În contextul actualei pandemii de SARS-CoV2 printre măsurile luate de autoritățile statelor membre pentru combaterea răspândirii coronavirusului se regăsesc și cele legate de verificarea temperaturii umane.
Cu privire la această procedură încă de la momentul declanșării pandemiei și până în prezent, s-au ridicat o serie de discuții vis-a-vis de condițiile în care este legal ca operatorii de date cu caracter personal să prelucreze datele rezultate din activitățile de măsurare a temperaturii în contextul GDPR.
Recent[1], Autoritatea Europeană pentru protecția datelor (EDPS) a adoptat un document orientativ care vine să clarifice în mare parte tema legată de activitățile de măsurare a temperaturii persoanelor atunci când acestea au loc în cadrul unor instituții europene. O bună parte din recomandările și orientările prezentate de către Autoritatea Europeană sunt apte să aducă lămuriri însă și cu privire la modalitatea în care alți operatori, chiar privați sau persoanele împuternicite ale acestora, pot prelucra date cu caracter personal rezultate din activitățile amintite.
Un prim aspect care rezultă din orientări, se referă la natura activităților de verificare ale temperaturii corporale a persoanei vizate și dacă acestea reprezintă sau nu o veritabilă prelucrare a datelor cu caracter personal. Documentul stabilește și care sunt situațiile în care o luarea temperaturii nu reprezintă o activitate de prelucrare a datelor cu caracter personal, care să intre sub incidența Regulamentului 679/2016 (GDPR).
Pentru a face o distincție clară a naturii activităților, autoritatea reține că verificările de bază ale temperaturii corpului structurate pentru a măsura numai temperatura corporală și care sunt acționate manual, fără a fi urmate de înregistrarea documentației sau altă prelucrare a datelor cu caracter personal ale unei persoane, în principiu, nu ar trebui să facă obiectul domeniului de aplicare al regulamentului GDPR.
Per a contrario, în ipoteza în care sistemele de verificare a temperaturii, acționate manual sau prin sisteme operate automat cu temperatură avansată și urmate de înregistrare, documentare sau prelucrare ulterioară a date cu caracter personal ale unei persoane ar intra, în general, în sfera de aplicare a regulamentului.
În același timp entitatea europeană arată că, în conformitate cu articolul 24 din GDPR, verificările de temperatură aplicate în mod obligatoriu nu ar trebui să se bazeze exclusiv pe prelucrarea automată. Prin urmare, în procedura de măsurare a temperaturii, diverșii operatori ar trebui să prevadă implicarea umană în mod semnificativ în etapele relevante ale verificării.
Utilizarea mijloacelor digitale automate de detectare a temperaturii intră sub incidența articolului 5 din GDPR, din moment ce sunt considerate mijloace automate, iar operarea acestora implică stabilirea unei baze de date care presupune procesarea și colectarea datelor personale cu respectarea tuturor principiilor GDPR.
Totodată, se apreciază că prelucrarea datelor cu caracter personal, într-o manieră automată si fără implicare umană, în urma căreia ar rezulta o interdicție de acces în incintă a unei persoane, nu ar corespunde cu standardele regulamentului.
O altă mențiune importantă pe care o face Autoritatea este că un sistem automat de verificare a temperaturii este considerat legal( având temei juridic) numai în situația în care particularul își dă acordul explicit și voluntar pentru prelucrarea datelor cu caracter personal. În acest caz este evident că pentru un consimțământ valabil exprimat este necesar ca acesta să îndeplinească condițiile prevăzute de art. 4 din GDPR, mai precis, manifestarea de voință trebuie să fie liberă, specifică, informată și lipsită de ambiguitate.
Acest fapt însă nu împiedică prelucrarea datelor cu caracter personal care rezultă din activitățile de măsurare a temperaturi, în baza altor temeiuri prevăzute de GDPR cum ar fi îndeplinirea unei obligații legale[2], interesul- fie în domeniul sănătății publice, fie un interes public major, sau chiar un simplu interes legitim sau vital.
De pildă, prelucrarea datelor legate de temperatură se va putea realiza și în baza lit. i a alin. (2) din cuprinsul art. 9 care prevede că prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional;
Așadar, în contextul dat, prelucrarea datelor cu caracter personal rezultate din activitățile de măsurare a temperaturii corporale are ca scop principal combaterea pandemiei cu coronavirusul SARS-COV-2. Astfel, aceste activități se circumscriu în motive de interes public în domeniul sănătății deoarece converg spre diminuarea riscului de infecție cu COVID-19 și protejarea tuturor persoanelor fizice, indiferent dacă dețin calitatea de persoană vizată.
De altfel, toate măsurile impuse de către stat în perioada stării de urgență, cât și în perioada stării de alertă au ca rol primordial un interes public în domeniul sănătății publice și anume: lupta împotriva pandemiei cu COVID-19.
Mai mult, inclusiv din clasificarea coronavirusului, de către Organizația Mondială a Sănătății, ca fiind extins la nivel mondial se poate că există o serie de motive de interes public în domeniul sănătății publice.
În acest context, se impune a fi arătate și precizările aduse de Comitetul European a datelor cu caracter personal prin documentul denumit Statement din data de 19.03.2020 care oferă scurte recomandări în ceea ce privește prelucrarea datelor cu caracter personal în perioada pandemiei cu COVID-19 și prin care se arată faptul că prelucrarea unor date sensibile, precum datele medicale, se poate realiza în cazul în care este necesar din motive de interes public substanțial în domeniul sănătății publice.
Nu în ultimul rând, prin măsurile precizate în actele normative din dreptul intern statul a adus, într-o oarecare măsură, o serie de restricții în ceea ce privește drepturile și libertățile persoanei vizate, însă, în această situație particulară aceste măsuri respectă, în mare parte, drepturile și libertățile persoane cu privire la protecția datelor cu caracter personal deoarece operatorii au, în continuare, aceleași obligații în ceea ce privește protecția datelor cu caracter personal.
Un al exemplu ar fi prelucrarea datelor legate de temperatură în baza unui interes vital, conform art. 9 lit. c) din GDPR care dispune că prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul.
Deși considerentul (46) din GDPR arată că interesul vital este un temei legal atunci când este utilizat în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om, totuși apreciem că acesta ar putea fi utilizat doar în situații excepționale și când nu există un alt temei legal de prelucrare.
În situația supusă analizei, considerăm că există alte temeiuri legale care ar justifica prelucrarea datelor cu caracter personal sensibile. Mai mult, pentru ca acest temei legal să poată opera trebuie îndeplinită condiția incapacității persoanei fizice de a oferi un consimțământ valid, or, în cazul de față există o multitudine de acțiuni prin care o persoană poate să ofere un consimțământ valabil la momentul activităților de măsurare a temperaturii.
Revenind însă la constatările autorității se consideră că articolul 1e din regulamentul staff-ului instituțiilor europene constituie un șablon pentru tipul de măsuri necesare în contextul pandemiei. Acesta permite implementarea de măsuri necesare protecției drepturilor si intereselor persoanelor.
Nu în ultimul rând, pentru instituțiile în care se utilizează verificarea temperaturii, autoritatea europeană recomandă o serie de măsuri tehnice și organizatorice printre care să asigure că modalitatea în care se desfășoară activitatea de verificare a temperaturii corespunde cerințelor GDPR. Astfel, se recomandă: utilizarea unor dispozitive electrice care funcționează independent, fără a fi conectare cu alte sisteme IT, utilizarea unui sistem în timp real care presupune înregistrarea citirii, utilizarea unui dispozitive industriale care să fie adaptate cu măsurile tehnice și cu necesitățile protecției datelor, utilizarea unui termoscanner care nu înregistrează imagini ci doar afișează rezultatele în timp real, verificare accesului la date a producătorului dispozitivului, instruirea staff-ului care se ocupă cu activitatea de verificare a temperaturii etc.
Deopotrivă, autoritatea recomandă ca în ipoteza unui rezultat pozitiv în procesul verificare a temperaturii corporale, să fie asigurată prezența unei persoane competente la fața locului care să poată lua deciziile necesare și implicarea acesteia în informarea persoanei afectate referitor la măsurile care se impun/ .
Nu este lipsit de interes ca în aceste situații, să se instituie o procedură concretă la nivelul entităților pentru ipoteza în care o persoană, ulterior verificării temperaturii, se confirmă că aceasta are o temperatură ridicată, peste limita permisă. Cu titlu de exemplu, Autoritatea Europeană sugerează măsurările multiple, utilizarea personalului medical specializat și chiar utilizarea unui alt dispozitiv de măsurare a temperaturii pentru a avea o procedură cât mai complexă.
În final, Autoritatea Europeană sfătuiește operatorii de date care prelucrează date cu caracter personal în cadrul instituțiilor europene și care implementează controale de temperatură să revizuiască necesitatea și proporționalitatea acestor măsuri în mod regulat în lumina evoluției epidemie și înțelegerea sa științifică.
În loc de concluzie, este clar că adoptarea unor recomandări și emiterea unor clarificări legate de prelucrarea datelor legate de temperatura corpului uman de către Autoritatea Europeană sunt mai mult decât binevenite.
În esență este clar că atât temeiurile de prelucrare ale datelor cât și măsurile și recomandările autorității, ar trebui cel puțin la nivel teoretic să fie pe deplin aplicabile pentru identitate de rațiune și altor operatori publici sau privați, în afara entităților europene.
De altfel, condițiile generale pe care Autoritatea Europeană le recomandă sunt legate de transparență și monitorizarea și aplicarea măsurilor necesare pentru protecția populației. Tocmai din aceste rațiuni fiecare persoană care pătrunde în spațiul unde se desfășoară activitatea unei entități în special publice, ar trebuie să fie informată în mod transparent cu privire la DCP care i se prelucrează, iar prelucrarea ar trebui să aibă la bază un temei legal conform GDPR.
[1] https://edps.europa.eu/sites/edp/files/publication/01-09-20_edps_orientations_on_body_temperature_checks_in_the_context_of_euis_en.pdf
[2] de pildă există o serie de acte normative (în special în cazul Ordinelor de Ministru) emise în vederea combaterii răspândirii noului coronavirus care prevăd în sarcina operatorilor economici, publici sau privați obligația de a prelucra, direct ori indirect, date legate de temperatura persoanelor.