E abuzivă sau nu termoscanarea la intrarea în magazine? Profesorul Nicolae Ploeșteanu ne oferă răspunsul!

Conf. univ. dr. Nicolae Ploeșteanu, membru al colectivului Departamentului E2 – Drept și Administrație Publică din cadrul Universității de Medicină, Farmacie, Științe și Tehnologie ”George Emil Palade” din Târgu-Mureș și director al Centrului pentru Protecția Datelor din cadrul aceleiași universități, a publicat luni, 25 mai, pe pagina sa de Facebook, o analiză amplă pe marginea deciziei autorităților din România de a institui, pe perioada stării de alertă, obligativitatea măsurării temperaturii cetățenilor care intră în magazine.

Redăm, în rândurile de mai jos, analiza făcută de conf. univ. dr. Nicolae Ploeșteanu:

”Azi, se împlinesc doi ani de la aplicarea Regulamentului General privind Protecția Datelor, ocazie cu care îmi exprim opinia legat de măsurarea temperaturii persoanelor la intrarea în magazine. Măsura nu corespunde standardelor în materie drepturilor fundamentale ale omului! Iată doar câteva dintre argumente, chiar dacă trebuie să recunosc că o evaluare a problematicii este destul de complexă și dificilă! O zi frumoasă le doresc tuturor colegilor care se luptă pentru protejarea persoanelor!

Cadrul juridic principal

Hotărârea nr. 24 din 14 mai 2020 privind aprobarea instituirii stării de alertă la nivel național și a măsurilor de prevenire și control al infecțiilor, în contextul situației epidemiologice generate de virusul SARS-CoV-2, emisă de Comitetul Național pentru Situații de Urgență și publicată în Monitorul Oficial al României nr. 395 din 15 mai 2020.

Anexa conținând măsurile:

2. Instituțiile și autoritățile publice, precum și operatorii economici publici și privați au obligația organizării activității, astfel încât munca să se desfășoare de la domiciliul angajaților, iar dacă activitatea desfășurată nu permite acest lucru, să ia măsuri pentru: a) Asigurarea triajului epidemiologic constând în controlul temperaturii personalului propriu și vizitatorilor, la punctele de control-acces în incinte;
3. Instituțiile publice și operatorii economici care desfășoară activități comerciale/de lucru cu publicul ce implică accesul persoanelor în interiorul clădirilor iau măsuri pentru organizarea activității, astfel: b) Să nu permită accesul persoanelor a căror temperatură corporală, măsurată la intrarea în incintă, depășește 37,3ºC;

Articolul 13 din Legea nr. 55/2020 privind unele măsuri pentru combaterea pandemiei Covid-19:

Pe durata stării de alertă, prin ordin comun al ministrului sănătății și ministrului afacerilor interne se poate institui:

a) Obligativitatea purtării măștii de protecție în spațiile publice închise, spațiile comerciale, mijloacele de transport în comun și la locul de muncă;

b) Obligativitatea organizării activității instituțiilor și autorităților publice, operatorilor economici și profesioniștilor, astfel încât să se asigure la intrarea în sediu, în mod obligatoriu, triajul epidemiologic și dezinfectarea obligatorie a mâinilor, atât pentru personalul propriu, cât și pentru vizitatori. Pentru personalul propriu triajul epidemiologic constă în măsurarea temperaturii prin termometru non-contact, iar pentru vizitatori triajul se realizează prin măsurarea temperaturii.

Articolul 71 din Legea nr. 55/2020:

(1) În vederea punerii în aplicare a măsurilor prevăzute de prezenta lege, Guvernul adoptă hotărâri, la propunerea ministerelor de resort sau a CNSSU.

(2) În vederea aplicării măsurilor prevăzute de prezenta lege, ministerele și celelalte autorități responsabile, la propunerea CNSSU, după caz, emit ordine și instrucțiuni.

Carta Drepturilor Fundamentale a Uniunii Europene:

Articolul 7 – Respectarea vieții private și de familie

Orice persoană are dreptul la respectarea vieții private și de familie, a domiciliului și a secretului comunicațiilor.

Articolul 8 – Protecția datelor cu caracter personal

(1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

(2) Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora.

(3) Respectarea acestor norme se supune controlului unei autorități independente.

Tratatul de Funcționare a Uniunii Europene:

Articolul 16 (ex-articolul 286 TCE)

(1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

(2) Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, stabilesc normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare a dreptului Uniunii, precum și normele privind libera circulație a acestor date. Respectarea acestor norme face obiectul controlului unor autorități independente. Normele adoptate în temeiul prezentului articol nu aduc atingere normelor specifice prevăzute la articolul 39 din Tratatul privind Uniunea Europeană.

Informațiile privind temperatura unei persoane, obținute prin măsurarea temperaturii cu termometru non-contact sunt date personale privind sănătatea?

Răspunsul este afirmativ!

1. Datele medicale sunt toate datele cu caracter personal referitoare la sănătatea unui individ, inclusiv datele biometrice sau genetice și orice alte date care au o legătură clară și strânsă cu sănătatea. Faptul că măsurarea temperaturii se realizează fără interogarea persoanei vizate în legătură cu identitatea sa, nu face lipsită de „personalizare” această operațiune. Identificarea persoanei sau identificabilitatea este ușor de realizat, dacă se pornește de la premisa că măsurarea temperaturii se realizează de către o persoană fizică care nu doar că vizualizează temperatura persoanei, dar inclusiv înregistrează chipul persoanei fizice, putând pentru o perioadă de timp (în funcție de calitățile personale de memorare) să identifice persoana a cărei temperatură a măsurat-o!
2. Situația caracterului de date personale este extrem de dezbătută, nu doar de publicul larg, dar există diferențe de opinie inclusiv în rândul specialiștilor în protecția datelor și a juriștilor. Eu mi-am permis să formulez o teorie pornind de la situația măsurării temperaturii, o teorie pe care am numit-o Teoria datelor personale eventuale. Mai exact, în situația supusei analizei, măsurarea temperaturii clienților la intrarea în unitățile economice, apare destul de puțin vizibil legătura dintre identificarea unei persoane și cifra evidențiind temperatura respectivei persoane. În plus, se susține constant că aparatele de măsurare nu stochează datele respective, așa că nu ar fi o chestiune de protecție a datelor cu caracter personal. Pentru a demonstra că nu este așa, ipoteza trebuie studiată cu metoda efectului produs, anume de la „coadă spre capăt”! Dacă urmare a măsurării temperaturii este indicată o cifră de la 37,3 ºC în sus, atunci în baza normei juridice se va produce un efect juridic, deoarece angajatul unității economice este obligat să împiedice intrarea în magazin a respectivei persoane; efectul juridic este de discriminare! Ori un asemenea efect juridic, nu poate fi realizat decât cu privire la o persoană fizică individualizată în concret. În acest mod, pentru că discriminarea este generată pe criteriul existenței temperaturii, chiar dacă este vorba de o cifră, informația respectivă se transformă cert în dată cu caracter personal, chiar dacă până atunci, datorită unor măsuri tehnice ar fi putut fi considerată o simplă informație, iar nu dată cu caracter personal.

Este aplicabil Regulamentul General privind Protecția Datelor?

1. Partea cea mai dificilă cu privire la un răspuns privind această chestiune este generată de faptul că articolul 2 din GDPR, unde se precizează domeniul material de aplicabilitate a acestuia, stabilește:

„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.”

Altfel spus, în concepția GDPR, riscurile la adresa persoanelor fizice în legătură cu prelucrarea datelor lor sunt prezente și substanțiale doar atunci când respectivele date vor fi destinate unui sistem de evidență a datelor.

Din nefericire, prevederea articolului 2 constituie o carență a GDPR, pe care apreciem că în viitor Curtea de Justiție a Uniunii Europene o va corecta. Scopul general al GDPR, astfel cum rezultă acesta din considerentele sale (1 și 2) este să protejeze persoana fizică în legătură cu prelucrarea datelor sale personale, în condițiile articolului 16 din TFUE. Este motivul pentru care criteriul destinației într-un sistem de evidență, nu poate fi utilizat pentru eludarea acestei protecții, tocmai pentru că acest drept la protecția datelor cu caracter personal este statuat fără limitare tehnică în TFUE. Ca urmare, GDPR nu trebuia să îl limiteze. Din acest motiv, credem că CJUE cel mai probabil în viitor va lămuri înțelesul larg al articolului 2 din TFUE, printr-o interpretare care va permite oferirea celei mai largi protecții în ceea ce privește prelucrarea datelor personale ale unei persoane vizate.

1. Propunerea mea este de modificare sau eventual de interpretare foarte largă a articolului 2 din GDPR, în sensul ca acesta să se aplice nu doar datelor care fac parte sau sunt destinate să facă parte dintr-un sistem de evidență, ci ori de câte ori un asemenea sistem de evidență ar fi necesar sau ar putea să conducă la o consemnare a datelor personale ale unui individ, datorită riscurilor aferente respectivei prelucrări.
2. În opinia mea, în pofida articolului 2 din GDPR, acesta este aplicabil situației măsurării temperaturii la intrarea în unități comerciale sau în incinta diferitelor instituții publice. Aplicabilitatea este rezultatul aplicării ca efect de „ricoșeu” al principiului responsabilității operatorului de date, prevăzut la articolul 5 din GDPR: operatorul este responsabil de respectarea principiilor de prelucrare și poate demonstra aceasta. Astfel, există cel puțin două motive pentru care o anumită consemnare a operațiunilor de măsurare a temperaturii trebuie luate, ceea ce atrage incidența creării unui anumit sistem de evidență:

– Fiind vorba de date medicale privind sănătatea unei persoane, pentru demonstrarea legalității prelucrării este necesară stabilirea unui anumit sistem de evidență(acesta ar putea să fie unul simplu, precum luarea temperaturii în raza de înregistrare a sistemului CCTV, fără însă a se înregistra video temperatura propriu-zisă);

– Criteriile principale de stabilire a aplicabilității GDPR, trebuie să fie următoarele patru: prelucrarea este realizată de un operator de date obișnuit, din punct de vedere al capacităților sale funcționale; Prelucrarea este însoțită într-o manieră lesne de înțeles de existența unor riscuri la adresa drepturilor și libertăților fundamentale ale unei persoane; prelucrarea se realizează într-o manieră sistematică; prelucrarea presupune o restrângere a dreptului la protecția datelor, indiferent că aceasta este sau nu legală, este sau nu legitimă.

Este sau nu legală măsura impusă prin Hotărârea Comitetului Național pentru Situații de Urgență nr. 24 din 14 mai 2020 privind aprobarea instituirii stării de alertă la nivel național și a măsurilor de prevenire și control al infecțiilor, în contextul situației epidemiologice generate de virusul SARS-CoV-2?

Răspunsul la această întrebare trebuie să țină cont de îndeplinirea următoarelor condiții, prevăzute și la articolul 53 din Constituția României, dar care se desprind ca reguli generale ale unei restrângeri de drepturi, creionate de jurisprudența Curții europene a Drepturilor Omului și Curții de Justiție a Uniunii Europene:

1. Legalitatea măsurii, în sensul ca aceasta să fie prevăzută de lege. Condiția în mare măsură este îndeplinită, deoarece măsurarea temperaturii este realizată în temeiul prevederii din articolul 13 din Legea nr. 55/2020 privind unele măsuri de combatere a pandemiei! Cu toate acestea, impunerea stabilirea măsurii prin Hotărârea 24/2020 în maniera dată este insuficientă.
2. Măsura să fie necesară într-o societate democratică. Cel mai probabil, această măsură este necesară, iar scopul său este clar combaterea pandemiei și efectelor acesteia. Din nou, obiecția mea este că formularea sa este prea largă, deoarece nu este însoțită de alte garanții adecvate și, în plus, rămâne discutabilă chestiunea dacă celelalte măsuri, precum purtarea măștilor și nu numai, nu sunt suficiente.
3. Măsura să fie proporțională cu cauza care a determinat-o și să nu aducă atingere însăși esenței dreptului. În această privință, chiar dacă proporționalitatea depinde de foarte mulți factori, în acest context eu iau în considerare în special riscurile care sunt asociate măsurării temperaturii, precum și aplicabilitatea articolului 148 din Constituția României, prin raportare la articolul 26 care ocrotește viața privată și de familie a persoanei. Altfel spus, în mod cert, mă interesează să cunosc dacă măsurarea temperaturii este însoțită de riscuri care necesită o evaluare a echilibrului dintre scopul instituirii măsurii și modalitatea propriu-zisă de implementare a sa, pe de o parte, în raport cu existența dreptului la protecția datelor și a altor drepturi și libertăți ale persoanei vizate, pe de altă parte. Ori, cel puțin un risc este complet vizibil și asociat măsurării temperaturii: riscul discriminării și a libertății de circulație! Dacă persoana are o temperatură de 37,3ºC, în temeiul punctului 3 litera b) din Anexa la Hotărârea 24/2020, acesteia nu i se permite pătrunderea în magazin. Criteriul de discriminare în raport cu ceilalți cetățeni care pot intra și ieși dintr-o incintă a unui operator, este stabilirea unei temperaturi de la o anumită scală în sus. Fiind vorba de o restrângere a unui drept, generată prin intermediul unei prelucrări de date cu caracter personal, aceasta trebuie însoțită de garanții specifice, ceea ce nu se întâmplă în realitate, iar acestea nici nu sunt prevăzute de lege: posibilitatea contestării temperaturii sau a măsurii; existența unor aparate de măsurat omologate; existența unei instruiri suficiente a personalului care măsoară temperatura; posibilitatea unei documentări a situației; informarea în prealabil a persoanelor vizate, cu privire la mecanismul de măsurare, la calitățile tehnice ale aparatului/ dispozitivului/ aplicației și cu privire la drepturile pe care le are în ceea ce privește protecția datelor sale cu caracter personal. Niciuna din aceste garanții nu este prevăzută de lege, lăsându-se în mod nejustificat la libera apreciere a operatorilor în ceea ce privește modalitatea de implementare a măsurii.

Pentru motivele de mai sus, în ceea ce mă privește, consider că instituirea măsurii de luare a temperaturii, nu îndeplinește criteriile de necesitate, proporționalitate și legalitate (prin insuficiență legislativă), ceea ce face din această acțiune de luare a temperaturii o măsură abuzivă și lipsită de conformitate cu prevederile constituționale.

O posibilă soluție putea fi aceea de a institui obligația pentru operatori de a crea un sistem alternativ de asigurare a exercițiului drepturilor, cum ar fi interzicerea intrării în magazin cu posibilitatea de a comanda direct la o persoană special desemnată, care să realizeze cumpărăturile. Acest lucru însă, trebuie foarte atent evaluat.”

(Redacția)