https://img.wall-street.ro/image_thumbs/thumbs/111/111d643a8e075c45a4e40a48b2bbc27f-1063x560-00-86.jpg?v=1590573856

Este sau nu temperatura dată cu caracter personal?

by

În primul rând, este informația privind temperatura corporală dată biometrică? Categoric, nu. Deși a apărut o serie întreagă de opinii în spațiul public în direcția că temperatura este dată biometrică în sensul GDPR și face parte din categoriile speciale de date, nu există niciun argument legal sau rațiune GDPR pentru care această concluzie să fie validată.

Prin Hotărârea privind declararea stării de alertă, în vigoare de la 18 mai 2020, s-a instituit obligația angajatorilor și a operatorilor economici de a efectua triajul epidemiologic în mod obligatoriu, la intrarea în sediu, atât pentru personalul propriu, cât și pentru vizitatori. Pe lângă angajatori și operatori economici, aceleași prevederi li se aplică și profesioniștilor, și instituțiilor publice.

Patru zile mai târziu, în 23 mai 2020, a intrat în vigoareOrdinul MS nr. 874/81/2020 care detaliază modul în care trebuie realizat triajul epidemiologic - una dintre măsuri fiind luarea temperaturii prin termometru non-contact - și specifică faptul că triajul nu implică înregistrarea datelor cu caracter personal.

Dacă temperatura ar fi fost într-adevăr dată biometrică, atunci ar fi trebuit instituite măsuri de protecție de mare complexitate din partea firmelor, măsuri pe care acestea ar fi trebuit să le și demonstreze.

Iată doar câteva exemple de măsuri pe care firmele din România ar fi trebuit să le ia, conform unei îndrumări din 2019 a Comitetului European pentru Protecția Datelor/EDPB, ca urmare a simplei calificări a temperaturii ca data biometrică:

Citeste si:
10 recomandari la doi ani de la implementare normelor GDPR

https://img.wall-street.ro/image_thumbs/thumbs/ba2/ba2e211dab0064c18da852314e348ae0-400x250-00-65.jpg?v=1590586942
  1. compartimentalizarea datelor;
  2. stocarea template-urilor biometrice și a datelor brute în baze de date distincte;
  3. definirea unei politici pentru criptare și managementul cheilor;
  4. asocierea unui cod de integritate cu datele (de exemplu, semnătura sau hash);
  5. aplicarea unor metode de a împiedica crearea template-urilor - cum ar fi metode noise-additive, ca watermarking-ul.

Or, la doi ani de aplicare a GDPR în România - împliniți pe 25 mai - este clar că aceste măsuri ar fi depășit capacitatea organizatorică și financiară a majorității angajatorilor și operatorilor economici din România, care au arătat că au dificultăți în a se alinia și cu prevederile GDPR cele mai prietenoase.

Ce sunt de fapt datele biometrice?

Identificarea prin amprentă sau recunoașterea facială pe care o realizează în ziua de astăzi majoritatea dispozitivelor mobile a adus noțiunea de date biometrice în sfera informațiilor uzuale, astfel încât cam toată lumea are o idee generalădespre ce sunt datele biometrice - date intrinsec legate de o persoană, care permit identificarea ei. Concluzia nu e foarte departe de adevăr, pentru că însuși GDPR definește aceste date ca fiind date fizice, fiziologice sau comportamentale ale persoanei – o să le numim în continuare „caracteristici personale”, care permit identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice (amprentele).

Așa s-a născut un mit în care pare să creadă surprinzător de multă lume, conform căruia fotografiile si imaginile CCTV ar fi date biometrice

Citeste si:
Ministerul Sănătății anunță că măsurarea temperaturii este obligatorie

https://img.wall-street.ro/image_thumbs/thumbs/b43/b43a00376929c993e0ed70e73c3e2b1a-400x250-00-65.jpg?v=1590504582

Articolul 4.14 GDPR statutează însă că date biometrice sunt doar acelea care „rezultă din prelucrări tehnice specifice referitoare la aspectele fizice, fiziologice sau caracteristici comportamentale”, iar EDPB vine cu lămuriri: „pentru a se califica ca date biometrice, așa cum sunt definite în GDPR, prelucrarea datelor brute(a caracteristicilor persoanei – n.n....) trebuie să implice o măsurare a acestor caracteristici. ...]Filmele video ale unei persoane nu pot fi însă luate în considerare în sine sub formă de date biometrice [...], dacă nu au fost prelucrate în mod specific tehnic pentru a contribui la identificarea unui individ.”

Cât despre fotografii, GDPR clarificase de la bun început regimul lor, chiar prin paragraful său 51: ”fotografiile intră sub incidenţa definiţiei datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice.

Ce trebuie să înțelegem din asta? Simpla noastră convingere că putem identifica o persoană uitându-ne la o poză sau la o filmare nu transformă imaginile persoanei astfel surprinse în date biometrice. Ca acest lucru să se întâmple, este necesar să aibă loc o prelucrare tehnică a filmărilor sau a fotografiilor.

În plus, datele trebuie utilizate în scopul exact al identificării unice a persoanei fizice, pentru a putea considera datele biometrice ca fiind categorie specială de date în accepțiunea GDPR.

Citeste si:
Avizul prin care se dădea liber la construit în parcul Herăstrău,...

https://img.wall-street.ro/image_thumbs/thumbs/a23/a23819369a4e22fc439eefeac337897f-400x250-00-65.jpg?v=1590518366

Folosirea datelor biometrice în alt scop, cum ar fi scopul de triaj în cazul termoscanării, conduce la lipsa calificării prin scop a datelor biometrice și la neîncadrarea lor în sfera categoriilor speciale de date.

Cât despre mijloacele tehnice de măsurare, care să permită identificarea unică a persoanei, nu am găsit în documentarea pe care am făcut-o pentru articol că acest lucru ar fi posibil în cazul termoscanării. Acuratețea termometrelor sau a camerelor termice nu este atât de mare încât să poată stabili o valoare unică a temperaturii sau o „amprentă termică” unică pentru o persoană. În plus, temperatura corporală în sine nu este un parametru imuabil, care să definească unic persoana în toate momentele, temperatura aceleiași persoane putând varia.

Informația privind temperatura corporală estedată cu caracter personal în accepțiunea GDPR?

Nu în contextul legal actual din România.

GDPR se aplică numai „în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă”, conform paragrafului 15, pe când Ordinul MS nr. 874/81/2020 specifică expres faptul că triajul nu implică înregistrarea datelor cu caracter personal.În lipsa înregistrării valorii temperaturii într-un sistem de evidență, această informație nu se situează în domeniul de aplicare a GDPR.

Ca atare, măsurile ce ar fi trebuit luate de angajatori și operatorii economici pe trei nivele diferite de complexitate dacă temperatura ar fi fost – a) dată personală, b) categorie specială de date, în calitate de dată referitoare la sănătate sau c)categorie specială de date, în calitate de dată biometrică, nu sunt aplicabile.

Ce se întâmplă cu firmele care au efectuat termoscanarea până la apariția Ordinului MS nr. 874 și au înregistrat datele privind temperatura?

Până în 23 mai – data intrării in vigoare a OMS - în lipsa unor instrucțiuni oficiale, unii operatori au procedat deja la înregistrarea datelor privind temperatura în sisteme de evidență, pentru a putea furniza dovada că au implementat măsura triajului.

Datele despre temperatură colectate în această perioadă, dacă sunt asociate și cu alte elemente care să permită identificarea persoanei fizice – nume, imagini CCTV etc - reprezintă date cu caracter personal, care intră în domeniul de aplicare a GDPR și în privința căroratrebuiau luate, în prealabil,niște măsuri ca:

Dacă măsurile nu au fost luate și, în special, dacă nu a fost făcută informarea persoanei vizate - conform art. 13 GDPR - ce ar trebui sa facă operatorii cu aceste date pe care le-au colectat deja? În opinia mea, poate fi luată în considerare dispoziția prevăzută în art. 17 alin 1 lit. d din GDPR, privind cazul de ștergere a datelor cu caracter personal care au fost prelucrate ilegal, la cererea persoanei vizate. Chiar în lipsa unei cereri a persoanei vizate, operatorul nu are nicio justificare să dețină ilegal datele, astfel încât, ștergerea datelor obținute nelegal, într-un mod caresă asigure efectivitatea ștergerii, pare a fi remediul adecvat.

Valorezi cât valorează datele tale, gestionează-le înțelept!