Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Termoscanarea: protecția datelor, „procedură medicală”, riscuri
19.05.2020 | Ruxandra SAVA

JURIDICE - In Law We Trust
Ruxandra Sava

Ruxandra Sava

1. Introducere, noțiune și context

În România, masura luării temperaturii a fost introdusă în mod obligatoriu prin Hotărârea nr. 24/14.05.2020 de către Comitetul Național pentru Situații de Urgență. În acest sens, potrivit Hotărârii nr. 24/2020, în situațiile unde munca de la domiciliu nu este posibilă, organizațiile (publice sau private) vor asigura triajul epidemiologic constând în controlul temperaturii personalului. Organizațiile (publice sau private) au libertatea de a decide dacă vor lua temperatura manual (termometrizare) sau automat (termoscanare). A doua variantă prezintă mai multe riscuri pentru viața privată și drepturile omului.

În prima parte a articolului vom aduce critici Hotărârii nr. 24/2020, Legii nr. 55/2020 și Ordinului nr. 3577/2020 emis de Ministerul Muncii și Protecției Sociale, în secțiunile următoare vom analiza dacă termoscanarea este interzisă de RGPD și vom enumera temeiurile legale pe care își pot întemeia prelucrarea organizațiile care decid să folosească o astfel de măsură. În secțiunile următoare vom analiza dacă termoscanarea, în contextul triajului epidemiologic, reprezintă sau nu o procedură medicală, iar în ultima parte a articolului vom trece în revistă riscurile termoscanării și vom propune măsuri pentru reducerea la minimum a acestor riscuri.

Termoscanarea este un sistem bazat pe imagistică termică conceput pentru detectarea rapidă, fără contact, a temperaturilor ridicate a suprafeței pielii. Folosind lentile și senzori termici, termoscanarea furnizează alerte automate atunci când o persoană prezintă o temperatură care depășește un interval preconfigurat.[1]

Înainte să își găsească aplicabilitatea în contextul pandemiei COVID-19, termoscanarea a fost folosită în activitatea de monitorizare și studiere a comportamentului animalelor în habitat natural și artificial.[2]

II. Critici aduse Hotărârii nr. 24/2020, Legii nr. 55/2020 și Ordinului nr. 3577/2020

Majoritatea temeiurilor de la art. 9 RGPD prevăd faptul că se pot prelucra date cu caracter personal în baza dreptului intern doar dacă legislația internă prevede garanții pentru drepturile omului. Întrucât nici Legea nr. 55/2020, nici Hotărârea nr. 24/2020 și nici Ordinul nr. 3577/2020 nu prevăd astfel de garanții, consider că singurele temeiuri legale pe care le pot utiliza companiile pentru termoscanare sunt interesul vital și consimțământul explicit.

Nu vom intra în discuții cu privire la constituționalitatea acestor prevederi, însă vom adăuga faptul că legislația internă ar trebui modificată astfel încât să fie introduse și prevederi clare cu privire la respectarea drepturilor omului în situația prelucrării datelor privind sănătatea.

De asemenea, consider că forma de consimțământ cu privire la luarea temperaturii instuită prin Ordinul nr. 55/2020 ar trebui privită cu o doză ridicată de scepticism pentru motivele arătate la punctul III de mai jos.

În lipsa acestor prevederi, întreaga responsabilitate este pasată către organizații care vor trebui să dubleze eforturile pentru a asigura nu doar prevenirea răspândirii pandemiei, ci si protecția drepturilor omului.

III. Termoscanarea și RGPD

(I) Este termoscanarea o activitate de prelucrare de date cu caracter personal în temeiul RGPD?

Da, potrivit art. (4) pct. (2) din RGPD, termoscanarea este o activitate de prelucrare de date cu caracter personal în temeiul RGPD.[3]

Cu toate acestea, simpla luare a temperaturii prin utilizarea unui temometru clasic și fără a permite înregistrarea nu reprezintă o activitate de prelucrare în temeiul RGPD. Însă, deși luarea manuală a temperaturii cu termometre clasice nu reprezintă o prelucrare în temeiul RGPD, riscurile cu privire la drepturile omului (stigmatizare, excluziune socială, discriminare etc) sunt în continuare prezente, de aceea, organizațiile ar trebui să implementeze măsuri concrete pentru drepturile omului chiar dacă se merge pe termometrizare manuală.

(II) Se încadrează temperatura corpului în noțiunea de date cu caracter personal?

Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal[4], și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special[5] (datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.

(III) Ce date cu caracter personal prelucrează tehnologiile de termoscanare?

Indiferent de ce spun companiile care vând astfel de soluții, realitatea este că aceste tehnologii prelucrează date cu caracter personal pentru a putea identifica persoana care are febră peste un anumit prag prestabilit. Dacă nu s-ar prelucra date cu caracter personal, persoana care are febră peste un anumit prag nu ar putea fi identificată, prin urmare neprelucrarea datelor cu caracter personal iese din discuție.

Bineînțeles, cu cât tehnologia este mai avansată, cu atât se prelucrează un volum mai mare de date și într-o manieră mai intruzivă pentru persoanele fizice.

Cu siguranță, majoritatea colectează temperatura, iar corelate cu CCTV (sisteme de supraveghere video cu circuit închis) se pot colecta mișcările persoanelor în spațiu și imaginile faciale. Cu toate acestea, se pot colecta și date suplimentare în funcție de tehnologiile pe care le utilizează o organizație. Aceste date suplimentare se pot colecta îndeosebi în situațiile în care organizațiile au surse suplimentare pentru a identifica persoanele ca de exemplu: carduri de acces, sisteme de monitorizare a timpului de lucru și alte măsuri de securitate la accesul în clădiri și incinte.[6]

Ar mai fi de reamintit și faptul că temperatura corpului intră, în temeiul RGPD, în categoria datelor speciale („sensibile”), iar prelucrarea acestor date poate fi realizată doar în condiții stricte, despre care vom discuta în secțiunile următoare.

(IV) Încalcă termoscanarea RGPD?

Contrar unor opinii lansate recent în spațiul public, procedura de termoscanare nu este per se o procedură interzisă de RGPD, însă această procedură trebuie aliniată la standardele RGPD pentru a putea fi utilizată. În concret, organizațiile trebuie să identifice temeiul legal potrivit pentru această activitate de prelucrare, să realizeze documentația obligatorie din punct de vedere GDPR (de exemplu, evaluarea impactului asupra protecției datelor cu caracter personal)[7], să informeze persoanele vizate și să pună în aplicare alte măsuri tehnice și organizatorice adecvate pentru securitatea și confidențialitatea datelor cu caracter personal.

Deși consimțământul explicit al tuturor persoanelor vizate este dificil de obținut sau ar implica eforturi și costuri disproporționale, organizațiile ar trebui să își întemeieze prelucrarea pe alte temeiuri potrivit art. 9 RGPD.

Întrucât, așa cum am arătat anterior, nici Legea nr. 55/2020 și nici Hotărârea nr. 24/2020 nu prevăd garanții adecvate pentru drepturile omului, consider că cel mai potrivit temei legal în această situație este interesul vital, care poate fi utilizat în acest context atât de către organizațiile publice, cât și de către organizațiile private. Cu toate acestea, interesul vital ar trebui utilizat cu maximă precauție și doar în situațiile în care nu poate fi identificat un alt temei legal.[8]

În acest sens, considererentul (46) din RGPD prevede că „Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om”.

Sunt de părere că atâta timp cât dreptul intern nu conține încă garanții și măsuri pentru drepturile persoanelor ale căror date privind sănătatea sunt prelucrate prin termoscanare, iar consimțământul introdus de Ordinul nr. 3577/2020 ar trebui privit cu o doză ridicată de scepticism, cel mai potrivit temei este interesul legitim. Însă, în măsura în care în viitor legea va institui și garanții pentru drepturile omului, mai pot fi utilizate și alte temeiuri:

– art. 9 alin. (2) lit b) GDPR: „prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate”;

art. 9 alin. (2) lit i) GDPR: „prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional.”;

– art. 9 alin. (2) lit g) GDPR: „prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate”; sau

– art. 9 alin. (2) lit i) GDPR: „prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional”.

În concluzie, deși termoscanarea nu încalcă RGPD, forma actuală a Hotărârii nr. 24/2020, a Legii nr. 55/2020 și a Ordinului nr. 3577/2020 nu prezintă garanții pentru drepturile omului, iar consimțământul introdus prin Ordinul nr. 3577/2020 nu este valabil din punct de vedere al standardelor RGPD. Prin urmare, consider că aceste acte nu pot reprezenta temeiul juridic în baza căruia organizațiile pot introduce termoscanarea și până la instituirea unor garanții în dreptul intern pentru respectarea RGPD, cele mai potrivite temeiuri legale sunt consimțământul explicit și/sau interesul vital.

(V) Este consimțământul din Ordinul nr. 3577/2020 valabil?

Potrivit art. 2 din Ordinul nr. 3577/302020, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toți angajații din sectorul public sau privat acceptă verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.

A se observa faptul că Ministerul Muncii și Protecției Sociale a instuit o formă de consimțământ viciat care intră în contradicție cu prevederile RGPD. Potrivit RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.[9]

RGPD permite organizațiilor să prelucreze date privind sănătatea în baza legislației interne doar dacă această legislație prezintă garanții pentru drepturile omului.[10]

Întrucât Ordinul nr. 3577/2020 nu prevede astfel de garanții, consider că organizațiile care își întemeiază prelucrarea pe Ordinul nr. 3577/2020 vor încălca RGPD, însă acestea pot lua temperatura utilizând consimțământul explicit al persoanelor sau interesul vital.

(VI) Ce au de făcut organizațiile care introduc termoscanarea pentru a respecta RGPD?

Chiar dacă efectuarea triajului epidemiologic este o obligație legală potrivit legislației naționale, RGPD continuă să se aplice, iar companiile trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru protecția datelor și să respecte celelalte obligații în temeiul RGPD. Despre aceste măsuri vom discuta pe larg în secțiunea VII.

IV. Interesul vital

Așa cum am menționat anterior, având în vedere că temperatura face parte din categoria datelor cu caracter special în temeiul GDPR și având în vedere că legislația română nu cuprinde momentan garanții și măsuri pentru respectarea drepturilor omului, temeiul juridic potrivit care poate fi utilizat de către organizații până la modificarea legislației este interesul vital. Cu toate acestea, sunt de părere că interesul vital poate fi utilizat doar în situațiile în care nu se poate obține consimțământul explicit al persoanelor, iar organizațiile ar trebui să demonstreze motivele pentru care se află în imposibilitate de a obține consimțământul explicit al persoanelor.[11]

Potrivit art. 9 lit. c) din RGPD, datele privind sănătatea (inclusiv temperatura corpului) pot fi prelucrate „ (…) pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul”.

Incapacitatea fizică a persoanelor de a-și da consimțământul ar putea rezulta din faptul că ar fi aproape imposibil să se obțină consimțământul explicit al fiecărei persoane care are acces într-o locație, iar procedura de obținere a acestui consimțământ explicit ar însemna timp, energie și costuri operaționale ridicate. În acest sens considererentul (46) din RGPD prevede că interesul vital poate fi utilizat „(…) în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om”.

Important de menționat este faptul că utilizarea interesului vital, potrivit recomandărilor Comitetului European pentru Protecția Datelor și ale autorităților de supraveghere, trebuie să aibă caracter exceptional. Mai exact, el poate fi utilizat doar dacă nu poate fi utilizat un alt temei legal. Prin urmare, în măsura în care se poate obține consimțământul explicit, este recomandat să se meargă pe consimțământ. Totodată, în măsura în care legislația română va prevedea în viitor garanții pentru drepturile omului, este recomandat să se aleagă alt temei/alte temeiuri de la art. 9 din RGPD.

V. Este termoscanarea o procedură medicală?

Vom analiza în continuare noțiunea de „procedură medicală” pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală care poate fi realizată doar cu acordul informat al pacientului.

1. Definiție

Noțiunea de „procedură medicală” este consacrată de legislația română prin Legea drepturilor pacientului nr. 46/2003 sub noțiunea de „intervenție medicală”, noțiune pe care o vom analiza în cele ce urmează pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală.

Noțiunea de „procedură medicală” nu există în legislația română, însă, deși nu are relevență din punct de vedere juridic, vom trece în revistă definiția oferită de Wikipedia „o activitate medicală desfășurată asupra unei persoane cu scopul de a îmbunătăți sănătatea, trata o boală sau cu scopul de a pune un diagnostic”.[12]

Potrivit Legii nr. 46/2003 prin intervenție medicală se înțelege „orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare.”

Definiția de mai sus cuprinde patru elemente esențiale care vor fi analizate în mod separat în acest articol pentru a descoperi dacă dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală. Aceste elemente sunt următoarele:
1. „orice examinare, tratament sau alt act medical”;
2. „în scop de diagnostic preventiv”;
3. „în scop terapeutic”;
4. „în scop de reabilitare”.

Aceste patru elemente sunt strâns legate și pentru a descoperi dacă termoscanarea în acest context este o procedură medicală, aceste elemente trebuie analizate atât împreună, cât și separat.

2. Primul element: orice examinare, tratament sau alt act medical”

Analiza gramaticală a textului de mai sus (existența conjuncției simple „sau” înainte de sintagma „alt act medical”) conduce către concluzia că, pentru a se încadra în noțiunea de intervenție medicală, examinările sau tratamentele trebuie să fie medicale, adică realizată de o persoană autorizată să practice medicina în România.

A interpreta în sens invers înseamnă a spune că orice intervenție, fie că este realizată de un medic sau nu, este un act medical.

Având în vedere cele expuse mai sus, consider că termoscanarea nu este o intervenție medicală deoarece nu este realizată în actualul context de către un medic, ci de personalul însărcinat cu această atribuție de către organizații. Tototdată, termoscanarea nu este realizată întotdeauna de către un operator uman, ci uneori este realizată de către anumite tehnologii cunoscute drept „termoscannere”.

3. Al doilea element: „în scop de diagnostic preventiv”

Scopul termoscanării de către organizații în acest context nu este reprezentat de stabilirea unui diagnostic, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru punerea unui diagnostic, organizațiile neavând această competență și/sau atribuție.

4. Al treilea element: „în scop terapeutic”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de terapie, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru servicii de terapie, organizațiile neavând această competență și/sau atribuție.

5. Al treilea element: „în scop de reabilitare”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de reabilitarea, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea și expansiunea pandemiei COVID-19.

6. Concluzia

După analiza detaliată a definiției intervenției medicale („orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare), rezultă în mod clar faptul că luarea temperaturii persoanelor, inclusiv prin termoscannere (termoscanare) în contextul triajului epidemiologic pentru prevenirea contaminărilor și evoluația pandemiei COVID-19, nu este o intervenție medicală. Mai mult decât atât, persoanelor cărora li se ia temperatura nu au calitatea de pacienți în înțelesul legislației române. Așadar, consimțământul informat al pacientului nu este necesar.

Însă, această procedură presupune riscuri majore pentru drepturile omului, riscuri pe care le vom analiza în cele ce urmează și vom propune câteva măsuri pentru a reduce la minimum aceste riscuri.

VI. Riscurile termoscanării

Având în vedere că această procedură poate da erori, precum și faptul că uneori modalitățile de triaj epidemiologic pot fi degradante pentru o ființă umană, enumerăm în cele de urmează o parte din riscurile asociate utilizării termoscanării. Aceste riscuri sunt cu atât mai mari cu cât Hotărârea nr. 24/2020 prevede doar obligativitatea acestei măsuri, însă nu instituie și garanții pentru drepturile omului.

(i) Riscul unor ingerințe în viața privată

În funcție de metodele utilizate, pot exista riscuri la adresa vieții private, iar amestecul oricărei organizații în viața privată a omului ar trebui redus la minimum. În principiu, organizațiile ar trebui să se abțină să prelucreze alte elemente ce țin de sfera privată a individului, cum ar fi alte probleme de sănătate, date privind membrii de familie, precum și orice alte date care nu au drept scop prevenirea răspândirii pandemiei.

(ii) Riscuri la adresa confidențialității datelor cu caracter personal

În funcție de metodele utilizate, mai ales în situațiile în care (i) nu se asigură securitatea datelor colectate, (ii) datele sunt stocate pe o perioadă mai mare decât este necesar pentru triajul epidemiologic, (iii) datele sunt dezvăluite către destinari neautorizați, (iv) sunt colectate mai multe date decât este necesar, (iv) nu se iau măsuri pentru anonimizare, iar identitatea persoanelor este dezvăluită, riscurile la adresa protecției datelor cu caracter personal sunt majore. Reamintim totodată faptul că temperatura corpului face parte, potrivit art. 9 din RGPD, din categoria datelor speciale, iar prelucrarea lor neconformă poate conduce către excludere socială, stigmatizare, discriminare.

(iii) Riscuri la adresa demnității umane

În situația în care se colectează temperatura prin metode degradante (exemplu: pistolul îndreptat asupra frunții) sau prin metode lipsite de discreție (exemplu: evacuarea însoțită de violență verbal din incintă), demnitatea omului este în pericol. Organizațiile ar trebui să își reamintească faptul că orice persoană, indiferent că este sănătoasă sau infectată, are dreptul la demnitate, drept inerent oricărei ființe umane.

(iv) Riscuri psihologice

În situația în care se utilizează metode degradante sau lipsite de discreție, respect sau umanitate, persoanele pot suferi traume psihologice. Metodele utilizate ar trebui adaptate fiecărei categorii de vârstă. Un pistol îndreptat la frunte care scanează temperatura corpului va avea un efect mult mai accentuat față de un copil decât față de un adult, iar prelucrarea neconformă a datelor și dezvăluirea identității poate contribui către fenomene precum etichetare, stigmatizare, bullying sau cyberbullying în școli și licee.

(v) Riscuri cu privire la exactitate

Întrucât măsurarea temperaturii poate da uneori erori (alte probleme de sănătate, temperatura ridicată din mediul exterior etc), există riscul ca persoanelor să nu li se permită accesul în locații în mod eronat.

(vi) Riscuri de infectare

În mod paradoxal, termoscanarea poate crește cazurile de infectare, mai ales când este urmată de măsura izolării persoanelor conform unor proceduri incorecte, de exemplu în situația în care o persoană care are temperatura ridicată, dar nu suferă de COVID-19 este izolată cu alte persoane care suferă de COVID-19.

VI. Măsuri pentru reducerea la minimum a riscurilor

În vederea reducerii la minimum a riscurilor față de drepturile și interesele omului, organizațiile trebuie să implementeze măsuri tehnice și organizatorice specifice pentru a nu se aduce prejudicii nejustificate drepturilor omului. Persoanele fizice păstrează, în toate cazurile, dreptul de a se adresa justiției pentru daune morale și/sau dreptul de a depune plângeri la ANSPDCP.

Recomandăm organizațiilor să implementeze cel puțin următoarele proceduri:

(i) Implementarea unei proceduri operaționale privind termoscanarea

Această procedură pentru identificarea și managementul persoanelor care prezintă temperatură ridicată ar trebui să cuprindă garanții pentru drepturile omului, astfel încât să se evite riscurile unei prelucrări neconforme sau lipsite de discreție: stigmatizare, excludere socială, discriminare etc. Consider că această procedură ar trebui să cuprindă nu doar aspecte cu privire la ce anume este de făcut în situația unui caz suspect, ci și aspecte clare cu privire la modalitatea în care se va aborda situația astfel încât impactul asupra vieții private și asupra celorlalte drepturi ale omului să fie redus la minimum.

De asemenea, responsabilul pentru verificarea temperaturii tuturor persoanelor care intră în unitate/instituție ar trebui să fie ales pe baza unor competențe ridicate în managementul resurselor umane.

Totodată, atunci când se achiziționează tehnologii de termoscanare, tehnologia trebuie aleasă nu doar în funcție de cost sau performanță, ci și în funcție de gradul de securitate și confidențialitate pe care îl oferă respectiva soluție. În acest sens, organizația ar trebui să ceară opinia responsabilului cu protecția datelor, a consultanților GDPR și/sau a specialiștilor în securitate în alegerea soluției potrivite pentru a minimiza riscurile la adresa vieții private.

(ii) Documentarea temeiului legal

Pentru a putea demostra legalitatea măsurii, temeiul legal sau temeiurile legale trebuie documentate în scris (inclusiv în format electronic). Recomandăm documentarea în registrul activităților de prelucrare pe care ar trebui să îl dețină orice organizație care prelucrează date și care este obligatoriu potrivit art. 30 GDPR.

De asemenea, notele de informare către persoanele vizate trebuie actualizate și cu noua prelucrare de date, mai exact persoanei trebuie să i se explice, printre altele, ce date i se prelucrează prin aceste tehnologii, modalitatea de prelucrare, temeiul legal și alte elemente despre care vom discuta în secțiunea următoare.

Totodată, consider că forma de consimțământ instituită de Ordinul nr. 3577/2020 ar trebuit privit cu o doză ridicată de scepticism deoarece el contravine standardelor GDPR cu privire la consimțământ, iar Ordinul nu conține garanții adecvate pentru drepturile omului.

(iii) Informarea persoanelor

Orice persoană (client, vizitator al incintei, angajat etc) care este vizată de termoscanare, trebuie să fie informată în prealabil. Informarea trebuie să cuprindă toate elementele de la art. 13 RGPD.

Cea mai optimă soluție de informare este afișarea unei note de informare într-un loc vizibil și accesibil tuturor persoanelor care intră în spațiile monitorizate.

De asemenea, ar trebui introdusă și o plăcuță de avertizare cu privire termoscanare.

Dacă spațiul alocat nu este suficient, prin aceste documente persoanei ar trebui să i se indice unde poate afla mai multe informații: de exemplu, la recepție sau pe site. În cea de-a doua situația nota de informare de pe site (sau „Politica de confidențialitate”) ar trebui actualizată în mod corespunzător.

(iv) Desemnarea unui responsabil cu protecția datelor

Este posibil ca, în funcție de volumul persoanelor vizate care vor fi termoscanate, să fie obligatorie desemnarea unui responsabil cu protecția datelor. Necesitatea desemnării unui responsabil cu protecția datelor se va decide de la caz la caz în funcție de criteriile instituite de RGPD.

(v) Efectuarea unei evaluări de impact (DPIA)

Înainte de implementare, ar trebui efectuată o evaluare de impact cu privire la fiecare termoscanner. Prima întrebare care trebuie să se pună este dacă această măsură este necesară. Prin urmare dacă scopul (obținerea temperaturii corporale) se poate obține și printr-o metodă mai puțin invazivă, ca de exemplu prin măsurarea manuală a temperaturii, sunt șanse mari să nu se poată utiliza termoscanarea. În orice caz, organizațiile trebuie să facă evaluare reală și să ia în calcul toate aspectele implicate și, acolo unde posibil, ar trebui să se țină cont opinia persoanelor vizate.

(vi) Implementarea unei politici dedicate termoscanării

Această politică ar trebui să cuprindă, printre altele, următoarele lucruri:

1. Justificarea utilizării termoscanării. Organizația ar trebui să demonstreze că, desi au fost căutate metode mai puțin intruzive, acestea nu au fost găsite.

2. Locația și asigurarea faptului că s-au depus toate diligențele pentru ca termoscannerele să asigure o acoperire limitată. Ele nu trebuie utilizate în birourile angajaților, în toalete, în vestiare sau în alte locuri unde angajații au o așteptare ridicată cu privire la confidențialitate. Termoscannerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Depozitarea și stocarea. Este recomandat ca aceste tehnologii să nu stocheze informații, însă dacă vor fi stocate, înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații. În circumstanțe relevante, înregistrările vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanețelor de judecată sau altor autorități publice atunci când legea impune.

4. Durata minimă. Datele trebuie colectate pe o durata minimă pentru atingerea scopului de a decide dacă să permită sau nu accesul unei persoane în incinte. Această durata de stocare trebuie specificată și respectată cu strictețe. După împlinirea perioadei, datele trebuie șterse.

5. Cererile persoanelor vizate: Persoanelor fizice li se acordă dreptul de accesa înregistrările cu privire la ele însele, potrivit GDPR.

Consider, totodată, că în situația instituțiilor publice, persoanele fizice pot cere accesul la documentele de la punctele (I) – (VI) de mai sus formulând o cerere de acces la informații de interes public în temeiul Legii 544/2001 privind accesul la informațiile de interes public.

VIII. Concluzii

(1) Legislația națională care impune triajul epidemiologic prezintă lacune cu privire la instituirea unor garanții adecvate pentru drepturile omului;

(2) Consimțământul angajatului cu privire la luarea temperaturii introdus de către Ordinul nr. 3677/2020 intră în conflict cu standardele consimțământului în temeiul RGPD și nu conține garanții pentru viața privată.

(3) Deși termoscanarea nu este o procedură medicală, ea reprezintă riscuri pentru viața privată și pentru celelalte drepturi ale omului;

(4) Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice.

(5) Având în vedere contextul și faptul că temperatura corpului face parte din categoria datelor sensibile, riscurile sunt majore, iar prelucrarea neconformă poate conduce către excludere socială, tratamente degradante, stigmatizare și discriminare;

(6) Chiar dacă măsura este prevăzută de lege, RGPD continuă să se aplice, iar organizațiile publice și private trebuie să adopte măsuri tehnice și organizatorice specifice pentru protecția datelor cu caracter personal și să respecte celelalte obligații RGPD;

(7) Organizațiile ar trebui să adopte măsuri pentru reducerea la minimum a riscurilor;

(8) Persoanele vizate păstrează dreptul de a se adresa justiției sau ANSPDCP pentru prelucrările neconforme;

(9) Persoanele fizice păstrează toate drepturile prevăzute de GDPR: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergere, dreptul la restricționare, dreptul la portabilitate, dreptul la opoziție, dreptul de nu fi supus unui proces decizional automatizat, inclusiv crearea de profiluri. Aceste drepturi nu sunt absolute, iar organizațiile se vor decide temeinicia cererilor și vor răspunde persoanelor în termen de maxim o lună. Dacă cererile sunt întemeiate, li se va comunica măsurile întreprinse. Dacă cererile sunt neîntemeiate, li se va comunica motivul/motivele respingerii cererii, precum și dreptul de a se adresa instanțelor de judecată competente și dreptul de a depune o plângere la ANSPDCP.

(10) În situația organizațiilor publice, persoanelor fizice ar trebui să li se permită accesul la măsurile tehnice și organizatorice care prezintă garanții pentru drepturile omului, dacă formulează o cerere de acces la informații de interes public în temeiul Legii nr. 544/2001 privind accesul la informațiile de interes public.

(11) Pentru nerespectarea RGPD, instituțiile publice riscă amenzi care pot ajunge până la 300.000 lei pentru fiecare abatere.

(12) Pentru nerespectarea RGPD, operatorii privați riscă amenzi care pot ajunge până la 4% din cifra de afaceri.


[1] Sursa aici, link accesat 13.05.2020.
[2] Sursa aici, link accesat 13.05.2020.
[3] A se vedea în acest sens art. (4) pct. 2 din RGPD: prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
[4] A se vedea în acest sens art. (4) pct. 1 din RGPD: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
[5] A se vedea în acest sens art. (9) din RGPD.
[6] Sursa aici, link accesat 13.05.2020.
[7] A se consulta art. 35 din RGPD.
[8] A se vedea în acest sens recomandările ICO aici, link accesat 17.05.2020.
[9] A se vedea art. 4 pct. 11 din RGPD.
[10] A se consulta în acest sens art. 9 din RGPD;
[11] A se vedea în acest sens opinia ICO aici, link accesat 17.05.2020.
[12] Sursa aici, link accesat 17.05.2020.


Av. Ruxandra Sava, CIPP/e


Aflaţi mai mult despre , , , , , , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]




Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.