Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Prelucrarea datelor personale privind sănătatea după declararea pandemiei COVID-19
19.05.2020 | Cristinel GROSU

JURIDICE - In Law We Trust
Cristinel Grosu

Cristinel Grosu

Una din dilemele cu care s-au confruntat operatorii de date cu caracter personal, după declararea pandemiei COVID-19 de către Organizaţia Mondială a Sănătăţii, la data de 11 martie 2020, a fost cea privind prelucrarea datelor privind sănătatea angajaţilor, în contextul necesităţii atenţionării urgente a contacţilor direcţi ai persoanelor testate pozitiv cu virusul Sars Cov-2 despre potenţialul pericol apărut în urma contactului, corelat cu obligaţia contacţilor direcţi de a se izola la domiciliu.

Potrivit Ordinului Ministerului Sănătăţii nr 414/2020[1], faţă de persoanele care au intrat în contact direct[2] cu persoanele confirmate cu noul coronavirus (COVID-19), precum şi faţă de membrii familiilor acestora, se instituie obligativitatea izolării la domiciliu pentru o perioadă de 14 zile. În aceste circumstanţe, se pune problema manierei în care (şi dacă) operatorul de date personale (angajator) poate informa contacţii direcţi cu privire la datele persoanei testată pozitiv cu noul coronavirus.

Atât legislaţia naţională în domeniul prelucrării şi liberei circulaţii a datelor cu caracter personal, cât şi reglementările la nivelul Uniunii Europene nu cuprind norme explicite care să traseze conduita de urmat în situaţia premisă prezentată, iar reticenţa operatorilor în a dezvălui angajaţilor identitatea persoanei afectată de COVID-19, în scopul protejării sănătăţii publice, este, probabil justificată şi de cuantumul ridicat al sancţiunilor administrative prevăzute pentru dezvăluirea nelegală a acestor date[3].

Potrivit considerentului 46 din Regulamentul (UE) nr. 679 din 27 aprilie 2016[4] „prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecţiei unui interes care este esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii şi a răspândirii acesteia sau în situaţii de urgenţe umanitare, în special în situaţii de dezastre naturale sau provocate de om.”

În acelaşi sens, referitor la restricțiile ce pot fi aplicate drepturilor persoanelor ale căror date sunt prelucrate, art. 23 alin (1) lit. e) din Regulamentul (UE) 2016/679 prevede că ”Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricţiona printr-o măsură legislativă domeniul de aplicare al obligaţiilor şi al drepturilor prevăzute la articolele 12-22 şi 34, precum şi la articolul 5 în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 12-22, atunci când o astfel de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică, pentru a asigura: e)alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al securităţii sociale”.

În declaraţia adoptată la data de 19 martie de către Preşedintele Comitetului European pentru Protecția Datelor[5] se arată că „în contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unei obligații legale la care angajatorul este supus, cum ar fi obligații referitoare la sănătate și securitate la locul de muncă sau la interesul public, precum controlul bolilor și alte amenințări la adresa sănătăţii…, angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui să comunice mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contactat virusul (de exemplu, într-un context preventiv) și legislația națională îl permite, angajații în cauză sunt informați în avans, iar demnitatea și integritatea lor sunt protejate”.

Conform dispoziţiilor şi declaraţiei menţionate, observăm că normele specifice de la nivelul Uniunii Europene, nu interzic, ci, din contră, încurajează prelucrarea şi circulaţia datelor personale strict în cadrul operaţiunilor care au ca finalitate protejarea sănătăţii publice şi stoparea pandemiilor, ori o astfel de prelucrare poate avea loc atunci când operatorul dezvăluie datele persoanei afectate de COVID-19 către contacţii direcţi din ultimele 14 zile, contacţi identificaţi în urma anchetelor epidemiologice efectuate de către Direcţiile de Sănătate Publică Judeţene şi care au obligaţia păstrării confidenţialităţii datelor care le-au fost comunicate.

În lipsa acestei dezvăluiri, necondiţionată de consimţământul persoanei vizate şi care nu este interzisă de legislaţia naţională, măsura izolării la domiciliu impusă de autorităţi persoanelor care au intrat în contact direct cu persoanele afectate de COVID-19 ar putea fi considerată arbitrară, fiind lipsită de minime informaţii care justifică măsura, iar, pe de altă parte, o lipsă de informare în maniera precizată poate avea ca efect răspândirea necontrolată a infectărilor în rândul populaţiei.

Este adevărat că, în contextul actual, antreprenorii din domeniul digitalizării lansează proiecte de aplicaţii mobile instalate în general pe telefoanele inteligente , care pot ajuta autorităţile din domeniul sănătăţii publice de la nivelul naţional şi de la nivelul UE să monitorizeze şi să menţină sub control pandemia de COVID-19, iar Comisia Europeană, în Comunicarea nr. 417 din 17 aprilie 2020[6] cu privire la orientările în domeniul protecţiei datelor privind aplicaţiile care sprijină combaterea pandemiei de COVID-19, recomandă ca „identitatea persoanei infectate nu ar trebui dezvăluită persoanelor cu care a fost în contact epidemiologic. Este suficient să li se comunice faptul că au fost în contact epidemiologic cu o persoană infectată în ultimele 16 zile.” Trebuie, însă, să avem în vedere şi faptul că, în aceeaşi comunicare, se recomandă ca locaţia şi ora exactă a contactului cu persoana infectată să nu fie stocate, ceea ce , practic, face imposibilă identificarea persoanei infectate, singura recomandare în acest sens fiind aceea de a se comunica ziua contactului cu persoana infectată, astfel încât contacţii acesteia să fie în măsură să îşi ia, la rândul lor, măsurile sanitare adecvate ( testarea în vederea confirmării prezenţei COVID-19, etc).

Spre deosebire, însă, de situaţia în care un operator (angajator) dezvăluie, imediat ce a luat cunoştinţă de infectarea cu COVID-19, datele de identificare (nume,prenume) ale persoanei afectate de COVID-19, către contacţii direcţi care au obligaţia izolării la domiciliu şi a păstrării confidenţialităţii datelor ce le-au fost dezvăluite, situaţie care nu poate fi asimilată unei comunicări publice, cu totul altfel se pune problema în cazul în care contacţii direcţi sunt identificaţi din public cu ajutorul sistemelor de contorizare electronică a proximităţii şi a contactelor apropiate (Comisia europeană recomandă dispozitive prin Bluetooth cu consum redus de energie BLE, întrucât se evită posibilitatea urmăririi, spre deosebire de geolocalizarea GPS), când o dezvăluire, de către operatorul aplicaţiei, a datelor personale ale persoanei afectate de COVID-19, capăta conotaţia de „dezvăluire publică”, legală doar cu consimţământul persoanei vizate.

Concluzionând, în contextul actual al eforturilor concertate şi concentrate înspre împiedicarea răspândirii infectărilor cu virusul Sars Cov-2, chiar dacă legislaţia, atât cea naţională, cât şi cea a Uniunii Europene, nu cuprind norme explicite care să reglementeze concret prelucrarea şi circulaţia datelor personale pe timp de pandemie (probabil că fondul legislativ va fi îmbogăţit odată cu evoluţia stării de fapt), considerăm că operatorii, în calitate de angajatori, pot dezvălui în cadrul organizaţiei, doar persoanelor a căror sănătate este potenţial pusă în pericol din cauza contactului direct şi cu obligaţia păstrării confidenţialităţii, identitatea persoanelor afectate de COVID-19, fără a fi necesar consimţământul persoanei vizate, dar sub conditia informării în avans şi cu protejarea demnităţii şi integrităţii acesteia, în scopul protejării sănătăţii publice şi asigurării securităţii sociale.


[1] Ordinul Ministerului Sănătăţii nr. 414 din 11 martie 2020privind instituirea măsurii de carantină pentru persoanele aflate în situaţia de urgenţă de sănătate publică internaţională determinată de infecţia cu COVID-19 şi stabilirea unor măsuri în vederea prevenirii şi limitării efectelor epidemiei, publicat în Monitorul Oficial Nr. 201 din 12 martie 2020;
[2] Metodologia privind „ definiţia de caz” este publicată şi actualizată periodic pe site-ul Institutului Naţional de Sănătate Publică- http://www.cnscbt.ro/index.php/1724-definitii-de-caz-si-recomandari-de-prioritizare-a-testarii-pt-covid-19-14-05-2020;
[3] Operatorii publici riscă amenzi de până la 300 000 lei, iar cei privaţi de până la 4% din cifra de afaceri, conform art 15 din Legea nr. 102/2005, respectiv art 58 alin 2 lit b şi i şi art. 83 din Regulamentul (UE) 2016/679;
[4] La data de 27 aprilie 2016 a fost adoptat de către Parlamentul European și Consiliul Uniunii Europene Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, act normativ cu aplicabilitate directă în statele membre. În acord cu prevederile art. 99 alin. (1) şi (2) din Regulament, acest act normativ a intrat în vigoare la data de 25 mai 2016 (a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene) şi se aplică de la 25 mai 2018;
[5] Comitetul European pentru Protecţia Datelor (CEPD) este alcătuit din reprezentanți ai autorităților naționale pentru protecția datelor și ai Autorității Europene pentru Protecția Datelor (AEPD). EDPB a fost înființat în temeiul art. 68 din Regulamentul (UE) 2016/679;
[6] Comunicarea Nr. 417 (08)din 17 aprilie 2020 a Comisiei Europene cu privire la orientările în domeniul protecţiei datelor privind aplicaţiile care sprijină combaterea pandemiei de COVID-19 a fost publicată în Jurnalul Oficial al Uniunii Europene nr. C 124 I din 17 aprilie 2020, P. 1.


Judecător Cristinel Grosu
Preşedintele Curţii de Apel Suceava


Aflaţi mai mult despre , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]




Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.