În prezent, mulți specialiști emit opinii dacă termoscanarea este legală sau este ilegală. Am o dublă specializare care îmi permite să ofer o opinie fundamentată pe subiectul termoscanării. Sunt avocat în Baroul București specializat pe dreptul tehnologiei și al protecției datelor și profesionist în protecția datelor acreditat de IAPP. Articolul de mai jos a fost publicat inițial pe platforma juridice.ro.
I. Introducere, noțiune și context
În România, masura luării temperaturii a fost introdusă în mod obligatoriu prin Ordinul MS-MAI nr. 874/2020. În situațiile unde munca de la domiciliu nu este posibilă, organizațiile (publice sau private) vor asigura triajul epidemiologic constând în controlul temperaturii personalului și/sau al vizitatorilor.
Totodată, potrivit art. 3 alin. 1 din Legea nr. 190/2018 „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
Întrucât nu există în prezent în România nicio lege care să permită utilizarea temoscanării prin prelucrarea datelor, în măsura în care se înregistrează date, termoscanarea se poate realiza doar cu acordul explicit al persoanei vizate.
II. Termoscanarea, RGPD și Legea nr. 190/2018
(1) Este termoscanarea o activitate de prelucrare de date cu caracter personal în temeiul RGPD?
Da, potrivit art. (4) pct. (2) din RGPD, termoscanarea poate fi o activitate de prelucrare de date cu caracter personal în temeiul RGPD[1] în măsura în care datele cu caracter personal sunt înregistrate într-un sistem de evidență.
Cu toate acestea, simpla luare a temperaturii prin utilizarea unui temometru și fără a permite înregistrarea nu reprezintă o activitate de prelucrare în temeiul RGPD. Însă, deși luarea manuală a temperaturii cu termometre clasice sau non-contact nu reprezintă o prelucrare în temeiul RGPD, riscurile cu privire la drepturile omului (stigmatizare, excluziune socială, discriminare etc) sunt în continuare prezente, de aceea, organizațiile ar trebui să implementeze măsuri concrete pentru drepturile omului chiar dacă se merge pe termometrizare manuală.
KIT GDPR Premium
(II) Se încadrează temperatura corpului în noțiunea de date cu caracter personal?
Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal[2] așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special[3] (datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.
Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).
Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD)[4]:
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”
1.Primul element: „Orice informații”
Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.
2. Al doilea element: „referitoare la”
Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.
Potrivit CEPD[5], „informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.
(…)
Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.
(…)
Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”
Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.
3. Al treilea element: „identificată sau identificabilă”
Potrivit CEPD[6], „În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).
(…)
Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”
Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.
Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.
Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.
4. Al patrulea element: persoană fizică
Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.
În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.
(III) Este termoscanarea un proces decizional automatizat în sensul Legii nr. 190/2018?
Art. 3 alin. (1) din Legea nr. 190/2018 prevede că „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
Temperatura corpului se încadrează în categoria datelor privind sănătatea.
Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.
Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.
Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)
Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.
KIT GDPR Premium
(IV) Încalcă termoscanarea RGPD?
Având în vedere că, așa cum am arătat la punctul anterior, termoscanarea este un proces decizional automatizat bazat pe prelucrarea datelor privind starea de sănătate (temperatura) interzis în mod expres de către Legea nr. 190/2018 în absența consimțământului explicit sau în absența unei legislații interne, considerăm că termoscanarea care înregistrează date este nelegală.
În prezent nu există nicio dispoziție legală care să permită termoscanarea cu înregistrarea datelor personale. Ordinul MS-MAI permite doar termoscanarea fără înregistrarea datelor.
În consecință operatorii care folosesc termoscanarea prin tehnologii care înregistrează date (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”) vor încălca principiul legalității prevăzut de RGPD (art. 5 alin. (1) lit. a)) și riscă amenzi care pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro.
(V) Este consimțământul din Ordinul nr. 3577/2020 valabil?
Potrivit art. 2 din Ordinul nr. 3577/302020, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toți angajații din sectorul public sau privat acceptă verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.
A se observa faptul că Ministerul Muncii și Protecției Sociale a instuit o formă de consimțământ viciat care intră în contradicție cu prevederile RGPD. Potrivit RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.[7]
(VI) Ce au de făcut organizațiile care introduc termoscanarea pentru a respecta RGPD?
Chiar dacă efectuarea triajului epidemiologic este o obligație legală potrivit legislației naționale, RGPD continuă să se aplice, iar companiile trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate a nu înregistra date personale atunci când măsoară temperatura, de exemplu să aleagă tehnologia care nu înregistrează date.
V. Tipuri de tehnologii
Ordinul MS MAI nu face diferențierea între tipurile de tehnologii disponibile și care pot fi utilizate în mod securizat astfel încât să nu se înregistreze date, de aceea considerăm că este necesară analizarea tipurilor de tehnologii disponibile pe piață pentru a descoperi gradul fiecăruia de intruziune în viața privată. Potrivit ICO, în situația termoscanării trebuie achiziționată tehnologia cu cea mai mică intruziune în viața privată.[8]Potrivit Autorității de Supraveghere din Cipru, organizațiile, înainte de a introduce termoscanarea, ar trebui să fie conștiente de capacitățile tehnice pe care le au termoscanarele și ce date cu caracter personal colectează.[9]
A. Temometre digitale non-contact
Acesta tehnologie prezintă riscuri mici pentru viața privată, cu toate acestea există posibilitatea de a se înregistra date, ca de exemplu în situația în termometrul digital non-contact are opțiunea de a memora ultimele măsurători sau de exemplu în situația în care un operator are instalate sisteme CCTV care înregistrează fața unei persoane și valoarea temperaturii pe ecranul termometrului.
Exemplu: Angajatului X i se ia temperatura printr-un termometru digital non-contact la accesul în incinta Organizației ABC care are amplasate sisteme CCTV care sunt surprind atât angajatul, cât și temperatura care apare pe termometrul digital. În aceste cazuri, se pot înregistra date deoarece sistemele CCTV pot înregistra date biometrice (imagini faciale) și rezultatul temperaturii.
Dacă se vor înregistra date personale, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.
B. Camere termografice cu soft integrat
Aceste tehnologii pot prezenta avantaje pentru anumite organizații deoarece nu mai este nevoie de intervenția unui operator uman. Aceste tehnologii înregistrează date cu caracter personal, prin urmare suntem de părere operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.
Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.
C. Dispozitive de tip „wearable” (brățări, ceasuri etc)
Aceste tehnologii înregistrează date cu caracter personal și prelucrează datele în mod continuu atâta timp cât dispozitivul este utilizat de către persoana vizată, prin urmare considerăm că operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.
Riscurile asociate acestor tehnologii sunt ridicate pentru că implică o prelucrare continuă și există riscul încălcării principiului limitării stocării (art. 5 alin. (1) lit. e) RGPD) și principiului reducerii la minimum a datelor (art. 5 alin. (1) lit. c) RGPD), precum și riscul încălcării celorlalte principii RGPD.
Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.
VI. Este termoscanarea o procedură medicală?
Vom analiza în continuare noțiunea de „procedură medicală” pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală care poate fi realizată doar cu acordul informat al pacientului.
Definiție
Noțiunea de „procedură medicală” este consacrată de legislația română prin Legea drepturilor pacientului nr. 46/2003 sub noțiunea de „intervenție medicală”, noțiune pe care o vom analiza în cele ce urmează pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală.
Noțiunea de „procedură medicală” nu există în legislația română, însă, deși nu are relevență din punct de vedere juridic, vom trece în revistă definiția oferită de Wikipedia „o activitate medicală desfășurată asupra unei persoane cu scopul de a îmbunătăți sănătatea, trata o boală sau cu scopul de a pune un diagnostic”.[10]
Potrivit Legii nr. 46/2003 prin intervenție medicală se înțelege „orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare.”
Definiția de mai sus cuprinde patru elemente esențiale care vor fi analizate în mod separat în acest articol pentru a descoperi dacă dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală. Aceste elemente sunt următoarele:
1. „orice examinare, tratament sau alt act medical”;
2, „în scop de diagnostic preventiv”;
3. „în scop terapeutic”;
4. „în scop de reabilitare”.
Aceste patru elemente sunt strâns legate și pentru a descoperi dacă termoscanarea în acest context este o procedură medicală, aceste elemente trebuie analizate atât împreună, cât și separat.
– Primul element: „orice examinare, tratament sau alt act medical”
Analiza gramaticală a textului de mai sus (existența conjuncției simple „sau” înainte de sintagma „alt act medical”) conduce către concluzia că, pentru a se încadra în noțiunea de intervenție medicală, examinările sau tratamentele trebuie să fie medicale, adică realizată de o persoană autorizată să practice medicina în România.
A interpreta în sens invers înseamnă a spune că orice intervenție, fie că este realizată de un medic sau nu, este un act medical.
Având în vedere cele expuse mai sus, consider că termoscanarea nu este o intervenție medicală deoarece nu este realizată în actualul context de către un medic, ci de personalul însărcinat cu această atribuție de către organizații. Tototdată, termoscanarea nu este realizată întotdeauna de către un operator uman, ci uneori este realizată de către anumite tehnologii cunoscute drept „termoscannere”.
– Al doilea element: „în scop de diagnostic preventiv”
Scopul termoscanării de către organizații în acest context nu este reprezentat de stabilirea unui diagnostic, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru punerea unui diagnostic, organizațiile neavând această competență și/sau atribuție.
– Al treilea element: „în scop terapeutic”
Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de terapie, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru servicii de terapie, organizațiile neavând această competență și/sau atribuție.
– Al treilea element: „în scop de reabilitare”
Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de reabilitarea, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea și expansiunea pandemiei COVID-19.
Concluzia
După analiza detaliată a definiției intervenției medicale („orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare), rezultă în mod clar faptul că luarea temperaturii persoanelor, inclusiv prin termoscannere (termoscanare) în contextul triajului epidemiologic pentru prevenirea contaminărilor și evoluația pandemiei COVID-19, nu este o intervenție medicală. Mai mult decât atât, persoanelor cărora li se ia temperatura nu au calitatea de pacienți în înțelesul legislației române. Așadar, consimțământul informat al pacientului nu este necesar.
Însă, această procedură presupune riscuri majore pentru drepturile omului, riscuri pe care le vom analiza în cele ce urmează și vom propune câteva măsuri pentru a reduce la minimum aceste riscuri.
VII. Riscurile termoscanării
Având în vedere că această procedură poate da erori, precum și faptul că uneori modalitățile de triaj epidemiologic pot fi degradante pentru o ființă umană, enumerăm în cele de urmează o parte din riscurile asociate utilizării termoscanării. Aceste riscuri sunt cu atât mai mari cu cât Hotărârea nr. 24/2020 prevede doar obligativitatea acestei măsuri, însă nu instituie și garanții pentru drepturile omului.
(i) Riscul unor ingerințe în viața privată
În funcție de metodele utilizate, pot exista riscuri la adresa vieții private, iar amestecul oricărei organizații în viața privată a omului ar trebui redus la minimum. În principiu, organizațiile ar trebui să se abțină să prelucreze alte elemente ce țin de sfera privată a individului, cum ar fi alte probleme de sănătate, date privind membrii de familie, precum și orice alte date care nu au drept scop prevenirea răspândirii pandemiei.
(ii) Riscuri la adresa confidențialității datelor cu caracter personal
În funcție de metodele utilizate, mai ales în situațiile în care (i) nu se asigură securitatea datelor colectate, (ii) datele sunt stocate pe o perioadă mai mare decât este necesar pentru triajul epidemiologic, (iii) datele sunt dezvăluite către destinari neautorizați, (iv) sunt colectate mai multe date decât este necesar, (iv) nu se iau măsuri pentru anonimizare, iar identitatea persoanelor este dezvăluită, riscurile la adresa protecției datelor cu caracter personal sunt majore. Reamintim totodată faptul că temperatura corpului face parte, potrivit art. 9 din RGPD, din categoria datelor speciale, iar prelucrarea lor neconformă poate conduce către excludere socială, stigmatizare, discriminare.
(iii) Riscuri la adresa demnității umane
În situația în care se colectează temperatura prin metode degradante (exemplu: pistolul îndreptat asupra frunții) sau prin metode lipsite de discreție (exemplu: evacuarea însoțită de violență verbal din incintă), demnitatea omului este în pericol. Organizațiile ar trebui să își reamintească faptul că orice persoană, indiferent că este sănătoasă sau infectată, are dreptul la demnitate, drept inerent oricărei ființe umane.
(iv) Riscuri psihologice
În situația în care se utilizează metode degradante sau lipsite de discreție, respect sau umanitate, persoanele pot suferi traume psihologice. Metodele utilizate ar trebui adaptate fiecărei categorii de vârstă. Un pistol îndreptat la frunte care scanează temperatura corpului va avea un efect mult mai accentuat față de un copil decât față de un adult, iar prelucrarea neconformă a datelor și dezvăluirea identității poate contribui către fenomene precum etichetare, stigmatizare, bullying sau cyberbullying în școli și licee.
(v) Riscuri cu privire la exactitate
Întrucât măsurarea temperaturii poate da uneori erori (alte probleme de sănătate, temperatura ridicată din mediul exterior etc), există riscul ca persoanelor să nu li se permită accesul în locații în mod eronat.
(vi) Riscuri de infectare
În mod paradoxal, termoscanarea poate crește cazurile de infectare, mai ales când este urmată de măsura izolării persoanelor conform unor proceduri incorecte, de exemplu în situația în care o persoană care are temperatura ridicată, dar nu suferă de COVID-19 este izolată cu alte persoane care suferă de COVID-19.
VIII. Măsuri pentru a respecta legislația
În vederea reducerii la minimum a riscurilor față de drepturile și interesele omului, organizațiile trebuie să implementeze măsuri tehnice și organizatorice specifice pentru a nu se aduce prejudicii nejustificate drepturilor omului. Persoanele fizice păstrează, în toate cazurile, dreptul de a se adresa justiției pentru daune morale și/sau dreptul de a depune plângeri la ANSPDCP.
De asemenea, organizațiile trebuie să aleagă doar tehnologiile care nu prelucrează (stochează, înregistrează) date personale, deoarece, în caz contrar va deveni aplicabil art. 3 alin. (1) din Legea nr. 190/2018 (procesul decizional automatizat) și va trebui obținut consimțământul explicit al tuturor persoanelor vizate. În lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.
Totodată, organizațiile trebuie să se asigure că, inclusiv în situația în care tehnologiile prelucrează (stochează, înregistrează) date personale, nu se vor înregistra manual date în diverse registre pe hârtie sau în format electronic, iar personalul este instruit corespunzător în acest sens. În această situație, în lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.
KIT GDPR Premium
IX. Concluzii
1. Legislația națională care impune triajul epidemiologic prezintă lacune cu privire la instituirea unor garanții adecvate pentru drepturile omului;
2. Consimțământul angajatului cu privire la luarea temperaturii introdus de către Ordinul nr. 3677/2020 intră în conflict cu standardele consimțământului în temeiul RGPD și nu conține garanții pentru viața privată;
3. Deși termoscanarea nu este o procedură medicală, ea reprezintă riscuri pentru viața privată și pentru celelalte drepturi ale omului;
4. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi, în teorie, un instrument util pentru combaterea pandemiei COVID-19;
5. Având în vedere contextul și faptul că temperatura corpului face parte din categoria datelor sensibile, riscurile sunt majore, iar prelucrarea neconformă poate conduce către excludere socială, tratamente degradante, stigmatizare și discriminare;
6. Chiar dacă măsura este prevăzută de lege, RGPD continuă să se aplice, iar organizațiile publice și private trebuie să adopte măsuri tehnice și organizatorice specifice pentru protecția datelor cu caracter personal și să respecte celelalte obligații RGPD;
7. Potrivit Legii nr. 190/2018 (art. 3 alin. 1), dacă se vor înregistra date este necesar consimțământul explicit al angajaților sau o legislație internă care să permită înregistrarea datelor. Întrucât legislația nu există, singura variantă pe care o pot utiliza organizațiile care și înregistrează datele este consimțământul explicit. În lipsa acestui consimțământ, activitatea de prelucrare (procesul decizional automatizat) nu va avea un temei legal, iar organizațiile pot fi sancționate pentru încălcarea Legii nr. 190/2018.
8. Persoanele vizate păstrează dreptul de a se adresa justiției sau ANSPDCP pentru prelucrările neconforme;
9. Pentru nerespectarea RGPD, instituțiile publice riscă amenzi care pot ajunge până la 300.000 lei pentru fiecare abatere;
10. Pentru nerespectarea RGPD, operatorii privați riscă amenzi care pot ajunge până la 4% din cifra de afaceri.
Termoscanarea. Update 25 mai 2020. Două avocate din Baroul București au adresat 23 de întrebări către ANSPDCP cu privire la interpretarea termoscanării din prisma GDPR. Mai multe pot fi aflate aici
Potrivit petitiției, „(…) Măsurarea temperaturii prin tehnologii evoluate și invazive poate prezenta riscuri pentru viața privată și pentru celelalte drepturi ale omului. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice. În contextul în care o parte din specialiștii în drept afirmă că termoscanarea nu cade, în nicio situație, sub incidența RGPD, există riscul ca organizațiile să nu se conformeze prevederilor RGPD ce poate avea ca urmări atât riscuri mari la adresa drepturilor și libertăților persoanelor vizate, cât și scăderea încrederii persoanelor ceea ce poate avea drept consecință frânarea procesului de combatere a pandemie. RGPD, pentru majoritatea organizațiilor, este o lege complexă și dificilă de aplicat, iar ANSPDCP este autoritatea care poate aduce o doză ridicată de conștientizare pentru a realiza atât combaterea pandemiei prin creșterea încrederii publicului, cât și evitarea prejudiciilor asupra persoanelor vizate prin alinierea organizațiilor la prevederile RGPD.”
Termoscanarea. Update 22 mai 2020:
-
Dacă informațiile privind temperatura se înregistrează într-un sistem de evidență, GDPR se aplică și vorbim de date cu caracter personal. Comentariu autorului: vorbim de un sistem de evidență când se folosesc camere termale cu soft integrat sau dispozitive de monitorizare a temperaturii. De asemenea, chiar în situația unui temometru digital, putem vorbi de un sistem de evidență dacă este o cameră CCTV înreptată către persoana căreia i se ia temperatura și surprinde și stochează rezultatul scanării.
-
Informarea persoanelor este necesară.
-
Operatorii (organizațiile) pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Prin urmare, GDPR se aplică în continuare inclusiv în stare de alertă.
Dacă ai întrebări, le poți adresa la adresa ruxandra.sava@legalup.
[1] A se vedea în acest sens art. (4) pct. 2 din RGPD: „„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.
[2] A se vedea în acest sens art. (4) pct. 1 din RGPD: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
[3] A se vedea în acest sens art. (9) din RGPD.
[4] A se vedea aici, link accesat 24.05.2020.
[5] A se vedea aici, link accesat 24.05.2020.
[6] A se vedea aici, link accesat 24.05.2020.
[7] A se vedea art. 4 pct. 11 din RGPD.
[8] „You should also think about whether you can achieve the same results through other, less privacy intrusive, means.”,a se vedea aici, link accesat 24.05.2020.
[9] A se vedea aici, link accesat 24.05.2020.
[10] Sursa aici, link accesat 17.05.2020.
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]