Măsuri stare de alertă: Luarea temperaturii angajaților zilnic poate fi o măsură exagerată și o prelucrare excesivă de date personale

În weekend, Ministerul Afacerilor Interne a făcut o serie de propuneri pentru perioada stării de alertă și printre acestea se regăsește și ideea de verificare a temperaturii - termometrizare - (care nu trebuie să depășească 37 de grade Celsius, la intrarea în incintă), valabilă atât pentru autorități, instituții publice, cât și firmele private care lucrează cu publicul și care presupun accesul într-o clădire.

Apoi, Institutul Național de Sănătate Publică, într-o serie de recomandări privind desfășurarea activităților, menționa verificarea temperaturii (care să nu depășească 37 de grade Celsius) pentru a permite accesul în spațiile de îngrijire personală (saloanele de înfrumusețare, de pildă), la accesul în interiorul școlilor, dar stabilea apoi în sarcina tuturor angajatorilor recomandarea de a lua zilnic temperatura angajaților - cei care au peste 37 de grade să nu mai intre în incinta locului de muncă și să fie trimiși la medicul de familie.

Desigur, aceste recomandări sunt, așa cum indică și numele, doar atât la acest moment. Ele nu sunt obligatorii, nu au puterea unei reglementări legislative conținute de o lege, o ordonanță ori o hotărâre de Guvern, măcar. Prin urmare, nici unele, nici altele nu obligă firmele să ia nicio măsură.

În proiectul de lege care se află acum în Parlament cu măsurile pentru starea de alertă nu se regăsește până acum nicio referire la obligația de termometrizare la intrarea într-un spațiu sau altul al angajatorilor.

Dacă o atare reglementare ar apărea însă - obligatoriu printr-o lege sau ordonanță - atunci optica problemei ar fi schimbată din perspectiva protecției datelor personale.

Să vedem mai întâi de ce intrăm în discuția protecției datelor personale ale angajaților:

Termometrizarea, prelucrare de date personale sensibile?

Datele personale ce țin de domeniul medical sunt considerate date sensibile din perspectiva GDPR-ului. A măsura temperatura unei persoane și a o califica drept normală sau crescută poate însemna prelucrarea unor date personale medicale. Prelucrarea acestor date este una specială în raport cu alte categorii, în viziunea GDPR, care o permite numai în condițiile în care este impusă prin reglementări concrete (prin legi) de dreptul muncii, de medicina muncii, dacă există consimțământ expres, ori, de pildă, în contextul asigurării sănătății publice.

Chiar lunile trecute, Comitetul European pentru Protecția Datelor emitea un ghid pentru angajatori în privința prelucrării unor date ce țin de sănătarea angajaților (mai multe detalii, aici). Esențialmente, angajatorul, în virtutea obligației pe care o are de a asigura sănătatea în muncă a salariaților, ar putea avea tentația să prelucreze în mod activ datele angajaților (referitor la locurile de unde vin, solicitarea de date medicale etc.), însă acest lucru ar fi foarte greu de justificat din perspectiva GDPR. Ideal, de fiecare dată când încearcă să ia o măsură activă de prelucrare a datelor, angajatorul trebuie să verifice dacă are vreo obligație legală să acționeze astfel - la acest moment, nu are una care să îi permită termometrizarea sau care să îl oblige expres să o facă.

Pentru temeiurile ce țin de medicina muncii și de sănătatea publică, ar fi necesar ca cel care verifică temperatura angajaților să fie un specialist din domeniul medical. Consimțământul expres al salariatului nu ar merge aici din cauza inegalității poziției angajatului cu cea a angajatorului - practic, acesta din urmă e pe o poziție superioară și are capacitatea de a impune forțat anumite chestiuni salariatului, aflat pe o poziție inferioară, prin urmare, consimțământul nu este dat liber, ci este prezumat viciat.

Temperatura normală a corpului este stabilită în domeniul medical la 37 de grade Celsius. Totuși, temperatura ușor ridicată nu înseamnă automat că persoana respectivă are febră, ci și o infecție în organism sau alți factori interni, de pildă, ca să nu mai vorbim despre factorii externi care pot cauza ușoare creșteri ale acestei valori.

Stabilirea unei obligații legale vs. recomandarea

Dacă măsura termometrizării nu va fi conținută ca obligație de o lege sau de o ordonanță, va fi destul de greu pentru angajatori să motiveze o astfel de procedură și să respecte în același timp legislația de protecția datelor personale, e de părere Adriana Radu, specialist în domeniu, avocat partner la Radu | Opris SPARL:

"Dacă în lege vom avea doar o recomandare de măsurare a temperaturii, practic, angajatorilor le va fi foarte dificil să organizeze acest proces de măsurare a temperaturii cu respectarea legislației privind proțectia datelor cu caracter personal. Din punctul meu de vedere, dacă temparatura măsurata nu se înregistrează, nu ar trebui să avem de-a face cu o prelucrare de date. Părerile însă sunt împărțite și sunt autorităti de supraveghere din UE care nu par a fi de acord cu această interpretare și nici cu măsurarea generalizată a temperaturii angajatilor.

Dacă însă vom avea în lege o obligație concretă, lucrurile vor fi ceva mai simple, nu însă în mod semnificativ mai simple. Va fi important și cum va fi formulată respectiva obligatie. În ansamblu însa, în primul rând, angajatorii vor trebui să respecte principiul minimizării datelor, adica să colecteze cât mai puține date posibil pentru atingerea scopului. Asta ar putea să înseamne, spre exemplu, că se pot înregistra intr-un sistem de evidență doar temperaturile ridicate (ex: peste 37 de grade), dacă se poate dovedi necesitatea unei astfel de înregistrari. De asemenea, modul de măsurare ar trebui să asigure confidențialitatea datelor. Adică, nu ar trebui ca angajații să poată vedea între ei temperatura indicată de termometru. Va trebui stabilită și o procedură specifică de gestionare a salariaților cu febră, respectiv a salariatilor confirmați cu COVID-19.

În ansamblu, detaliile implementarii unei astfel de măsuri vor fi esențiale pentru a stabili implicațiile și legalitatea ei".

Practic, chiar și dacă vom avea o obligație legală cu privire la termometrizare, angajatorii tot vor trebui să aibă grijă la implementarea acesteia.

Cum s-a procedat în alte state ale Uniunii Europene

Autoritatea de protecția datelor din Franța (CNIL) consideră că simpla activitate de luare a temperaturii, fără ca ea să fie înregistrată undeva, nu pune o problemă din perspectiva protecției datelor personale. O problemă ar fi cu instrumentele mai complexe de captare a temperaturii corporale, precum sunt camerele tehnice. În rest, consideră CNIL, dacă angajatorul notează temperatura acestora în anumite documente sau păstrează evidențe cu astfel de date, atunci avem de-a face cu o prelucrare de date și, prin urmare, apar problemele de care spuneam mai sus.

Totodată, autoritatea amintește că Înaltul Consiliu privind Sănătatea Publică din Franța NU a recomandat încercarea despistării COVID-19 prin luarea temperaturii, din moment ce sunt purtători ai virusului care nu prezintă simptome de febră. Prin urmare, termometrizarea nu s-ar justifica neapărat în scopul de a depisata COVID-19, iar acest argument ar putea fi luat în calcul pentru a nu o implementa la nivelul firmei.

CNIL subliniază însă că aspectele medicale ale salariaților ar trebui să rămână în apanajul celor care se ocupă de medicina muncii la o firmă, care, oricum, colectează informațiile medicale ale angajaților în modul și în măsura stabilite prin legislație.

Similar francezilor, și autoritatea din Belgia consideră că simpla operațiune de a lua temperatura unei persoane nu constituie o prelucrare de date personale dacă nu este înregistrată undeva și coroborată astfel și cu alte date personale (cel mai grav - cu alte date medicale ale salariatului).

Sunt și state însă unde măsurarea temperaturii a fost impusă sau recomandată prin acte normative, prin urmare, angajatorii au posibilitatea să prelucreze astfel de date în condițiile prefigurate la nivel legislativ - de pildă, în Cehia sau Malta. Și în Grecia măsura termometrizării celor care intră într-un spațiu al companiei este permisă, la fel și în Letonia.

În Ungaria, autoritatea de protecția datelor le-a interzis angajatorilor să culeagă informații cu privire la istoricul medical al angajaților pentru a depista care ar putea fi serios afectat de infectarea cu COVID-19 și a interzis, de asemenea, termometrizarea periodică a angajaților. Și în Finlanda a fost stabilită o restricție similară - nicio operațiune de termometrizare nu e permisă, fie că vizează angajați, fie terți care intră în incinta companiei.

Luxemburg, de asemenea, consideră că simpla luare a temperaturii este o prelucrare de date și, prin urmare, este interzisă angajatorilor. Olanda interzice termometrizarea sau încercarea de a depista virusul la angajați - doar responsabilul de medicina muncii poate să facă teste privind sănătatea generală a angajaților sau angajații înșiși pot să ceară să fie supuși unor astfel de teste de depistare a COVID-19.

În Italia, țară puternic afectată de epidemie, autoritatea le-a interzis angajatorilor să colecteze date personale ale angajaților din zona medicală - doar în sectoarele de activitate cu riscuri ridicate angajatorul are posibilitatea să desemneze pe cineva în interiorul companiei (un expert din zona medicală însă, nu oricare angajat) care să verifice periodic starea generală de sănătate a angajaților.

Alte state au optat pentru a permite termometrizarea în anumite sectoare de activitate (medical, de pildă, sau pentru cei care fac curierat). Dar important de reținut e că în mai multe state europene există deja reglementări care impun implicit sau explicit măsuri de acest gen.