Termoscanarea prin tehnologii specifice (termoscannere) prezintă riscuri majore pentru drepturile omului și viața privată, iar în acest articol vom răspunde la cele mai frecvente întrebări pentru a ajuta organizațiile din România să introducă aceste măsuri respectând prevederile Regulamentului General privind Protecția Datelor (GDPR) și a celorlalte legi incidente.
1. Este termoscanarea obligatorie în România?
În România este obligatorie luarea temperaturii persoanelor care accesează incinta unei organizații (angajați, clienți, vizitatori etc) în vederea realizării triajului epidemiologic. Organizațiile sunt libere să decidă dacă vor utiliza termometrizarea sau termoscanarea prin tehnologii specifice. Dacă merg pe cea de-a doua variantă, riscurile cu privire la viața privată și confidențialitatea datelor cu caracter personal sunt mai ridicate.
2. Care sunt riscurile asociate termoscanării?
Există mai multe riscuri asociate termoscanării, majoritatea izvorând din faptul că aceste sisteme pot da erori. Alte riscuri includ riscuri la adresa confidențialității datelor cu caracter personal, riscuri cu privire la demnitatea umană (excluziune socială, stigmatizare etc), riscuri sociale și psihologice.
3. Se încadrează temperatura corpului în noțiunea datelor cu caracter personal?
Da, dacă se referă la o persoană fizică, iar persoana poate fi identificată, temperatura corpului se încadrează în noțiunea încadrează în noțiunea datelor cu caracter special (datele privind starea de sănătate) având un regim de prelucrare strict potrivit GDPR.
Dacă persoana fizică nu este identificată sau identificabilă, nu vom fi în prezența unor date cu caracter personal.
4. Este termoscanarea o activitate de prelucrare de date cu caracter personal în temeiul GDPR?
Dacă temperatura se înregistrează sau se folosesc tehnologii de termoscanare care stochează (fie și pe o scurtă perioadă) date cu caracter personal, termoscanarea este o activitate de prelucrare în temeiul GDPR.
5. Ce fel de date personale prelucrează termoscanarea?
Majoritatea termoscannerelor colectează temperatura, iar corelate cu CCTV se pot colecta mișcările persoanelor în spațiu și imaginile faciale. Cu toate acestea, se pot colecta și date suplimentare în funcție de tehnologiile pe care le utilizează o organizație (carduri de acces, sisteme de monitorizare a timpului de lucru și alte măsuri de securitate la accesul în clădiri și incinte).
6. Trebuie să respect GDPR chiar dacă sunt obligat prin lege să iau temperatura?
Da. Chiar dacă legea națională impune obligativitatea triajului epidemiologic, GDPR se aplică în continuare, inclusiv în stare de alertă, iar companiile trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal și să respecte toate obligațiile GDPR. Pentru neconformare, organizațiile publice riscă amenzi care pot ajunge până la 300.000 lei pentru fiecare abatere, iar organizațiile private riscă amenzi care pot ajunge până la 4% din cifra de afaceri.
7. Pot să înregistrez datele privind temperatura?
În situația în care nu ai obținut consimțământul explicit al tuturor persoanelor fizice, nu ai voie să înregistrez datele deoarece ar însemna să încalci art. 3 alin. 1 din Legea nr. 190/2018 care prevede că „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”
8. Este termoscanarea o procedură medicală care nu se poate realiza decât cu acordul informat al pacientului?
Contrar unor opinii lansate în spațiul public, termoscanarea nu este o procedură medicală deoarece nu se realizează de personal medical, iar persoanele vizate nu sunt pacienți, însă prezintă riscuri majore. Companiile ar trebui să implementeze măsuri suplimentare pentru a reduce la minimum riscurile asociate.
9. Ce tipuri de tehnologii există și cum pot fi acestea utilizate?
Ordinul MS MAI nu face diferențierea între tipurile de tehnologii disponibile și care pot fi utilizate în mod securizat astfel încât să nu se înregistreze date, de aceea considerăm că este necesară analizarea tipurilor de tehnologii disponibile pe piață pentru a descoperi gradul fiecăruia de intruziune în viața privată. Potrivit ICO, în situația termoscanării trebuie achiziționată tehnologia cu cea mai mică intruziune în viața privată. Potrivit Autorității de Supraveghere din Cipru, organizațiile, înainte de a introduce termoscanarea, ar trebui să fie conștiente de capacitățile tehnice pe care le au termoscanarele și ce date cu caracter personal colectează.
A. Temometre digitale non-contact
Acesta tehnologie prezintă riscuri mici pentru viața privată, cu toate acestea există posibilitatea de a se înregistra date, ca de exemplu în situația în termometrul digital non-contact are opțiunea de a memora ultimele măsurători sau de exemplu în situația în care un operator are instalate sisteme CCTV care înregistrează fața unei persoane și valoarea temperaturii pe ecranul termometrului.
Exemplu: Angajatului X i se ia temperatura printr-un termometru digital non-contact la accesul în incinta Organizației ABC care are amplasate sisteme CCTV care sunt surprind atât angajatul, cât și temperatura care apare pe termometrul digital. În aceste cazuri, se pot înregistra date deoarece sistemele CCTV pot înregistra date biometrice (imagini faciale) și rezultatul temperaturii.
Dacă se vor înregistra date personale, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.
B. Camere termografice cu soft integrat
Aceste tehnologii pot prezenta avantaje pentru anumite organizații deoarece nu mai este nevoie de intervenția unui operator uman. Aceste tehnologii înregistrează date cu caracter personal, prin urmare suntem de părere operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.
Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.
C. Dispozitive de tip „wearable” (brățări, ceasuri etc)
Aceste tehnologii înregistrează date cu caracter personal și prelucrează datele în mod continuu atâta timp cât dispozitivul este utilizat de către persoana vizată, prin urmare considerăm că operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.
Riscurile asociate acestor tehnologii sunt ridicate pentru că implică o prelucrare continuă și există riscul încălcării principiului limitării stocării (art. 5 alin. (1) lit. e) RGPD) și principiului reducerii la minimum a datelor (art. 5 alin. (1) lit. c) RGPD), precum și riscul încălcării celorlalte principii RGPD.
Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.
10. Ce am de făcut concret pentru a nu încălca GDPR?
Așa cum am precizat deja anterior, trebuie să alegi tehnologia care nu înregistrează date și dacă ai desemnat deja un responsabil cu protecția datelor, ar trebui să ceri opinia lui înainte de achiziție.
Evită pe cât posibil, să achiziționezi tehnologii din China, Rusia sau alte state din afara Uniunii Europene care nu prezintă garanții pentru protecția datelor, deoarece există riscul să încalci principiile transferurilor internaționale de date prevăzute de GDPR.
Potrivit Comisiei Europene, în afară de statele membre al Uniunii, doar următoarele state prezintă un nivel adecvate de protecție a datelor: Andorra, Insulele Feroe, Canada, Guernsey, Israel, Insula Man, Japonia, Insula Jersey, Noua Zeelandă, Suedia, Uruguay, Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield).
Dacă producătorul tehnologiei de termoscanare nu se află într-unul din statele de mai sus, iar în cazul SUA, producătorul nu se află în Privacy Shield List, organizațiile care utilizează astfel de soluții pot încălca GDPR. Având în vedere că vorbim de o activitate cu risc mare pentru drepturile omului: date privind sănătatea colectate prin tehnologii din state netolerate, iar, în unele cazuri, pe scară largă, amenzile GDPR se pot orienta către maxim.
Asigură-te că personalul este instruit să nu stocheze datele pe hârtie sau în sisteme informatice și tehnologiile utilizate nu înregistrează date.
De asemenea, asigură-te că nu se pot înregistra datele prin utilizarea altor tehnologii, ca de exemplu o cameră CCTV îndreptată către termometru.
Pentru siguranța organizației ar trebui să implementezi o procedură operațională GDPR privind triajul epidemiologic. Această procedură este necesară pentru:
- instruirea personalului cu privire la realizarea legală a triajului epidemiologic;
- a o prezenta Autorității de supraveghere în eventualitatea unui control și a demonstra că ai luat măsuri organizatorice pentru a preveni înregistrarea datelor.
Această procedură ar trebui să indice clar ce tehnologii pot fi utilizate și cum se efectuează măsurarea temperaturii fără colectarea datelor personale.