judecată în sfera online-ului, prin intermediul unui platforme digitale:

,,În data de 03.04.2020, ora 11:30, a avut loc primul proces din România, realizat exclusiv printr-o platformă online. La derularea acestuia și-au dat concursul Magistrat Mihaela ROIBU – judecător în cadrul Tribunalului Timiș, Secția I Civilă, Daniel Adam – grefier în cadrul Tribunalului Timiș, Secția I Civilă și membrii fondatori ai grupului Digital Law, în ordine alfabetică, respectiv Avocat Dragoș Benga din Baroul Brașov, Avocat Sergiu Capisizu, Avocat Tudor Colțan și Avocat Diana Ghinculov din Baroul București, Avocat Antonio Iordan Prodecanul Baroului Brăila, Avocat Călin Iuga din Baroul Cluj, Avocat Șerban Lovin Decanul Baroului Ilfov, Avocat Dragoș Nicu Prodecanul Baroului Dolj și Avocat Sergiu I. Stănilă Decanul Baroului Timiș”.

În această sferă se pare că există un progres însemnat, având în vedere faptul că procedura judiciară era receptată la nivel public ca fiind una rigidă, confidențială. Se pare că digitalizarea a cunoscut un ,,boom” în momentul în care a existat necesitatea de desfășurare a activităților prin adaptare la contextul social existent. Și în această situație, digitalizare pare să fie o ,,operă benefică”. Desigur, dacă am avea în vedere și aspectele ce țin de protecția datelor și de confidențialitate, ar fi necesar să subliniem faptul că orice activitate trebuie să asigure, aprioric, protecția datelor persoanelor.

Scurte concluzii

Viața privată trebuie să primeze, în mod independent de fenomenul digitalizării. Tehnologia, pe de altă parte, în mod independent de viața privată, își va urma cursul ,,firesc”. Acest din urmă aspect trebuie să aibă în vedere, într-o societate democratică, elemente precum proporționalitatea și să se raporteze întotdeauna la ,,necesitatea de a cunoaște”. Necesitatea de a cunoaște suscită ample dezbateri, dar ea trebuie să se supună doleanțelor cetățenilor și să fie raportată la drepturile și libertățile fundamentale. Desigur, nu puteam discuta despre o supraprioritzare a drepturilor, cu toate că aceasta este necesară. Trebuie să avem în vedere faptul că orice accesare în sfera online-ului nu ne va garanta în mod automat și protecția. De aceea, în situații-cheie, se impune verificarea atentă a consimțământului persoanei sau verificarea realizării unei informări anterioare cu privire la posibilitatea prelucrării datelor sale.

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



maxresdefault-1200x675.jpg





În prezent, mulți specialiști emit opinii dacă termoscanarea este legală sau este ilegală. Am o dublă specializare care îmi permite să ofer o opinie fundamentată pe subiectul termoscanării. Sunt avocat în Baroul București specializat pe dreptul tehnologiei și al protecției datelor și profesionist în protecția datelor acreditat de IAPP. Articolul de mai jos a fost publicat inițial pe platforma juridice.ro.

I. Introducere, noțiune și context

În România, masura luării temperaturii a fost introdusă în mod obligatoriu prin Ordinul MS-MAI nr. 874/2020. În situațiile unde munca de la domiciliu nu este posibilă, organizațiile (publice sau private) vor asigura triajul epidemiologic constând în controlul temperaturii personalului și/sau al vizitatorilor.

Totodată, potrivit art. 3 alin. 1 din Legea nr. 190/2018 „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Întrucât nu există în prezent în România nicio lege care să permită utilizarea temoscanării prin prelucrarea datelor, în măsura în care se înregistrează date, termoscanarea se poate realiza doar cu acordul explicit al persoanei vizate.

II. Termoscanarea, RGPD și Legea nr. 190/2018

(1) Este termoscanarea o activitate de prelucrare de date cu caracter personal în temeiul RGPD?

Da, potrivit art. (4) pct. (2) din RGPD, termoscanarea poate fi o activitate de prelucrare de date cu caracter personal în temeiul RGPD[1] în măsura în care datele cu caracter personal sunt înregistrate într-un sistem de evidență.

Cu toate acestea, simpla luare a temperaturii prin utilizarea unui temometru și fără a permite înregistrarea nu reprezintă o activitate de prelucrare în temeiul RGPD. Însă, deși luarea manuală a temperaturii cu termometre clasice sau non-contact nu reprezintă o prelucrare în temeiul RGPD, riscurile cu privire la drepturile omului (stigmatizare, excluziune socială, discriminare etc) sunt în continuare prezente, de aceea, organizațiile ar trebui să implementeze măsuri concrete pentru drepturile omului chiar dacă se merge pe termometrizare manuală.

KIT GDPR Premium

 

(II) Se încadrează temperatura corpului în noțiunea de date cu caracter personal?

Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal[2] așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special[3] (datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.

Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD)[4]:
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”

1.Primul element: „Orice informații”

Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.

2. Al doilea element: „referitoare la”

Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.

Potrivit CEPD[5]„informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.

(…)

Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.

(…)

Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”

Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.

3. Al treilea element: „identificată sau identificabilă”



Potrivit CEPD[6]„În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).

(…)

Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”

Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.

Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.

Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.

4. Al patrulea element: persoană fizică

Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.

În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.

 

(III) Este termoscanarea un proces decizional automatizat în sensul Legii nr. 190/2018?

Art. 3 alin. (1) din Legea nr. 190/2018 prevede că Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Temperatura corpului se încadrează în categoria datelor privind sănătatea.

Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.

Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.

Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)

Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.

KIT GDPR Premium

 

(IV) Încalcă termoscanarea RGPD?

Având în vedere că, așa cum am arătat la punctul anterior, termoscanarea este un proces decizional automatizat bazat pe prelucrarea datelor privind starea de sănătate (temperatura) interzis în mod expres de către Legea nr. 190/2018 în absența consimțământului explicit sau în absența unei legislații interne, considerăm că termoscanarea care înregistrează date este nelegală.

În prezent nu există nicio dispoziție legală care să permită termoscanarea cu înregistrarea datelor personale. Ordinul MS-MAI permite doar termoscanarea fără înregistrarea datelor.

În consecință operatorii care folosesc termoscanarea prin tehnologii care înregistrează date (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”) vor încălca principiul legalității prevăzut de RGPD (art. 5 alin. (1) lit. a)) și riscă amenzi care pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro.

(V) Este consimțământul din Ordinul nr. 3577/2020 valabil?

Potrivit art. 2 din Ordinul nr. 3577/302020, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toți angajații din sectorul public sau privat acceptă verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.

A se observa faptul că Ministerul Muncii și Protecției Sociale a instuit o formă de consimțământ viciat care intră în contradicție cu prevederile RGPD. Potrivit RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.[7]

(VI) Ce au de făcut organizațiile care introduc termoscanarea pentru a respecta RGPD?

Chiar dacă efectuarea triajului epidemiologic este o obligație legală potrivit legislației naționale, RGPD continuă să se aplice, iar companiile trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate a nu înregistra date personale atunci când măsoară temperatura, de exemplu să aleagă tehnologia care nu înregistrează date.

V. Tipuri de tehnologii

Ordinul MS MAI nu face diferențierea între tipurile de tehnologii disponibile și care pot fi utilizate în mod securizat astfel încât să nu se înregistreze date, de aceea considerăm că este necesară analizarea tipurilor de tehnologii disponibile pe piață pentru a descoperi gradul fiecăruia de intruziune în viața privată. Potrivit ICO, în situația termoscanării trebuie achiziționată tehnologia cu cea mai mică intruziune în viața privată.[8]Potrivit Autorității de Supraveghere din Cipru, organizațiile, înainte de a introduce termoscanarea, ar trebui să fie conștiente de capacitățile tehnice pe care le au termoscanarele și ce date cu caracter personal colectează.[9]

A. Temometre digitale non-contact

Acesta tehnologie prezintă riscuri mici pentru viața privată, cu toate acestea există posibilitatea de a se înregistra date, ca de exemplu în situația în termometrul digital non-contact are opțiunea de a memora ultimele măsurători sau de exemplu în situația în care un operator are instalate sisteme CCTV care înregistrează fața unei persoane și valoarea temperaturii pe ecranul termometrului.

Exemplu: Angajatului X i se ia temperatura printr-un termometru digital non-contact la accesul în incinta Organizației ABC care are amplasate sisteme CCTV care sunt surprind atât angajatul, cât și temperatura care apare pe termometrul digital. În aceste cazuri, se pot înregistra date deoarece sistemele CCTV pot înregistra date biometrice (imagini faciale) și rezultatul temperaturii.

Dacă se vor înregistra date personale, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.

B. Camere termografice cu soft integrat

Aceste tehnologii pot prezenta avantaje pentru anumite organizații deoarece nu mai este nevoie de intervenția unui operator uman. Aceste tehnologii înregistrează date cu caracter personal, prin urmare suntem de părere operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.

Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.





C. Dispozitive de tip „wearable” (brățări, ceasuri etc)

Aceste tehnologii înregistrează date cu caracter personal și prelucrează datele în mod continuu atâta timp cât dispozitivul este utilizat de către persoana vizată, prin urmare considerăm că operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.

Riscurile asociate acestor tehnologii sunt ridicate pentru că implică o prelucrare continuă și există riscul încălcării principiului limitării stocării (art. 5 alin. (1) lit. e) RGPD) și principiului reducerii la minimum a datelor (art. 5 alin. (1) lit. c) RGPD), precum și riscul încălcării celorlalte principii RGPD.

Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.

VI. Este termoscanarea o procedură medicală?

Vom analiza în continuare noțiunea de „procedură medicală” pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală care poate fi realizată doar cu acordul informat al pacientului.

Definiție

Noțiunea de „procedură medicală” este consacrată de legislația română prin Legea drepturilor pacientului nr. 46/2003 sub noțiunea de „intervenție medicală”, noțiune pe care o vom analiza în cele ce urmează pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală.

Noțiunea de „procedură medicală” nu există în legislația română, însă, deși nu are relevență din punct de vedere juridic, vom trece în revistă definiția oferită de Wikipedia „o activitate medicală desfășurată asupra unei persoane cu scopul de a îmbunătăți sănătatea, trata o boală sau cu scopul de a pune un diagnostic”.[10]

Potrivit Legii nr. 46/2003 prin intervenție medicală se înțelege „orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare.”

Definiția de mai sus cuprinde patru elemente esențiale care vor fi analizate în mod separat în acest articol pentru a descoperi dacă dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală. Aceste elemente sunt următoarele:
1. „orice examinare, tratament sau alt act medical”;
2, „în scop de diagnostic preventiv”;
3. „în scop terapeutic”;
4. „în scop de reabilitare”.

Aceste patru elemente sunt strâns legate și pentru a descoperi dacă termoscanarea în acest context este o procedură medicală, aceste elemente trebuie analizate atât împreună, cât și separat.

– Primul element: orice examinare, tratament sau alt act medical”

Analiza gramaticală a textului de mai sus (existența conjuncției simple „sau” înainte de sintagma „alt act medical”) conduce către concluzia că, pentru a se încadra în noțiunea de intervenție medicală, examinările sau tratamentele trebuie să fie medicale, adică realizată de o persoană autorizată să practice medicina în România.

A interpreta în sens invers înseamnă a spune că orice intervenție, fie că este realizată de un medic sau nu, este un act medical.

Având în vedere cele expuse mai sus, consider că termoscanarea nu este o intervenție medicală deoarece nu este realizată în actualul context de către un medic, ci de personalul însărcinat cu această atribuție de către organizații. Tototdată, termoscanarea nu este realizată întotdeauna de către un operator uman, ci uneori este realizată de către anumite tehnologii cunoscute drept „termoscannere”.

– Al doilea element: „în scop de diagnostic preventiv”

Scopul termoscanării de către organizații în acest context nu este reprezentat de stabilirea unui diagnostic, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru punerea unui diagnostic, organizațiile neavând această competență și/sau atribuție.

– Al treilea element: „în scop terapeutic”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de terapie, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru servicii de terapie, organizațiile neavând această competență și/sau atribuție.

– Al treilea element: „în scop de reabilitare”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de reabilitarea, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea și expansiunea pandemiei COVID-19.

Concluzia

După analiza detaliată a definiției intervenției medicale („orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare), rezultă în mod clar faptul că luarea temperaturii persoanelor, inclusiv prin termoscannere (termoscanare) în contextul triajului epidemiologic pentru prevenirea contaminărilor și evoluația pandemiei COVID-19, nu este o intervenție medicală. Mai mult decât atât, persoanelor cărora li se ia temperatura nu au calitatea de pacienți în înțelesul legislației române. Așadar, consimțământul informat al pacientului nu este necesar.

Însă, această procedură presupune riscuri majore pentru drepturile omului, riscuri pe care le vom analiza în cele ce urmează și vom propune câteva măsuri pentru a reduce la minimum aceste riscuri.

VII. Riscurile termoscanării

Având în vedere că această procedură poate da erori, precum și faptul că uneori modalitățile de triaj epidemiologic pot fi degradante pentru o ființă umană, enumerăm în cele de urmează o parte din riscurile asociate utilizării termoscanării. Aceste riscuri sunt cu atât mai mari cu cât Hotărârea nr. 24/2020 prevede doar obligativitatea acestei măsuri, însă nu instituie și garanții pentru drepturile omului.

(i) Riscul unor ingerințe în viața privată

În funcție de metodele utilizate, pot exista riscuri la adresa vieții private, iar amestecul oricărei organizații în viața privată a omului ar trebui redus la minimum. În principiu, organizațiile ar trebui să se abțină să prelucreze alte elemente ce țin de sfera privată a individului, cum ar fi alte probleme de sănătate, date privind membrii de familie, precum și orice alte date care nu au drept scop prevenirea răspândirii pandemiei.

(ii) Riscuri la adresa confidențialității datelor cu caracter personal

În funcție de metodele utilizate, mai ales în situațiile în care (i) nu se asigură securitatea datelor colectate, (ii) datele sunt stocate pe o perioadă mai mare decât este necesar pentru triajul epidemiologic, (iii) datele sunt dezvăluite către destinari neautorizați, (iv) sunt colectate mai multe date decât este necesar, (iv) nu se iau măsuri pentru anonimizare, iar identitatea persoanelor este dezvăluită, riscurile la adresa protecției datelor cu caracter personal sunt majore. Reamintim totodată faptul că temperatura corpului face parte, potrivit art. 9 din RGPD, din categoria datelor speciale, iar prelucrarea lor neconformă poate conduce către excludere socială, stigmatizare, discriminare.

(iii) Riscuri la adresa demnității umane

În situația în care se colectează temperatura prin metode degradante (exemplu: pistolul îndreptat asupra frunții) sau prin metode lipsite de discreție (exemplu: evacuarea însoțită de violență verbal din incintă), demnitatea omului este în pericol. Organizațiile ar trebui să își reamintească faptul că orice persoană, indiferent că este sănătoasă sau infectată, are dreptul la demnitate, drept inerent oricărei ființe umane.

(iv) Riscuri psihologice

În situația în care se utilizează metode degradante sau lipsite de discreție, respect sau umanitate, persoanele pot suferi traume psihologice. Metodele utilizate ar trebui adaptate fiecărei categorii de vârstă. Un pistol îndreptat la frunte care scanează temperatura corpului va avea un efect mult mai accentuat față de un copil decât față de un adult, iar prelucrarea neconformă a datelor și dezvăluirea identității poate contribui către fenomene precum etichetare, stigmatizare, bullying sau cyberbullying în școli și licee.

(v) Riscuri cu privire la exactitate

Întrucât măsurarea temperaturii poate da uneori erori (alte probleme de sănătate, temperatura ridicată din mediul exterior etc), există riscul ca persoanelor să nu li se permită accesul în locații în mod eronat.

(vi) Riscuri de infectare



În mod paradoxal, termoscanarea poate crește cazurile de infectare, mai ales când este urmată de măsura izolării persoanelor conform unor proceduri incorecte, de exemplu în situația în care o persoană care are temperatura ridicată, dar nu suferă de COVID-19 este izolată cu alte persoane care suferă de COVID-19.

VIII. Măsuri pentru a respecta legislația

În vederea reducerii la minimum a riscurilor față de drepturile și interesele omului, organizațiile trebuie să implementeze măsuri tehnice și organizatorice specifice pentru a nu se aduce prejudicii nejustificate drepturilor omului. Persoanele fizice păstrează, în toate cazurile, dreptul de a se adresa justiției pentru daune morale și/sau dreptul de a depune plângeri la ANSPDCP.

De asemenea, organizațiile trebuie să aleagă doar tehnologiile care nu prelucrează (stochează, înregistrează) date personale, deoarece, în caz contrar va deveni aplicabil art. 3 alin. (1) din Legea nr. 190/2018 (procesul decizional automatizat) și va trebui obținut consimțământul explicit al tuturor persoanelor vizate. În lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.

Totodată, organizațiile trebuie să se asigure că, inclusiv în situația în care tehnologiile prelucrează (stochează, înregistrează) date personale, nu se vor înregistra manual date în diverse registre pe hârtie sau în format electronic, iar personalul este instruit corespunzător în acest sens. În această situație, în lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.

KIT GDPR Premium

 

IX. Concluzii

1. Legislația națională care impune triajul epidemiologic prezintă lacune cu privire la instituirea unor garanții adecvate pentru drepturile omului;

2. Consimțământul angajatului cu privire la luarea temperaturii introdus de către Ordinul nr. 3677/2020 intră în conflict cu standardele consimțământului în temeiul RGPD și nu conține garanții pentru viața privată;

3. Deși termoscanarea nu este o procedură medicală, ea reprezintă riscuri pentru viața privată și pentru celelalte drepturi ale omului;

4. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi, în teorie, un instrument util pentru combaterea pandemiei COVID-19;

5. Având în vedere contextul și faptul că temperatura corpului face parte din categoria datelor sensibile, riscurile sunt majore, iar prelucrarea neconformă poate conduce către excludere socială, tratamente degradante, stigmatizare și discriminare;

6. Chiar dacă măsura este prevăzută de lege, RGPD continuă să se aplice, iar organizațiile publice și private trebuie să adopte măsuri tehnice și organizatorice specifice pentru protecția datelor cu caracter personal și să respecte celelalte obligații RGPD;

7. Potrivit Legii nr. 190/2018 (art. 3 alin. 1), dacă se vor înregistra date este necesar consimțământul explicit al angajaților sau o legislație internă care să permită înregistrarea datelor. Întrucât legislația nu există, singura variantă pe care o pot utiliza organizațiile care și înregistrează datele este consimțământul explicit. În lipsa acestui consimțământ, activitatea de prelucrare (procesul decizional automatizat) nu va avea un temei legal, iar organizațiile pot fi sancționate pentru încălcarea Legii nr. 190/2018.

8. Persoanele vizate păstrează dreptul de a se adresa justiției sau ANSPDCP pentru prelucrările neconforme;

9. Pentru nerespectarea RGPD, instituțiile publice riscă amenzi care pot ajunge până la 300.000 lei pentru fiecare abatere;

10. Pentru nerespectarea RGPD, operatorii privați riscă amenzi care pot ajunge până la 4% din cifra de afaceri.

 

Termoscanarea. Update 25 mai 2020. Două avocate din Baroul București au adresat 23 de întrebări către ANSPDCP cu privire la interpretarea termoscanării din prisma GDPR. Mai multe pot fi aflate aici

Potrivit petitiției, „(…) Măsurarea temperaturii prin tehnologii evoluate și invazive poate prezenta riscuri pentru viața privată și pentru celelalte drepturi ale omului. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice. În contextul în care o parte din specialiștii în drept afirmă că termoscanarea nu cade, în nicio situație, sub incidența RGPD, există riscul ca organizațiile să nu se conformeze prevederilor RGPD ce poate avea ca urmări atât riscuri mari la adresa drepturilor și libertăților persoanelor vizate, cât și scăderea încrederii persoanelor ceea ce poate avea drept consecință frânarea procesului de combatere a pandemie. RGPD, pentru majoritatea organizațiilor, este o lege complexă și dificilă de aplicat, iar ANSPDCP este autoritatea care poate aduce o doză ridicată de conștientizare pentru a realiza atât combaterea pandemiei prin creșterea încrederii publicului, cât și evitarea prejudiciilor asupra persoanelor vizate prin alinierea organizațiilor la prevederile RGPD.”

 

Termoscanarea. Update 22 mai 2020:

Potrivit activenews.ro, ANSPDCP aduce clarificări:
  1. Dacă informațiile privind temperatura se înregistrează într-un sistem de evidență, GDPR se aplică și vorbim de date cu caracter personal. Comentariu autorului: vorbim de un sistem de evidență când se folosesc camere termale cu soft integrat sau dispozitive de monitorizare a temperaturii. De asemenea, chiar în situația unui temometru digital, putem vorbi de un sistem de evidență dacă este o cameră CCTV înreptată către persoana căreia i se ia temperatura și surprinde și stochează rezultatul scanării.
  2. Informarea persoanelor este necesară.
  3. Operatorii (organizațiile) pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Prin urmare, GDPR se aplică în continuare inclusiv în stare de alertă.

 

Dacă ai întrebări, le poți adresa la adresa ruxandra.sava@legalup.

 

[1] A se vedea în acest sens art. (4) pct. 2 din RGPD: „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.
[2] A se vedea în acest sens art. (4) pct. 1 din RGPD: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
[3] A se vedea în acest sens art. (9) din RGPD.
[4] A se vedea aici, link accesat 24.05.2020.
[5] A se vedea aici, link accesat 24.05.2020.
[6] A se vedea aici, link accesat 24.05.2020.
[7] A se vedea art. 4 pct. 11 din RGPD.
[8] „You should also think about whether you can achieve the same results through other, less privacy intrusive, means.”,a se vedea aici, link accesat 24.05.2020.
[9] A se vedea aici, link accesat 24.05.2020.
[10] Sursa aici, link accesat 17.05.2020.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



covid-19app.jpg




Aplicațiile COVID-19, brățările electronice sau ambele? Cât de periculoase sunt aceste tehnologii?
 
M-am apucat să studiez ca să vă răspund la curiozități. Frumos, documentat, din surse de încredere și cu ajutorul colegei Maria Enescu, care studiază Data Law la Bruxelles.
 
Probabil lucrarea noastră va fi publicată la jumătatea săptămânii următoare, însă, până atunci las câteva informații pentru a înțelege contextul.
 
Numeroase aplicații COVID-19 au fost deja dezvoltate și propuse spre utilizare cu suportul guvernelor în anumite teritorii și jurisdicții.
 
În Asia, se colectează un volum mare de date sensibile, iar viața privată este în pericol. În Europa, se pare că legislația este suficient de puternică (GDPR și e-Privacy) și se va merge pe prelucrarea unor date minime și anonimizate pentru a se diminua riscurile. Dar riscurile continuă să existe. Din punctul nostru de vedere, prelucrarea datelor, chiar dacă sunt anonimizate, prezintă în continuare riscuri, deoarece așa cum a subliniat EDPB , nicio tehnică de anonimizare nu este complet sigură, procesul putând fi inversat, iar persoana fizică poate fi identificată.
 
 
📲În Europa, Comitetul European pentru Protecția Datelor (EDPB) și Comisia Europeană au tras semnale de alarmă cu privire la riscurile asociate utilizării acestor aplicații și au lansat două ghiduri orientative care ar trebui urmate în procesul de dezvoltare al aplicațiilor.
 
📲În România nu există niciun punct de vedere oficial cu privire la lansarea unor astfel de aplicații, însă în luna aprilie în România, Orange, Telekom și Vodafone și alți operatori de telefonie mobile au acceptat să furnizeze informații legate de localizarea utilizatorilor către autorități.
 
📲În SUA, Apple și Google au anunțat la mijlocul lui mai faptul că vor îmbunătăți procesele de colectare ale datelor de localizare prin Bluetooth astfel încât să protejeze viața privată. Procesul dezvoltat de Apple și Google nu ar utiliza date de localizare și alte date cu caracter personal. Dacă telefoanele sunt apropiate unele de altele, telefoanele ar interacționa prin identificatori anonimi Bluetooth, iar procesul ar dura doar 15 minute astfel încât nu ar exista o urmărire ulterioară.
În timp ce o parte dintre specialiștii în domeniul privacy sunt sceptici cu privire la utilizarea datelor de către Apple și Google, aceștia din urmă spun că tehnologia va fi dezactivată atunci când nu este necesară.
 
📲Italia, a doua cea mai afectată țară de pandemia COVID-19, plănuiește să lanseze o aplicație de urmărire și localizare în parteneriat cu un start-up din Milano, Bending Spoons.
Comentariu personal: În măsura în care se vor realiza transferuri de date între guvern și acest start-up, riscurile la adresa confidențialității datelor sunt mari.
 
📲Franța introduce la 11 mai spre testare aplicația StopCOVID, care va colecta date bluetooth, iar nu date de localizare.
 
📲Coreea de Sud are deja două aplicații: Corona 100m și Corona Map. Corona 100m este o aplicație care avertizează utilizatorii dacă urmează să se apropie de o persoană infectată pe o rază de 100m. Aplicația a avut peste un milion de descărcări și utilizează o serie de date, printre care: locație, vârstă, sex, naționalitate, istoric medical. Cea de-a doua aplicație, Corona Map arată o hartă a persoanelor infectate, astfel încât utilizatorii să evite acele locații.
 
📲În Singapore există o aplicație voluntară de urmărire a contactelor, TraceTogether. Când utilizatorul utilizează aplicația, se colectează numărul de telefon și un ID anonim. Potrivit surselor, nu ar fi colectate date privind locația, ci doar semnale Bluetooth între telefoanele apropiate pe baza unor identificatori criptați anonimi. Cum nicio tehnică de criptare sau de anonimizare nu este complet sigură, accesul guvernului din Singapore la cheia de decriptare poate prezenta riscuri la adresa vieții private.
 
📲În India, a fost lansată o aplicație care a fost instalată de peste 50 de milioane de utilizatori în 13 zile. Aplicația prelucrează semnale bluetooth, date de geo-localizare, numele, date nașterii și informații sensibile biometrice. Absența unei legislații în protecția datelor în India înseamnă riscuri mari pentru viața privată și mulți utilizatori din India sunt îngrijorați de acest aspect.
 
📲În Israel există aplicația HaMagen care compară datele de localizare ale utilizatorilor cu bazele de date ale Ministerului Sănătății. Aplicația este voluntară, dar există riscuri asociate cu hacking-ul bazei de date și dezvăluirea neautorizată a datelor de localizare.
 
📲În Hong Kong, cei plasați în carantină sunt obligați să descarce și să utilizeze aplicația StayHomeSafe și să poarte brățara de localizare conectată la aplicație. În timp ce alte aplicații se focusează spre a limita interacțiunile, această aplicație se focusează spre limitarea mișcării.
Va urma 🙂
O parte din aplicații funcționează conform imaginii de mai jos:
 


hacker-desktop-computer_24381-1188.jpg





Supravegherea tehnică (măsura supravegherii tehnice) este reglementată la nivel intern prin intermediul Codului de procedură penală, în cadrul Capitolului IV, Metode speciale de supraveghere sau cercetare, art. 139. Această măsură se dispune în cazurile expres prevăzute de lege, de către judecătorul de drepturi și libertăți. La nivel practic, măsura supravegherii tehnice a fost supusă analizei constituționalității în două cazuri punctuale: modalitatea (existența unei căi) de atac împotriva dispunerii măsurii și problematica înregistrărilor rezultate ca urmare a efectuării activităților specifice culegerii de informații care presupun restrângerea exercițiului unor drepturi sau libertăți fundamentale ale omului desfășurate cu respectarea prevederilor legale.

Ce este supravegherea tehnică și împotriva cui se poate dispune această măsură?

Supravegherea tehnică reprezintă o metodă specială de supraveghere, reglementată în cadrul art. 139 din Codul de procedură penală, care se dispune de către judecătorul de drepturi și libertăți, în situația în care sunt îndeplinite anumite condiții. Reglementările interne prevăd următoarele condiții, care trebuie să fie îndeplinite în mod cumulativ:

  • există o suspiciune rezonabilă cu privire la pregătirea sau săvârşirea unei infracţiuni dintre cele prevăzute de Codul de procedură penală;
  • măsura să fie proporţională cu restrângerea drepturilor şi libertăţilor fundamentale, date fiind particularităţile cauzei, importanţa informaţiilor ori a probelor ce urmează a fi obţinute sau gravitatea infracţiunii;
  • probele nu ar putea fi obţinute în alt mod sau obţinerea lor ar presupune dificultăţi deosebite ce ar prejudicia ancheta ori există un pericol pentru siguranţa persoanelor sau a unor bunuri de valoare.

 

 

Supravegherea tehnică se poate dispune în cazul infracţiunilor contra securităţii naţionale prevăzute de Codul penal şi de legi speciale, precum şi în cazul infracţiunilor de trafic de droguri, de trafic de arme, de trafic de persoane, acte de terorism, de spălare a banilor, de falsificare de monede ori alte valori, de falsificare de instrumente de plată electronică, contra patrimoniului, de şantaj, de viol, de lipsire de libertate, de evaziune fiscală, în cazul infracţiunilor de corupţie şi al infracţiunilor asimilate infracţiunilor de corupţie, infracţiunilor împotriva intereselor financiare ale Uniunii Europene, al infracţiunilor care se săvârşesc prin sisteme informatice sau mijloace de comunicaţii electronice ori în cazul altor infracţiuni pentru care legea prevede pedeapsa închisorii de 5 ani sau mai mare.

În materie de supraveghere tehnică, înregistrările efectuate de părţi sau de alte persoane, constituie mijloace de probă, când privesc propriile convorbiri sau comunicări pe care le-au purtat cu terţii. Orice alte înregistrări pot constitui mijloace de probă dacă nu sunt interzise de lege.

Important de precizat este faptul că raportul dintre avocat și persoana pe care o asistă sau reprezintă nu poate să formeze obiectul supravegherii tehnice, cu excepția situației în care există date că avocatul săvârşeşte ori pregăteşte săvârşirea unei infracţiuni dintre cele prevăzute anterior. Dacă pe parcursul, sau după executarea măsurii, rezultă că activităţile de supraveghere tehnică au vizat şi raporturile dintre avocat şi suspectul ori inculpatul pe care acesta îl apără, probele obţinute nu pot fi folosite în cadrul niciunui proces penal, urmând a fi distruse, de îndată, de către procuror. Judecătorul care a dispus măsura este informat, de îndată, de către procuror. Atunci când apreciază necesar, judecătorul dispune informarea avocatului.

KIT GDPR Premium

 

Excepții de neconstituționalitate cu privire la supravegherea tehnică

I. Decizia Curții Constituționale a României pronunțată în data de 4 februarie 2020, excepția de neconstituționalitate a dispozițiilor 139 alin. (3) din Codul de procedură penală coroborate cu cele ale art. 11 alin. (1) lit. d) din Legea nr. 51/1991 privind securitatea națională a României;

Obiectul sesizării de neconstituționalitate este reflectat astfel:

  • 139 alin. (3) din Codul de procedură penală: „Înregistrările prevăzute în prezentul capitol, efectuate de părți sau de alte persoane, constituie mijloace de probă când privesc propriile convorbiri sau comunicări pe care le-au purtat cu terții. Orice alte înregistrări pot constitui mijloace de probă dacă nu sunt interzise de lege”;
  • 11 alin. (1) lit. d) din Legea nr. 51/1991: „(1) Informații din domeniul securității naționale pot fi comunicate: d) organelor de urmărire penală, când informațiile privesc săvârșirea unei infracțiuni”.

Cu privire la obiectul sesizării privind dispozițiile procesual penale, Curtea Constituțională a României s-a pronunțat în sensul admiterii excepției, statuând faptul că dispozițiile art. 139 alin. (3) teza finală din Codul de procedură penală sunt constituționale în măsura în care nu privesc înregistrările rezultate ca urmare a efectuării activităților specifice culegerii de informații care presupun restrângerea exercițiului unor drepturi sau libertăți fundamentale ale omului desfășurate cu respectarea prevederilor legale, autorizate potrivit Legii nr. 51/1991.

II.Decizia nr. 244/2017 a Curții Constituționale a României, referitoare la excepția de neconstituționalitate a dispozițiilor art. 145 din Codul de procedură penală, ce vizează măsura supravegherii tehnice, în sensul lipsei posibilității exercitării unei căi de atac de către persoana vizată împotriva dispunerii măsurii;

Obiectul sesizării este reflectat astfel:

 


  • Nereglementarea căii de atac împotriva încheierii prin care judecătorul de drepturi și libertăți se pronunță asupra măsurilor de supraveghere tehnică;
  • 145 din Codul de procedură penală: ,,După încetarea măsurii de supraveghere tehnică, procurorul informează, în scris, în cel mult 10 zile, pe fiecare subiect al unui mandat despre măsura de supraveghere tehnică ce a fost luată în privinţa sa. După momentul informării, persoana supravegheată are dreptul de a lua cunoştinţă, la cerere, de conţinutul proceselor-verbale în care sunt consemnate activităţile de supraveghere tehnică efectuate. De asemenea, procurorul trebuie să asigure, la cerere, ascultarea convorbirilor, comunicărilor sau conversaţiilor ori vizionarea imaginilor rezultate din activitatea de supraveghere tehnică. Procurorul poate să amâne motivat efectuarea informării sau a prezentării suporturilor pe care sunt stocate activităţile de supraveghere tehnică ori a proceselor-verbale de redare, în cazurile reglementate de Codul de procedură penală”.

Curtea Constituțională a României a constatat faptul că, pe lângă obligația pozitivă de a reglementa o formă de control a posteriori, pe care persoana în cauză să îl poată accesa în scopul verificării îndeplinirii condițiilor și, implicit, a legalității măsurii supravegherii tehnice, legiuitorul are obligația de a reglementa și procedura aplicabilă conservării și/sau distrugerii datelor interceptate prin punerea în executare, a măsurii contestate.

De asemenea, Curtea a precizat faptul că eficiența căii de atac exercitate împotriva măsurilor de supraveghere tehnică se analizează în funcție de posibilitatea petentului de a solicita, pe de o parte, declararea interceptării ca nelegală, iar, pe de altă parte, acordarea de despăgubiri pentru ingerința suferită. În sensul precizat, Curtea a constatat că, în materia protecției dreptului constituțional la viață privată, legiuitorul are obligația de a reglementa o cale de atac efectivă, care să permită persoanei supuse măsurii de supraveghere tehnică să obțină repararea apropriată a urmărilor încălcării contestate.

În concluzie, Curtea a admis excepția de neconstituționalitate și a constatat că soluția legislativă cuprinsă în dispozițiile art. 145 din Codul de procedură penală, care nu permite contestarea legalității măsurii supravegherii tehnice de către persoana vizată de aceasta, care nu are calitatea de inculpat, este neconstituțională.

Supravegherea tehnică. Scurte concluzii

În urma celor precizate anterior, considerăm faptul că soluționarea excepțiilor de constituționalitate aduce un aport însemnat la nivel intern, statuând asupra protecției persoanelor. În sensul precizat, Curtea Constituțională a României conturează faptul că, în mod independent de măsurile dispuse, persoanele supuse acestor măsuri au dreptul atât de a fi informate, cât și de a putea exercita o cale legală de atac împotriva acestor măsuri.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]