Termometrizarea sau termoscanarea reprezintă una din măsurile care se fac, în prezent, de multe entități, pentru a tria epidemiologic persoane care intră într-un anume loc (fie într-un supermarket, fie la locul de muncă, fie în alte locuri). Însă astfel de date, pentru că țin de sănătatea persoanei, sunt considerate date sensibile, iar prelucrarea lor (cum e stocarea) trebuie să se facă, de regulă, cu respectarea regulilor prevăzute în GDPR. În acest context, ANSPDCP a clarificat o serie de aspecte legate de termometrizarea persoanelor și de necesitatea de a respecta prevederile de protecție a datelor din Regulament.
1. Termometrizarea și orice acțiuni subsecvente trebuie să respecte GDPR-ul dacă datele sunt arhivate.
ANSPDCP a clarificat că vorbim de o prelucrare de date în accepțiunea GDPR atunci când activitatea de termometrizare este urmată de o arhivare a informațiilor obținute. În esență, în asemenea situații, e absolut clar că orice ierarhizare presupune o asociere a datelor unei persoane, deci devine clar de ce e necesară asigurarea protecțiilor prevăzute în GDPR.
„[Î]n măsura în care entitățile în cauză [persoanele care iau temperatura altora] colectează și prelucrează date cu caracter personal (în speță, informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile, într-un sistem de evidență, pentru îndeplinirea unui scop stabilit de dreptul intern), respectiva entitate are obligația respectării Regulamentului general privind protecția datelor”, a reținut Autoritatea.
2. Pentru că vorbim de date sensibile, este necesară identificarea unui temei special de prelucrare: ANSPDCP face referire la prelucrarea în interes de sănătate publică.
Cu alte cuvinte, datele sensibile cum sunt cele privind sănătatea pot fi prelucrate numai în cazuri și situații excepționale, iar justificarea prelucrării acestora se face mult mai greu decât în privința datelor personale obișnuite.
ANPSDCP a mai menționat: „dispozițiile art. 53 din Constituție stabilesc că exerciţiul unor drepturi sau al unor libertăţi poate fi restrâns numai prin lege şi numai dacă se impune, printre altele, pentru apărarea sănătăţii publice, a drepturilor şi a libertăţilor cetăţenilor. De asemenea, restrângerea poate fi dispusă numai dacă este necesară într-o societate democratică, iar măsura trebuie să fie proporţională cu situaţia care a determinat-o, să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenţei dreptului sau a libertăţii”.
În acest context, Autoritatea a făcut referire la legislație specifică ce permite triajul epidemiologic (de exemplu, Legea nr. 55/2020 și Hotărârea Guvernului nr. 394/2020 creează cadrul specific pentru asemenea prelucrări de date prin termometrizare).
3. Firmele ce prelucrează datele trebuie să informeze persoanele vizate de prelucrarea datelor respective și de alte aspecte relevante.
În concret, ANSPDCP s-a referit la Articolele 13 și 14 din Regulament, care stabilesc obligația de informare a personelor cărora le sunt prelucrate date (fie colectate direct, de la persoana vizată, fie din alte surse).
Printre informațiile ce trebuie date, se numără scopul prelucrării, temeiul prelucrării sau perioada de stocare a datelor.
De asemenea, ANSPDCP a reamintit faptul că orice persoană care se consideră neîndreptățită în ceea ce privește vreun drept de-al ei, în contextul prelucrării datelor prin termometrizare, poate să se îndrepte cu o plângere Autorității de protecție a datelor.
4. Perioada de stocare a datelor nu este fixă, însă ea nu poate depăși ce este necesar pentru atingerea scopului prelucrării.
Cel mai ușor, în acest context, este să se identifice o obligație legală care îi impune operatorului de date obligația de a păstra datele pentru o perioada predeterminată. În asemenea situații, este obligatorie respectarea acelei perioade, conform ANSPDCP.
Altcumva, Autoritatea menționează că orice acțiune de stocare trebuie să fie făcută pentru „o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele”. ANSPDCP continuă: „operatorului i se conferă posibilitatea de a avea diferite termene de stocare a datelor, în funcție de scopul/scopurile prelucrării și pe durata necesară realizării scopului/scopurilor, prin stabilirea unei durate maxime de păstrare raportat la necesitatea argumentată a stocării datelor, cu respectarea principiului proporționalității scopului și a reducerii la minimum a datelor și cu punerea în aplicare a măsurilor de ordin tehnic și organizatoric adecvate, astfel încât să se asigure conformitatea cu Regulamentul general privind protecția datelor”.