Confidentialitatea datelor in pandemie – Scurtă descriere a evenimentelor
La sfârșitul anului 2019 în regiunea chineză Wuhan au apărut pentru prima dată semnele unei infecții puternice, care în scurt timp a ajuns o problemă de sănătate publică la nivel mondial, așa cum la data de 30 ianuarie 2020 Organizația Mondială a Sănătății a declarat-o.
În doar o lună, până la începutul lunii martie, COVID-19 s-a răspândit în întreaga lume, fiind declarată pandemie. În tot acest timp au fost înregistrate 3.58 milioane cazuri și peste 250.000 decese, motiv pentru care statele au fost nevoite să ia măsuri de izolare a populației, distanțare socială și să impună numeroase restricții de circulație.
Pentru a face față situațiile companiile private dar și instituțiile publice au trebuit să își adapteze activitatea, astfel că unele și-au trecut cu totul activitatea în mediul online, altele însă au fost nevoite să își continue activitatea în modalitatea clasică, spre exemplu fabricile de producție.
În procesul de adaptare și control a infecțiilor, operatorii de date menționați au luat o mulțime de măsuri printre care unele controversate. O astfel de măsură este cea a montării sistemelor de supraveghere video cu funcția de măsurare a temperaturii, la intrarea în instituții[1]. O alta măsură vizeaza operatorii economici din domeniul HORECA, care acum au obligația de a întocmi și a păstra pe o perioadă determinată de timp un registru care prelucrează date cu caracter personal (registrul de evidenta).
Conținut
Acest articol caută să evalueze pe scurt legalitatea instalării acestor camere, întrucât, după cum bine cunoaștem, acest sistem prelucrează date sensibile cu caracter personal, astfel că necesită o atenție aparte!
1. Pentru început: Vorbim de prelucrarea de date cu caracter personal?
În momentul în care vorbim despre un astfel de sistem, premiza de la care unii operatori pleacă este că aceste camere nu înregistrează (funcția record) sau transferă date deoarece: nu colectează numele sau adresele persoanei care trec prin fața acestor camere, nu identifică persoanele vizate – și astfel neidentificând nu vorbim despre o prelucrare de date, deci acest caz nu cade sub incidența GDPR-ului. Tot ce fac camerele este să semnalizeze angajații sau să blocheze intrarea unei persoane care este detectată că are o temperatură peste un anumit nivel.
În acest sens, nici nu este cazul să vorbim de identificarea temeiului legal pentru că GDPR-ul, zic unii, nu este aplicabil. Cu toate acestea, există o serie de indicatori care ne arată că lucrurile nu stau așa, astfel:
- Compania sau instituția publică are surse multiple prin care poate identifica persoanele care trec prin fața camerelor – spre exemplu:
- un card care oferă acces în clădire sau
- faptul că angajații care supraveghează aparatul și filmarea live produsă de camere își recunosc colegii;
- personalul de la pază / securitate, recunosc persoanele care intră în instituție
- persoanele care au acces, pot avea un card de identificare ca vizitator sau angajat al instituției pe care să existe fotografie, nume, prenume, etc.;
Observând cele menționate mai sus și înțelegând termenul de date cu caracter personal (orice date care duc la identificarea persoanei) și a termenlului de prelucrare (orice acțiune care se întreprinde cu datele, chiar și simpla vizualizare a acestora), putem deduce în mod direct că vorbim despre faptul că GDPR-ul este aplicabil!
2. Temperatura persoanei, dată medicală dar relevantă?
Datele medicale, precum temperatura unei persoane, reprezintă date medicale conform GDPR-ului pentru că poate indica starea de sănătate a persoanei. Uitându-ne la considerentul 53 al Regulamentului, aceste date fiind catalogate speciale, necesită un nivel mai ridicat de protecție și ar trebui prelucrate doar în scopuri legate de sănătate atunci când este necesar pentru realizarea acestor scopuri în beneficiul persoanelor fizice și al societății în general! Această prevedere este o derogare de la regula generală după cum ne spune considerentul 52 și poate fi acordată în scopuri medicale, inclusiv sănătatea publică și gestionarea serviciilor de asistență medicală.
Acestea fiind menționate, următorul aspect relevant pentru speța noastră este dacă febra indică și faptul că o persoană este infectată cu coronavirus. Febra, este de regulă cunoscută ca un simptom al unor infecții în corp, astfel că o temperatură ridicată detectată la o persoană nu indică în mod direct faptul că aceasta este infectată cu virusul. În acest sens, rapoartele specialiștilor spun că persoanele infectate cu coronavirus nu prezintă în mod absolut necesar febră: statisticile oferite de Institutul Robert Koch din Germania ne arată spre exemplu că doar jumătate din cazurile raportate au prezentat și temperatură[2].
Un alt aspect relevant este că datorită faptului că perioada de incubației a virusului este de până la 14 zile, este posibil ca o persoană să fie infectată cu virusul, să nu prezinte simptome și accesul său să fie neîngrădit în rândul personalului instituției sau companiei.
Astfel, concluzia firească este că măsurarea temperaturii este o măsură care prezintă un nivel ridicat de incertitudine asupra detectării infecției cu COVID-19, nerespectând neapărat criteriul necesității acestei analize.
Cu toate acestea, angajatorul, instituție publică sau companie privată are obligația de a proteja angajații împotriva acestui gen de îmbolnăvire, astfel că operatorii au luat în considerare și alte măsuri precum chestionare cu privire la zonele în care au călătorit, campanii de informare asupra măsurilor ce trebuie respectate, declararea pe proprie răspundere a stării de sănătate sau evaluări ale unui medic cu privire la anumite simptome specifice virusului. Ce putem înțelege cu ușurință este că angajatorul este prins astfel între ciocan și nicovală, în conflictul dintre obligațiile pe care le are față de angajați și pe de altă parte restricționarea drepturilor și prelucrarea datelor cu caracter personal.
În anumite state foarte afectate de virus, precum este Italia, a fost găsită o soluție de mijloc pentru această situație, pentru angajații din fabrici sau birouri, oferind posibilitatea supravegherii temperaturii angajaților însă implicând personal medical specializat, medici sau externalizând acest serviciu unui furnizor specializat în astfel de servicii. În acest fel prelucrarea datelor se face de către o terță parte, poate chiar autoritățile statului (prin direcțiile de sănătate publică de exemplu), și nu de către angajator!
În alte state precum în Germania, soluția înțeleasă a fost punerea la dispoziția angajatorului de termometre care să fie folosite de personal specializat pentru verificarea temperaturii.
Într-o instituție publică sau în orice companie, nu intră însă doar angajați ci și diverse alte persoane vizate. Ce facem însă cu aceste vizite? Ne întoarcem la GDPR care ne spune că prelucrările de date medicale pot fi realizate pentru cazurile de protejarea sănătății publice sau în caz de riscuri ridicate de infecție la nivel național sau internațional. Întrucât Organizația Mondială a Sănătății a clasificat virusul că este extins la nivel mondial, fiind vorba de o pandemie, credem că există o justificare pentru prelucrarea datelor medicale.
3. În cele din urmă, este legală instalarea camerelor pentru măsurarea temperaturii?
Ce am putut înțelege până la acest moment este că vorbim despre o prelucrare de date, despre date sensibile fiind date medicale iar soluția nu este ușor de identificat. Mai mult, din orientările primite la nivel național până în acest moment, nu reiese clar dacă este legitimă măsurarea în mod automat a temperaturii persoanelor vizate atunci când intră într-o instituție sau într-o companie. În acest sens, credem că suntem ținuți de principiile generale ale GDPR-ului, în mod aparte al responsabilității operatorului (art. 5 alin. (2) Regulamentul General privind Protecția Datelor).
Nu stiti daca compania dumneavoastra indeplineste normele GDPR? Specialistii nostri va pot oferi consultanta pentru orice problema referitoare la prelucrarea datelor cu caracter personal.
Ce ne poate însă ajuta este o recomandare a European Data Protection Board (EDPB) cu privire la o speță similară în care este implicată Banca Central Europeană, folosirea acestui tip de camere și anume realizarea unui DPIA[3] – evaluare de impact asupra protecției datelor cu caracter personal. Dacă în urma acestei analize reiese că această măsură poate fi luată, vom putea instala camerele ÎNSĂ vom fi ținuți de toate obligațiile impuse de regulament printre care:
- respectarea confidențialității datelor;
- respectarea securității datelor;
- ștergerea datelor după ce acestea și-au atins scopul inițial, sau spre exemplu în cazul persoanelor identificate cu temperatură iar mai apoi confirmate cu virus, să fie distruse la sfârșitul pandemiei.
O altă variantă poate fi obținerea consimțământului persoanelor vizate înainte de trecerea prin fața acestor camere. Cu toate acestea, credem că este foarte dificil ca acest consimțământ să fie implementat în mod real, documentat, conform cu toate condițiile impuse de GDPR. De ce? Ne putem închipui cu ușurință cum arată o dimineață la o primărie când angajații și cetățenii orașului sunt nevoiți să completeze formulare pentru a putea avea acces în clădire. De asemenea se ridică și problema dacă consimțământul este liber exprimat atunci când sunt puși în fața acestei situații: fie completează formularul fie nu intră în primărie, deci nu va putea beneficia de anumite drepturi. Întrucât în cele mai multe dintre cazuri nu au nici o altă variantă, decât să treacă prin verificarea temperaturii prin fața camerelor, nu putem considera că este liber exprimat, ci condiționat, astfel nu este un consimțământ valid!
4. Concluzie
În concluzie, instalarea camerelor de supraveghere care măsoară în mod automat temperatura vizitatorilor, a persoanelor vizate, necesită multă atenție, întrucât de cele mai multe ori o astfel de măsură este prea intruzivă pentru viața privată a omului, putându-se atinge același scop (identificarea persoanelor infectate cu COVID-19) și prin măsuri mai puțin intruzive. Dacă totuși decidem că dorim instalarea unui astfel de sistem, recomandarea noastră este să se realizeze o analiză de impact asupra protecției datelor, iar dacă ca urmare a acesteia reiese că sistemul poate fi montat, să ne asigurăm că vom respecta toate cerințele și nu în ultimul rând principiile GDPR-ului.
- Spre exemplu Primăria Municipiului Brașov a luat o astfel de măsură:https://brasovmetropolitan.ro/2020/04/primaria-brasov-instaleaza-sisteme-de-masurare-a-temperaturii-corpului-la-intrarile-pentru-public/ ↑
- https://www.noerr.com/en/newsroom/news/data-protection-and-coronavirus-prevention ↑
- https://edps.europa.eu/data-protection/our-work/publications/opinions-prior-check/use-thermal-imaging-cameras-and-auto_en ↑
Comenteaza