Subiectul teroscanării a stârnit controverse în România. Redacția LegalUp.ro a intervievat zece specialiști în protecția datelor cu privire la acest subiect.
1. LegalUp: Este temperatura o dată cu caracter personal? În ce condiții putem spune că termoscanarea implică prelucrarea datelor personale?
Silvia Uscov (Avocat, Specialist GDPR și CEDO): „Sunt de părere că temperatura este o dată cu caracter personal, iar ea este calificată astfel și în cele mai recente comunicate ale autorităților pentru protecția datelor din UE. Aceste autorități au atras atenția asupra prelucrării datelor privind sănătatea în contextul termoscanării. Prelucrarea datelor cu caracter personal poate avea loc printr-o mulțime de tehnici, cele mai intruzive fiind cele care presupun și corelarea acestei date cu datele biometrice.”
Mirela Morar (Avocat, Specialist GDPR și securitatea informației): „Într-adevăr, există o opinie minoritară la nivelul autorităților privind protecția datelor cu caracter personal referitoare la faptul că ”temperatura corporală nu reprezintă o dată cu caracter personal per se atât timp cât nu este combinată cu alte tipuri de date cu caracter personal” (Autoritatea privind Protecția Datelor din Belgia), dar opinia covârșitoare a autorităților europene privind protecția datelor desemnează temperatura ca fiind o dată cu caracter special, făcând referire la sănătatea persoanei.
În primă instanță, am tins spre opinia Autorității privind Protecția Datelor din Belgia, considerând temperatura o dată variabilă care, colectată singură, nu poate fi considerată dată cu caracter personal. Am considerat inițial că această temperatură nu prezintă relevanță până la momentul depășirii valorii de 37.3 grade Celsius, când persoana devine suspect de infectare cu COVID-19 și poate fi obligat la comunicarea altor date cu caracter personal; implicit, poate fi supus unor discriminări atât pe termen scurt cât și pe termen mediu. Totuși, am revenit asupra opiniei mele destul de repede – Acum consider temperatura corporală o dată cu caracter special pentru că aceasta poate confirma/infirma starea de sănătate a unei persoane fizice la un moment dat.
Potrivit art. 4 pct. 15 din Regulamentul UE 2016/679 sunt considerate date privind sănătatea ”orice date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia”; Așadar, apreciez că simpla catalogare a unei persoane ca fiind sănătoasă/nesănătoasă e o dată cu caracter personal, legea nu face diferențiere asupra acestui aspect. Chiar dacă o persoană este considerată sănătoasă și nu pare a exista riscul unei discriminări, nu schimbă faptul că datele sale tot au fost supuse unei prelucrări de date.
Consider că simpla măsurare a temperaturii corporale este o prelucrare de date întrucât este o colectare de informații, chiar dacă nu este înregistrată. Potrivit art. 4 pct. 2 din Regulamentul UE 2016/679, prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea (…);
În plus, persoană vizată poate fi orice persoană fizică identificată sau identificabilă. Sub acest aspect, tind să afirm că, atât timp cât persoana responsabilă cu efectuarea triajului epidemiologic privește persoana a cărei temperatură o măsoară, o poate identifica în circumstanțe ulterioare, în caz de necesitate; la fel se pune problema camerelor termografice cu soft integrat sau alte soluții tehnice. Adițional, această prelucrare, dacă este dublată de supravegherea video sporește gradul de identificare a persoanei. Deci, doar în condiții neverosimile, în care nu s-ar identifica caracteristicile fizice ale unei persoane fizice prin niciun mijloc tehnic și de către nicio persoană, ar putea fi considerată o neprelucrare a datelor.”
Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Da, consider că temperatura corpului este o dată cu caracter personal referitoare la sănătatea persoanei, pentru motivele expuse anterior și preluând opinia CNIL (Autoritatea de supraveghere din Franța). De asemenea, temperatura poate deveni parte integrantă dintr-un sistem biometric, atunci când este corelată cu alte date biometrice precum imaginea facială sau imaginea retinei. Un exemplu relevant pentru această situație o reprezintă camerele termale cu soft integrat, care prelucrează datele privind temperatura și le corelează cu imaginea facială (dată biometrică). Așadar, prelucrarea datelor privind temperatura ar trebui să se bucure de o protecție sporită, sub imperiul articolului 9 din GDPR.”
Roxana Constantinescu (Avocat, Specialist GDPR): „În general, datele cu caracter personal prelucrate în legătură cu COVID-19 sunt în principal date privind sănătatea, fiindcă furnizează informații despre starea de sănătate, iar simptomele unei boli sau existența febrei ce reprezintă la rândul ei un simptom și care se confirmă prin măsurarea temperaturii reprezintă date cu caracter personal. Mai mult decât atât, datele privind sănătatea au un regim special în GDPR și ar trebui să li se acorde atenția cuvenită în acest sens.”
Anamaria Francu (Avocat, Specialist GDPR): „Temperatura este o dată cu caracter personal, având în vedere că prin dată cu caracter personal se înțelege: ”ORICE informație privind o persoană identificată sau identificabilă”, iar temperatura unei persoane este o informație despre persoana respectivă.
Da, termoscanarea implică prelucrarea datelor cu caracter personal, având în vedere că prin prelucrare se înțelege orice operațiune, inclusiv consultarea, înregistrarea, colectarea, stocarea, etc. Aceste două noțiuni sunt definite de art. 4 din Regulamentul (UE) 2016/679, nefiind definite în altă parte.
Dacă rigorile și obligațiile prevăzute de Regulament în sarcina operatorilor de date se aplica sau nu termoscanării este însă o alta poveste… Cu privire la acest aspect a apărut în presă o opinie care i-ar aparține ANSPDCP în sensul că în măsura în care rezultatele termoscanării nu fac parte dintr-un sistem de evidență sau nu sunt destinate să facă parte dintr-un sistem de evidentă a datelor, prevederile Regulamentului (UE) 2016/679 nu sunt aplicabile. Această opinie este discutabilă prin prisma interpretării textului pe care te întemeiază, respectiv prevederile art. 2 din Regulament care prevede ca: ”Prezentul regulament se aplica prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.” Ori aceasta prevedere are două teze, respectiv două situații:
- când prelucrarea este efectuată total sau parțial prin mijloace automatizate (cum este și termoscanarea), prelucrarea totala sau partiala prin aceste mijloace fiind considerată că prezintă un risc suficient pentru a atrage aplicabilitatea și rigorile Regulamentului;
- când prelucrarea (prin alte mijloace decât cele automatizate) se face asupra datelor cu caracter personal care fac parte dintr-un sistem de evidență sau sunt destinate să facă parte dintr-un sistem de evidență;
Dacă legiuitorul nu ar fi avut în vedere aceste două ipoteze, ci doar una singură, textul ar fi sunat altfel, respectiv:”Prezentul regulament se aplică prelucrării, efectuată total sau parțial prin mijloace automatizate sau prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.”
In concluzie, temperatura este o data cu caracter personal și termoscanarea reprezintă o prelucrare a datelor cu caracter personal (cel puțin, consultare, înregistrare) căreia i se aplică prevederile Regulamentului (UE) 2016/679.”
Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): „Părerea mea este că temperatura este o dată cu caracter personal, iar în contextul actual, pentru că cel mai adesea este corelată și cu date biometrice, prelucrarea acesteia devine foarte periculoasă, aflându-se sub umbrela unui scop aparent legitim (protecția socială/sănătatea publică), dar care de multe ori nu este justificat. Cred că această pandemie ne-a demonstrat cât de nepregătiți suntem la nivel național în domeniul protecției datelor, aceste lacune plecând în primul rând de la un nivel foarte înalt, cum ar fi executivul, legislativul și chiar ANSPDCP, care a rostit timid câteva fraze despre situația existentă, creând mai multe întrebări, decât răspunsuri.
Aș îndrăzni să spun că termoscanarea implică prelucrarea datelor personale în sensul GDPR în orice situație, deoarece simpla măsurare este o prelucrare, dar aproape niciodată nu este vorba doar de o simplă măsurare. Cea mai puțin intruzivă modalitate de măsurare a temperaturii, termometrele digitale, stochează un anumit număr de măsurători, existând un număr infim pe piață de termometre ce nu stochează date. Dacă există și un sistem CCTV care poate corela imaginea persoanei cu temperatura, lucrurile se complică, dar fiecare situație implică prelucrarea de date cu caracter personal.”
Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software) „Sunt de părere că valoarea temperaturii unei persoane nu poate fi tratată separat de starea de sănătate sau de comportamentul biologic al persoanei respective. Din acest motiv, valoarea temperaturii se poate încadra în definiția din art. 4 (Regulamentul GDPR) ca fiind dată care dezvăluie informații despre starea de sănătate a persoanei vizate.
ANSPDCP a transmis presei din România un punct de vedere prin care consideră că temperatura corporală este dată cu caracter personal, doar în măsura în care informațiile colectate se înregistreză într-un sistem de evidență.
Se ridică întrebarea dacă verificarea temperaturii se face prin înregistrarea într-un sistem de evidență sau nu. La prima vedere, răspunsul pare simplu: se verifică temperatura fară ca datele să fie stocate într-un registru dedicat. Însă, în realitate, cerința este ca verificarea temperaturii să fie făcută printr-un dispozitiv electronic contactless – care de cele mai multe ori stocheaza valorile măsurate în memoria internă a aparatului (sau care trebuie configurat explicit pentru a nu stoca datele) sau înregistrează și alte date suplimentare. O altă problemă este că verificarea temperaturii trebuie făcută la intrarea în spațiile operatorilor, intrare care este de regulă monitorizată prin sisteme CCTV care stochează imaginea persoanelor vizate timp de 30 de zile.
Iată cum, de regulă, sunt întrunite toate premizele existenței unui sistem de evidență, iar temperatura devine dată cu caracter personal.”
Slageana BRANCOV (Avocat, specialist GDPR). „Temperatura corpului poate fi considerată o dată cu caracter personal, încadrându-se chiar în categoria datelor cu privire la sănătatea umană. În acest context, termoscanarea poate implica, în anumite situații, o prelucrare de date cu caracter personal. În formularea unui răspuns la întrebarea ”Când anume se aplică Regulamentul GDPR în contextul termoscanării?”, mă voi ralia opiniei formulate de autoritatea de supraveghere din Franța (CNIL), în conformitate cu care, prevederile Regulamentului GDPR devin aplicabile atunci când (i) se efectuează o prelucrare automată de date precum și atunci când (ii) prelucrarea este efectuată prin alte mijloace decât cele automate iar datele astfel prelucrate fac parte dintr-un sistem de evidență a datelor. Prin urmare, dacă termoscanarea se efectuează prin mijloace automate (cum ar fi, de exemplu, camerele de imagistică termică), ea implică o prelucrare de date cu caracter personal iar dacă se efectuează prin mijloace manuale, ea implică o prelucrare de date cu caracter personal atunci când se creează evidențe ale acestor date (spre exemplu, dacă se folosește un termometru manual dar operatorul înregistrează temperaturile pentru a avea o evidență a rezultatelor triajului epidemiologic efectuat). Tot CNIL spune că, simpla verificare a temperaturii cu ajutorul unui termometru manual (cum ar fi, de exemplu, un termometru cu infraroșu, fără contact), fără a se păstra nici o evidență a rezultatelor și fără a se efectua nici o altă operațiune, nu intră sub incidența reglementărilor privind protecția datelor.”
Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Temperatura este o dată cu caracter personal, deoarece întotdeauna spui „X are temperatura Y”, unde X este o persoană. Chiar dacă ne referim la persoană ca „omul cu cămașă bleu”, ne referim la ea ca la o persoană unică. Și este fix definiția datelor cu caracter personal – orice date sau set de date ce pot identifica direct sau indirect o persoană. Temperatura nu are sens ca valoare fără ca această valoare să fie atribuită cuiva unic.
Referitor la termoscanare, ordinul de ministru precizează că aceasta se face în zona de triaj, în punctele de intrare în locație. De obicei la punctele de intrare în locație avem camere care înregistrează pentru maximum 30 de zile tot, inclusiv procesul de termoscanare. Camerele nu văd valoarea temperaturii, însă văd dacă un om este rejectat sau nu. Om rejectat = om cu temperatură peste 37.3 grade, om acceptat = om cu temperatură sub 37.3 grade. Practic avem o metadată (temperatură peste/sub 37.3 grade) asociată unei persoane unice, care este stocată pe cameră, deci avem o prelucrare de date cu caracter personal ce intră sub acoperirea GDPR.”
Ruxandra SAVA (Avocat, CIPP/e): „Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special(datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.
Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).
Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD):
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”
1.Primul element: „Orice informații”
Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.
2. Al doilea element: „referitoare la”
Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.
Potrivit CEPD, „informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.
(…)
Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.
(…)
Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”
Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.
3. Al treilea element: „identificată sau identificabilă”
Potrivit CEPD, „În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).
(…)
Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”
Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.
Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.
Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.
4. Al patrulea element: persoană fizică
Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.
În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.”
2. Este teama de termoscanare justificată sau nu?
Silvia Uscov (Avocat, Specialist GDPR și CEDO): „Din punctul de vedere al prelucrării datelor cu caracter personal mă situez în colțul persoanelor care urmăresc o prelucrare la un nivel minim și doar în măsura strict necesară pentru că la acest moment nu cunoaște modul în care acestea vor fi utilizate pe viitor. Având în vedere că starea febrilă poate fi determinată de un număr mare de cauze (atât medicale, cât și non-medicale), apreciez că termoscanarea nu este justificată, mai cu seamă că nu se oferă garanții suficiente în ceea ce privește ingerințele aduse dreptului la viață privată.”
Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Consider că teama de termoscanare în rândul cetățenilor este fundamentată pe lipsa transparenței cu privire la această procedură, luând în considerare două aspecte: pe de-o parte, faptul că toată această situație generată de pandemia COVID-19 și, implicit, procedura termoscanării, reprezintă un aspect de noutate și nu există un punct de referință sau un exemplu din trecut despre cum ar trebui să procedăm și să reacționăm, și, pe de altă parte, faptul că oamenii sunt conștienți că astăzi au mai multe drepturi ca niciodată, însă majoritatea nu le cunosc cu exactitate și, mai ales, nu știu cum să le exercite în mod efectiv.
Pentru cei care înțeleg gravitatea situației și implicațiile termoscanării, teama devine și mai pregnantă în fața unei proceduri inedite care nu oferă garanții corespunzătoare pentru drepturile omului, precum dreptul la viață privată și protecția datelor cu caracter personal (articolele 7 și 8 din Carta Drepturile Fundamentale a Uniunii Europene) sau nediscriminarea (articolul 21). De asemenea, se poate dezbate și o încălcare a altor drepturi fundamentale precum demnitatea umană (articolul 1) sau interzicerea unor tratamente degradante (articolul 4), dacă analizăm procedura termoscanării în profunzime și ne imaginăm situația unui angajat dintr-un supermarket aflat cu un ”pistol” de termoscanare îndreptat spre capul unui client, în văzul altor persoane, pentru a-i putea permite accesul la alimente de bază în vederea asigurării traiului.
Teama de termoscanare, dacă nu este fundamentată pe lipsa garanțiilor adecvate pentru drepturile omului, cu siguranță va fi justificată de implicațiile pe care această procedură le va avea, în lipsa acestor garanții. Câteva exemple se referă la discriminare, stigmatizare, îngrădirea accesului la produse și servicii de bază, îngrădirea accesului la locul de muncă (cu consecințele economice de rigoare), și chiar violență. Oamenii sunt diferiți și reacționează diferit. Iar teama de a se îmbolnăvi sau de a le fi îngrădite anumite drepturi poate genera reacții imprevizibile. Bineînțeles, aceste temeri sunt augumentate în situația în care persoana a cărei temperatură excede limitele considerate a fi ”sigure”, chiar dacă starea febrilă este cauzată de alți factori, nu neapărat de virusul COVID-19 (de exemplu, o infecție dentară, o indigestie sau orice altă condiție medicală necontagioasă).
De asemenea, pe lângă problema transparenței, se adresează întrebarea dacă măsura termoscanării respectă principiile necesității și proporționalității. Acestea trebuie respectate ori de câte ori se ia o măsură care poate aduce atingere unor drepturi fundamentale, precum dreptul la viață privată și la protecția datelor cu caracter personal.
- O măsură este necesară atunci când este aptă să conducă la atingerea obiectivului propus (stoparea răspândirii virusului). Consider că, într-o anumită măsură, termoscanarea poate fi considerată necesară, deoarece se reduce semnificativ riscul ca o persoană infectată să intre în contact cu alte persoane.
- O măsură este proporțională atunci când s-a ales metoda cea mai puțin intruzivă pentru atingerea obiectivului. Consider că termoscanarea nu respectă principiul proporționalității deoarece, așa cum am expus deja, starea febrilă poate fi cauzată de o varietate de factori, nu numai de infecția cauzată de virusul COVID-19. Așadar, măsura are o eficiență redusă raportat la atingerile aduse drepturilor fundamentale. Teama oamenilor în privința termoscanării poate izvorâ și din acest dezechilibru care se creează, având în vedere că se pot alege metode mult mai eficiente și semnificativ mai puțin intruzive pentru viața privată și celelalte drepturi fundamentale în vederea atingerii aceluiași obiectiv. De exemplu, se poate opta, la nivel național, pentru adoptarea unui sistem de urmărire digitală a contactelor, bazată pe tehnologia Bluetooth descentralizată (considerată a fi măsura cea mai puțin invazivă de către Comisia Europeană).”
Roxana Constantinescu (Avocat, Specialist GDPR): „Cred că justificarea unei temeri ține de resorturi subiective însă, cu siguranță se pot aduce argumente în ceea ce privește acest tip de intruziune în viața privată și acestea sunt legate în principal de necesitatea și finalitatea acestei măsuri. O persoană infectată cu coronavirus nu are neapărat febră, astfel încât măsurarea temperaturii sale nu poate identifica în mod clar persoana ca purtătoare a virusului. În al doilea rând, febra nu este un simptom decisiv și atunci când este detectată o temperatură crescută a corpului, nu indică neapărat o infecție cu coronavirus. În cele din urmă, deoarece perioada de incubație este de până la 14 zile, un individ, chiar dacă prezintă simptome de febră asociate infecției cu coronavirus, ar fi putut oricum avea o formă neidentificată a virusului până atunci.”
Mirela Morar (Avocat, Specialist GDPR și securitatea informației): „Mă voi raporta atât la percepția autorităților de protecție a datelor cât și la persoanele vizate cu privire la temerea justificată asupra termoscanării.
În primul rând, la o analiză comparativă a ghidurilor emise la nivel european de către autoritățile de protecție a datelor cu caracter personal cu privire la modalitatea de prelucrare a datelor în contextul identificării persoanelor infectate de COVID-19, putem distinge trei opinii referitoare la justificarea măsurării temperaturii angajaților și a vizitatorilor de către angajator/persoană responsabilă.
Prima opinie, este cea susținută de către Autoritățile de protecție a datelor din Spania și Italia, care afirmă că măsurarea temperaturii este justificată și poate fi desfășurată și implementată pe scară largă. Spre exemplu, Autoritatea de protecție a datelor din Spania, motivează acest răspuns – „întrucât Spania se confruntă cu un focar major de COVID-19, efectuarea controalelor de temperatură, ca măsură de precauție pentru prevenirea răspândirii infecției cu COVID-19 pot fi justificate pe baza interesului public, din motive de interes public în domeniul sănătății publice sau, acolo unde este necesar, pentru îndeplinirea obligațiilor și exercitarea drepturilor specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și a securității sociale”.
Autoritățile de protecție a datelor din Slovacia, Germania, Cehia și Ungaria oferă o soluție de compromis, considerând că justificarea măsurii de termoscanare depinde de mai mulți factori, nu poate fi luată ca o măsură unitară. Germania consideră că măsurarea temperaturii va depinde în totalitate de circumstanțele individuale, în special dacă angajatorul consideră această măsură necesară și proporțională. Cehia, în schimb, consideră proporționată măsurarea temperaturii angajaților, dar disproporționată măsurarea temperaturii vizitatorilor per se și trebuie analizată aplicarea măsurii de la caz la caz (de exemplu, timpul petrecut de vizitator la locul de muncă, regularitatea vizitelor, tipul de activitate desfășurat de vizitator). Controlul temperaturii la, de exemplu, poștași/curieri sau persoane care doar livrează bunurile ar fi considerate disproporționate. Pe de altă parte, pot fi verificate temperaturile dacă sunt conduse pentru personalul unei agenții de curățenie. La opinia Cehiei se raliază și Slovacia. În schimb, Ungaria aduce precizări de importanță semnificativă – este justificată măsurarea temperaturii doar în situațiile în care angajatorul concluzionează în evaluarea riscului că aceste măsuri sunt necesare pentru anumite locuri de muncă care sunt îndeosebi afectate de expunerea la virus și sunt, de asemenea, proporționale și necesare;
În schimb, autoritățile de protecție a datelor din Olanda, Luxemburg, Franța, inclusiv Belgia – care nu consideră justificată măsurarea temperaturii dacă sunt prelucrate date cu caracter personal – (N.B. Autoritatea de protecția a datelor din Belgia nu consideră simpla măsurare a temperaturii corporale ca fiind o prelucrare de date) resping vehement această idee de măsurare a temperaturii neconsiderând-o justificată. Ca o concluzie unitară a acestor autorități este percepția asupra faptului că instituirea unei obligații de măsurare a temperaturii pentru toate persoanele, angajați și vizitatori, este disproporționată; În plus, Olanda consideră că se impune aplicarea unei astfel de măsuri doar în locațiile sau localitățile unde au fost identificate focare de infectare cu COVID-19.
Din perspectiva persoanelor vizate, unde a fost adoptată obligația de măsurare a temperaturii în mod unitar, fără o diferențiere (spre exemplu România), consider că e justificată temerea de termoscanare a persoanelor din mai multe puncte de vedere:
- Persoanelor nu le sunt explicate, într-o manieră transparentă, care sunt consecințele în situația în care temperatura lor corporală depășește 37.3 grade Celsius, creând un sentiment de nesiguranță și disconfort.
- Din cauza unei date variabile care depinde de mai mulți factori interni sau externi, persoanelor cărora li se măsoară temperatura pot deveni anxioase și să sporească starea de nervozitate întrucât procurarea celor necesare din magazine sau desfășurarea activității la locul de muncă depinde de un aspect care se poate schimba într-un termen foarte scurt.
- În plus, în prea puține locuri măsurarea temperaturii se poate face în regim de confidențialitate și intimitate, astfel, măsurarea temperaturii poate naște stigmatizări, discriminări și intruziuni considerabile în viața privată a indivizilor.
- La acest moment, în România, conceptul de protejare a datelor cu caracter personal nu este înțeles pe deplin și nici măsurile care trebuie implementate nu sunt cunoscute pe scară largă. În acest sens, consider că riscurile unei prelucrări neadecvate sau ilegale nerespectând măsurile tehnice și organizatorice menite să protejeze datele cu caracter personal sunt destul de ridicate.
- În ultimul rând, din practicile societăților și autorităților, am constatat că sunt desemnate persoane responsabile cu efectuarea triajului epidemiologic desfășurat prin măsurarea temperaturii fără o instruire adecvată a pașilor necesari de urmat sau fără să fi avut măcar o pregătire avizată de către un cadru medical întrucât, prin neștiință sau neinformare, poate să aducă atingeri grave demnității persoanelor.”
Anamaria Francu (Avocat, Specialist GDPR): „Teama nu e justificată și așa cum spunea Frank Herbert, ”Fear is the mind-killer”, deci nu e nici utilă. În acest context teama izvorăște din neștiință, iar teama de termoscanare în sine, cred că există doar când nu ești informat corespunzător. În momentul în care ai informații certe cu privire la aparatura folosită, la datele cu caracter personal pe care le colectează, unde și cum sunt stocate, dacă și unde sunt transferate, unde ajung și cine ce face cu ele, precum și dacă au fost implementate măsuri de securitate corespunzătoare, teama nu mai există, deoarece deții suficiente informații pentru a lua decizii conștiente și raționale, respectiv decizi dacă intri în magazinul sau instituția respectivă sau găsești alte soluții, inclusiv una practică de a avea propriul sistem de măsură (termometrul), pentru a putea contesta în timp util înregistrarea, respectiv înainte de a produce efecte sau consecințe reale. Pe de altă parte am constatat, prin propria experiență că această procedură este una formală, având în vedere că aparatele fie dau erori, fie sunt setate intenționat cu 2 grade în minus.
Însă ar fi fost util ca în momentul în care în legislație s-a prevăzut obligativitatea termoscanării, să se prevadă și caracteristicile aparatelor ce urmează a fi folosite, astfel încât un simplu cetățean să nu fie pus în situația împovărătoare de a culege informații și a avea suspiciuni, uneori justificate, cu privire la tipul de date care îi sunt prelucrate efectiv prin aparatele folosite pentru termoscanare. Și o intervenție a ANSPDCP ar fi fost utilă, care să traseze niște linii directoare pentru operatorii care trebuie să efectueze termoscanarea, la fel de puțin informați și ei.”
Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): „Teama de orice vine, de multe ori, din necunoaștere. Domeniul protecției datelor în țara noastră începea ușor să ia avânt, existând puțini experți, mulți care ,,știu de la televizor și de pe Facebook care e treaba cu GDPR-ul ăsta” și extrem de mulți care nu voiau să știe. Mulți din ultima categorie sunt cei care refuză termoscanarea din motive închipuite, nu din motive bine documentate sau pertinente. Acum, ca DPO, îmi pun întrebarea: cum să reușesc să și respect prevederea legală și protecția datelor, în același timp? Este extrem de greu, mai ales din prisma imprevizibilității și neclarității cadrului legislativ, dar și din perspectiva timpului scurt de conformare. Totuși, ca o concluzie, teama de termoscanare este justificată doar dacă există din motive bine documentate, iar operatorul nu respectă protecția datelor, puțini fiind aceia care sunt și bine documentați și își pot da seama dacă nu le sunt respectate drepturile.”
Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software): „Teama de termoscanare este justificată atunci când se pune problema prelucrării ilegale a datelor sau a lipsei de securitate aferente.
Prelucrarea ilegală poate însemna de exemplu o prelucrare fără temei legal, în exces, în scopuri diferite celor pentru care au fost colectate datele sau fără o informare corespunzătoare a persoanei vizate.
Prelucrarea nesecurizată a datelor poate să consiste de exemplu, în transmiterea datelor către persoane neautorizate, sau pur și simplu în lipsa de conștientizare deplină a întregului proces de prelucrare care are loc, și a tuturor implicațiilor.
Prelucrări de date se fac tot timpul, iar persoanele vizate ar putea să conteste necesitatea sau oportunitatea lor, însă operatorii care prelucrează datele trebuie să ofere suficiente garanții că datele sunt prelucrate în conformitate cu cerințele legale.
Articolul 3 din legea 190/2020 ne informează despre condițiile în care pot fi prelucrate datele genetice, biometrice sau cele care privesc sănătatea:
„Art. 3. – (1) Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decisional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziţii legale exprese, cu instituirea unor măsuri corespunzătoare.
(2) Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă nu se poate efectua ulterior, în alte scopuri, de către terţe entităţi.”
Așadar, în lipsa măsurilor corespunzătoare, teama de termoscanare este perfect justificată.”
Slageana BRANCOV (Avocat, specialist GDPR): „Sunt de părere că nu termoscanarea în sine generează (sau ar trebui să genereze) teamă în rândul cetățenilor. În situația particulară a termoscanării, elementele susceptibile să genereze teamă sunt (cel puțin) următoarele trei (i) cadrul legislativ (și aici mă voi limita la a preciza inconsecvența în reglementare, lipsa de claritate a reglementării și lipsa unor garanții adecvate pentru drepturile omului), (ii) modalitatea în care această procedură este pusă în practică (nesocotirea principiului transparenței prelucrării, utilizarea unor tehnologii al căror grad de intruziune în viața privată a persoanelor este mult prea ridicat raportat la principiile necesității și al proporționalității, lipsa unor măsuri de securitate adecvate etc.) și (iii) consecințele pe care această procedură le poate avea în lipsa oferirii unor garanții suficiente (iar consecințele trebuie privite dincolo de materia protecției datelor). Prin urmare, pentru a răspunde întrebării, apreciez că da, teama de termoscanare trebuie apreciată ca fiind justificată atât timp cât, în rândul operatorilor, gradul de conștientizare a importanței protejării datelor este unul mult prea redus, ceea ce face ca majoritatea operațiunilor de prelucrare de date să se efectueze în afara cadrului legal. Or, doar dintr-o vădită necunoaștere sau ignoranță am putea afirma că prelucrarea datelor cu caracter personal în afara cadrului legal nu reprezintă o ingerință în sfera dreptului nostru la viață privată.”
Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Este justificată deoarece temperatura de peste 37.3 grade nu indică neapărat prezența bolii COVID-19. Sunt multiple cauze ce pot duce la creșterea temperaturii! Practic unei persoane i se refuză accesul într-o clădire doar pe baza unei măsurări de temperatură, nu pe baza unui test care să releve clar că o persoană are COVID-19.”
3. În situația termoscanării, putem vorbi, în anumite condiții, de un proces decizional automatizat interzis de art. 3 din alin. (1) din Legea nr. 190/2018 în lipsa consimțământului explicit?
Silvia Uscov (Avocat, Specialist GDPR și CEDO): „E cu siguranță o întrebare deosebit de interesantă în contextul în care ai un prag (37.3 grade Celsius) și un sistem automat (termoscanerul) care îți oferă acces sau nu într-un anumit spațiu în urma depășirii acestui prag. Consider că da, în anumite condiții, poate fi încadrat ca proces decizional automatizat, cu consecințele de rigoare.”
Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Legea nr. 190/2018 este legea națională ce instituie măsurile de aplicare ale GDPR în România. Articolul 22 din GDPR interzice ca persoana vizată să facă obiectul unei decizii bazate exclusiv pe prelucrarea automată care produce efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă. Totuși, acest proces decizional individual automatizat este permis dacă: (1) există consimțământul explicit al persoanei vizate sau (2) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, atât timp cât măsura este necesară și se instituie garanții corespunzătoare pentru protecția drepturilor fundamentale și ale intereselor persoanei vizate.
În primul rând, prin procedura termoscanării, este clar că ne aflăm în prezența unui proces decizional individual automatizat. Termometrul utilizat, indiferent de funcționalitățile sale, indică, în mod automat, temperatura persoanei. Temperatura afișată va sta la baza deciziei de a permite sau de a refuza accesul acelei persoane într-o anumită incintă (loc de muncă, supermarket etc.).
În al doilea rând, consider că, în absența unui consimțământ expres din partea persoanei vizate, măsura ar putea fi întemeiată pe interesul public major, având în vedere că stoparea pandemiei COVID-19 s-ar putea încadra în această categorie. Totuși, așa cum am demonstrat deja, măsura nu este proporțională cu scopul urmărit și, mai ales, nu există garanții corespunzătoare pentru protejarea drepturilor fundamentale și ale intereselor persoanei vizate.
Așadar, termoscanarea privită ca proces decizional automatizat ar trebui interzisă în temeiul Legii nr. 190/2018, însă nu neapărat pe motivul lipsei consimțământului expres al persoanei vizate, ci pe motivul disproporționalității măsurii în raport de interesul public major urmărit și al lipsei garanțiilor corespunzătoare pentru protejarea drepturilor fundamentale.” |
Roxana Constantinescu (Avocat, Specialist GDPR): „Chiar dacă trecem peste lipsa consimțământului expres și temeiul rămâne excepția privind interesul public major, în opinia mea, de asemenea, nu sunt îndeplinite condițiile de necesitate și de proporționalitate a măsurii în situațiile în care termoscanarea ia forma unui proces decizional automatizat.”
Anamaria Francu (Avocat, Specialist GDPR): „Ordinul nr. 874/22.05.2020 privind instituirea obligativităţii purtării măştii de protecţie, a triajului epidemiologic şi dezinfectarea obligatorie a mâinilor pentru prevenirea contaminării cu virusul SARS-CoV-2 pe durata stării de alertă prevede în Anexa I art.II pct. 3 că: ”a) Intrarea într-o incintă este permisă doar pentru persoanele care, în mod rezonabil, au motive justificate de a se afla în acea incintă. c) Dacă este necesară intrarea în incintă, sunt obligatorii triajul epidemiologic şi dezinfectarea mâinilor. Triajul epidemiologic nu implică înregistrarea datelor cu caracter personal (n.b. mențiune care vrea probabil să justifice faptul că Regulamentul nu s-ar aplica, aspect nereal deoarece de înregistrat, temperatura se inregistreaza, altfel nu ar fi afișată de aparat, chiar dacă ulterior se stochează sau nu) şi constă în:
a) măsurarea temperaturii prin termometru noncontact (temperatura înregistrată nu trebuie să depăşească 37,3ºC);b) observarea semnelor şi simptomelor respiratorii (de tipul: tuse frecventă, strănut frecvent, stare generală modificată).
În cazul în care temperatura înregistrată depăşeşte 37,3ºC, se recomandă repetarea măsurării temperaturii, după o perioadă de 2-5 minute de repaus.
Dacă se constată menţinerea unei temperaturi peste 37,3ºC sau/şi prezenţa altor simptome respiratorii, persoanei nu i se permite accesul în incintă.”
Aici se naște o nouă poveste generată de o exprimare nefericită: ”sau/și”. Este neclar când nu i se permite accesul în incintă unei persoane: este suficient să aibă temperatură de peste 37,3 C sau doar dacă are temperatură+ alte simptome respiratorii (și aici avem o întreagă altă discuție cu privire la prelucrarea altor date de sănătate: tuse frecventă, strănut, stare generală modificată, iar în acest caz depinde de pregătirea sau capacitatea salariatului instituției sau operatorului economic de a o aprecia).
Prima problemă care se pune este dacă avem sau nu o decizie, în sensul Regulamentului, respectiv o decizie „care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.”(art. 22 al.1 din Regulament). Acest aspect va trebui analizat de la caz la caz, deoarece interzicerea intrării într-un magazin de haine din care nu aveam o intenție reală să cumpăr ceva, neavând bani la mine nu ar putea produce efecte juridice reale și nici să mă afecteze într-o măsură semnificativă, în timp ce interzicerea intrării în școală pentru a-mi susține examenul de BAC, cu siguranță mă va afecta într-o măsură semnificativă.
A doua problemă este dacă avem sau nu un proces decizional automatizat.
Un proces decizional individual automatizat are loc atunci când se iau decizii în privința persoanei vizate bazate EXCLUSIV pe prelucrarea automată (automatizată), conform art. 22 al. (1) din Regulament. Potrivit prevederilor art. 2 lit. c din Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981, ”prelucrarea automatizată înseamnă următoarele operaţiuni efectuate în totalitate sau parţial cu ajutorul procedeelor automatizate: înregistrarea datelor, aplicarea acestor date prin operaţiuni logice şi/sau aritmetice, modificarea lor, ştergerea, extragerea sau difuzarea; ” Chiar dacă termoscanerul realizează o prelucrare automatizată, procesul decizional nu este bazat exclusiv pe prelucrarea automatizată, existând o intervenție umană. Această intervenție umană, constă în repetarea măsurării temperaturii după 2-5 minute de repaus. Această intervenție umană va putea consta inclusiv în faptul că persoana care utilizează termoscanerul ar putea decide (la instrucțiuni, sau din oficiu) să seteze aparatul cu un grad mai jos, sau să permită intrarea unei persoane care are 37.3 dar fără alte semne de sănătate alterată, sau ar putea chiar să-i permită persoanei compararea temperaturii cu cea arătată de termometrul propriu.
Este adevărat că dispozițiile legale exprese, nu instituie măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate și deci, prin prisma prevederilor art. 3 din Legea nr. 190/2018, am avea nevoie de consimțământ, dar existența sau inexistența unui proces decizional automatizat, care presupune rigori suplimentare și care ar atrage aplicarea prevederilor art. 3 din Legea nr. 190/2018 va trebui analizat de la caz la caz.”
Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): „Consider că putem vorbi de un proces decizional automatizat, ținând cont de faptul că această măsură produce efecte juridice ce poate afecta persoana în cauză. Cazul consimțământului explicit consider că este extrem de complicat de gestionat, cu tot ce implică acesta (obținerea unui consimțământ care să îndeplinească toate condițiile de validitate, stocare, distrugere etc.), iar prelucrarea necesară din motive de interes public major nu prezintă garanții, fără să îndrăznesc să pronunț ,,garanții suficiente”. Până acum nu am văzut vreo informare referitoare la procesul de termoscanare în vreun magazin sau la vreun operator vizitat în această perioadă, deci nu poate fi vorba nici măcar de ,,câteva garanții”.”
Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software) „Tehnologia ia de multe ori fața legislației și apar des situații pe care autoritățile nu le prevăd. În cazul de față, ordinul de ministru parcă vine în preîntâmpinarea posibilității unui proces decizional automat, prin precizarea că în cazul în care temperatura măsurată depășește valoarea stabilită, procedura de termometrizare se va relua după câteva minute – ceea ce pare să implice o intervenție umană.
Ce facem însă cu operatorii care doresc eficiență și rapiditate, și care își permit să investească în automatizări? Este cunoscut cazul unui operator hotelier din România care a investit într-un sistem de automatizare a deschiderii ușilor comandat de senzori care verifică dacă turistul poartă mască și dacă temperatura acestuia este sub 37.3 grade C.
O altă situație este cea a fabricilor sau marilor intreprinderi, atunci când sute de muncitori ajung la lucru în același timp și soluția termometrizării individuale nu ar fi fiabilă.
În contextul dezvoltării tehnologice actuale și a migrării către automatizarea proceselor, problematica procesului decizional automat va fi din ce în ce mai importantă și va fi nevoie de dezvoltarea unor noi mecanisme care să implementeze o informare corectă și completă a persoanei vizate și obținerea (ne-forțată) a consimțământului acesteia.”
Slageana BRANCOV (Avocat, specialist GDPR). „Apreciez că, în anumite situații, ar putea fi vorba despre un proces decizional exclusiv automatizat, caz în care, în lipsa consimțământului explicit al persoanelor vizate prelucrarea poate fi privită ca fiind în afara cadrului legal întrucât nu avem nicio dispoziție legală expresă, la nivel intern, care să o permită și care să instituie măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Sunt două aspecte: când este implicat un algoritm și când nu este implicat un algoritm. Există implementări de termoscanare unde o cameră cu termoviziune determină temperatura persoanei și nu o lasă să treacă de o anumită barieră. Acolo vorbim clar de un proces decizional automatizat. Mai interesant însă este când avem un om cu termometrul în mână și a cărui termometru arată peste 37.3 grade. În acest caz este decizia omului cu termometrul ce face: repetă măsurarea, întoarce persoana din drum sau o lasă să intre. Ordinul Ministerului Sănătății spune doar că măsurarea temperaturii este obligatorie, iar în cazul „se constată menținerea unei temperaturi peste 37,3ºC sau/și prezența altor simptome respiratorii, persoana este trimisă pentru consult la medicul de familie”. Pe 26 Mai Ministerul Sănătății a venit cu un comunicat în care spune așa: „în cazul în care un client are temperatura peste 37,3 grade Celsius, refuză dezinfectarea mâinilor sau purtarea măștii de protecție i se poate interzice intrarea în spațiul închis.” Nimic despre obligativitate; deci este la latitudinea „cerberului” dacă lasă persoana să intre sau nu. Deci avem o intervenție umană clară – a celui care măsoară temperatura și ia decizia dacă lasă persoana să intre sau nu. Într-un asemenea caz nu vorbim de un proces decizional automatizat, așa cum este el foarte bine descris în ghidul WP251 emis de EDPB (fostul Grup de Lucru 29), care la capitolul IV punctul A dă următorul exemplu: „Un proces automat are ca rezultat ceea ce este, de fapt, o recomandare cu privire la o persoană vizată. Dacă o ființă umană examinează și ține cont de alți factori în luarea deciziei finale, decizia respectivă nu ar fi „bazată exclusiv” pe prelucrarea automată.”
Ruxandra SAVA (Avocat, CIPP/e): „Art. 3 alin. (1) din Legea nr. 190/2018 prevede că „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
Temperatura corpului se încadrează în categoria datelor privind sănătatea.
Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.
Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.
Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)
Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.”
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]