Restricțiile aduse drepturilor omului și modul de prelucrare a datelor personale în timpul pandemiei de COVID-19. Câteva considerații de ordin juridic

Epidemia de Covid-19 a obligat Statele să adopte măsuri pentru combaterea efectelor acesteia, unele mai drastice, altele mai relaxate, în funcție de modul în care Guvernele s-au raportat la problemele de ordin sanitar, economic sau social.

Toate aceste măsuri însă au avut ca efect comun restricționarea anumitor drepturi și libertăți individuale, astfel cum sunt ele garantate prin Convențiile internaționale – în special Convenția Europeană a Drepturilor Omului, dar și Convenția 108 a Consiliului Europei.

În România, Decretul nr 195/16.03.2020 privind instituirea stării de urgență, prelungit prin Decretul nr. 240 din 14.04.2020 a instaurat restrângerea graduală a unor drepturi fundamentale cum ar fi: libera circulație, dreptul la viață intimă, familială și privată, inviolabilitatea domiciliului, dreptul la învățătură, la libertatea întrunirilor, dreptul de proprietate privată, libertatea economică și altele asemenea.

La nivel individual, implementarea acestor măsuri trebuie să genereze o reflecție asupra echilibrului dintre drepturile și libertățile individuale și interesele sociale menite a proteja populația. De altfel, putem vedea zilnic în diverse colțuri ale lumii (SUA, Germania, Austria, Franța) reacții ale oamenilor generate de nevoia de protejare a drepturilor și libertăților individuale în fața restricțiilor implementate de state.

În acest context, acest articol nu se dorește a fi un simplu exercițiu de teorie juridică, ci caută a explica punctul de echilibru între preocuparea de a proteja individul și imperativul de a proteja populația, redând orientările emise la nivel european în acest sens, precum și îngrijorările exprimate cu privire la prelucrarea datelor cu caracter personal (în special cele de sănătate).

Recomandări europene cu privire la respectarea drepturilor omului în contextul pandemic

În contextul limitării anumitor drepturi ale omului, Consiliul Europei a emis în aprilie 2020 o serie de orientări (toolkit) pentru Statele membre pentru respectarea democrației, statului de drept și drepturilor omului^[1].

Consiliul Europei reamintește valorile care se află la baza construcției europene și pe care statele semnatare ale Convenției Europene a Drepturilor Omului („Convenția”) s-au angajat să le respecte: democrație, statul de drept și drepturile omului, indiferent de contextul pandemic actual. Forul european subliniază astfel că măsurile luate pentru a răspunde actualei crize trebuie (1) să rămână cu un caracter de excepție, (2) să fie proporționale cu pericolul pe care aceasta îl reprezintă și (3) limitate în timp.

Despre derogări în perioada de urgență

Anumite măsuri restrictive pot fi adoptate de State că răspuns la criza Covid-19 în baza dispozițiilor generale din Convenție referitoare la protejarea sănătății.

Altele însă, mai restrictive pot necesita derogări de la obligațiile statelor în baza articolului 15^[2] din Convenție, în funcție de natura și extinderea lor. De menționat că o astfel de derogare nu este obligatorie. Totuși când statele adoptă o serie de măsuri derogatorii, acestea au obligația să informeze Secretariatul General al Consiliului Europei cu privire la măsuri, motivele și durata instituirii lor și, de asemenea, să permită supravegherea de către forurile europene competente a modului în care măsurile restrictive sunt aplicate de către stat. Curtea Europeană a Drepturilor Omului, la rândul său, va ține cont de derogările asumate de respectivul stat, în judecarea eventualelor cazuri ce ii sunt supuse soluționării.

Derogarea în baza art. 15 din Convenție nu depinde de adoptarea în mod formal a stării de urgență sau a unui alt regim similar la nivel național (de exemplu, starea de alertă), însă orice derogare trebuie să aibă o bază legală clară, pentru a evita astfel arbitrariul și a fi în acord cu scopul pentru care a fost instituită.

În contextul actualei pandemii de Covid-19, anumite state printre care și România au derogat de la obligațiile ce le revin în baza Conventiei, cu respectarea procedurii din Convenție.

Despre respectarea statului de drept și a principiilor democratice

În orientările date, Consiliul Europei insistă pe respectarea principiului legalității, anume că orice acțiune întreprinsă în această perioadă trebuie să fie întemeiată pe lege, în sens larg (act al Parlamentului, Decret, Ordin, Ordonanță a Executivului etc), iar legea trebuie să respecte prevederile constituționale și standardele / tratatele internaționale.

Referitor la abilitarea Guvernelor de a emite acte cu putere de lege pe durata stării de urgență, Consiliul Europei insistă că aceasta nu trebuie să echivaleze cu un „cec în alb” dat de legiuitor executivului. Acțiunile guvernelor trebuie să fie limitate în timp, iar actele normative adoptate pe perioada stării de urgență trebuie să prevadă durata măsurilor excepționale adoptate („sunset clause”). Reamintește Consiliul Europei faptul că scopul principal al unei stări de urgență (sau de alertă) trebuie să fie ieșirea din criză și reîntoarcerea, în cel mai scurt timp posibil, la starea de normalitate. Necesitatea oricărei prelungiri a unei situații de urgență trebuie controlată de Parlament, nefiind permisă perpetuarea pe o perioadă nedefinită de timp a puterilor excepționale ale executivului.

Pe de altă parte, funcționarea puterii judiciare – în special a curților constituționale – trebuie menținută, pentru că judecătorii să poată examina cele mai importante limitări ale drepturilor omului introduse prin legislația adoptată în regim de urgență.

Despre standardele relevante ale drepturilor omului

Statele trebuie să asigure un nivel adecvat de îngrijire medicală, atât pentru persoanele private de libertate (sub orice formă și în orice instituții), cât și pentru persoanele cu afecțiuni cronice sau cu dizabilități, în acord cu Comitetul European pentru Prevenirea Torturii sau cu articolele 2, 3 și 11 din Convenție.

Măsurile restrictive luate că răspuns la epidemia de Covid-19 trebuie strict justificate în lipsa unor alternative mai puțin limitative din punctul de vedere al respectării drepturilor fundamentale. în orice caz, inclusiv în cazul derogărilor, statele rămân responsabile de corecta aplicare a principiului judecății echitabile (principiul egalității de arme), de respectarea prezumției de nevinovăție și de asigurarea că nu există nicio interferență în independența instanțelor și a judecătorilor.

O mențiune specială privește libertatea de exprimare și informare. Astfel, Consiliul Europei subliniază importanța jurnaliștilor profesioniști și rolul acestora în transmiterea de informații prompte, din surse credibile. Forul european avertizează însă că în preluarea informațiilor, jurnaliștii nu se pot baza doar pe comunicările oficiale, întrucât aceasta ar putea conduce la cenzură și la înlăturarea îngrijorărilor legitime. Media, profesioniștii în domeniul medical, societatea civilă și publicul larg trebuie să fie capabili să critice autoritățile și să analizeze modul lor de răspuns la criză. Orice restricție cu privire la un anumit subiect, închiderea surselor de media sau blocarea accesului la anumite platforme de comunicare online impune o analiză aprofundată și nu poate fi justificată decât în cazuri excepționale.

Despre prelucrarea datelor cu caracter personal

Monitorizarea, prevenirea și anticiparea sunt pași cruciali în urmărirea și combaterea unei epidemii. Asocierea unor soluții tehnologice poate conduce la îndeplinirea mai rapidă a obiectivelor, dar  tehnologiile folosite trebuie să răspundă cerinței de respectare a vieții private.

Astfel, Consiliul Europei recomandă ca prelucrarea pe scară largă a datelor personale cu ajutorul inteligenței artificiale să fie realizată doar atunci când dovezile științifice arată în mod convingător că beneficiile potențiale asupra sănătății publice depășesc beneficiile ce ar putea fi obținute prin soluții alternative, mai puțin intruzive.

Consiliul Europei amintește astfel că principiile de prelucrare a datelor cu caracter personal și Convenția 108 (Convenția Consiliului Europei, modificată, pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal) au permis să existe un echilibru între standardele cele mai înalte de protecție a datelor cu caracter personal și interesul public, inclusiv sănătatea publică.

În materie de prelucrarea datelor cu caracter personal, statele și operatorii trebuie să țină cont atât de recomandările forului paneuropean cât și de recomandările Comisiei Europene în contextul Covid-19 și ale EDPB, pe care le vom dezvolta în cele ce urmează.

Prelucrarea datelor personale de sănătate în contextul Covid-19

Principiile desprinse din Regulamentul GDPR

Principiile referitoare la protecția persoanelor fizice în ce privește prelucrarea datelor cu caracter personal sunt menite să respecte drepturile și libertățile fundamentale ale persoanelor fizice. Totuși, dreptul la protecția datelor cu caracter personal nu este un drept absolut. Acesta trebuie echilibrat cu alte drepturi fundamentale, inclusiv cu dreptul la protejarea sănătății.

Având în vedere actualul context determinat de pandemia de Covid-19 este normal ca măsurile de limitare a anumitor drepturi și libertăți individuale să aibă un anumit efect și asupra modului de prelucrare a datelor de sănătate și în cantitatea de date prelucrate. Aceasta nu înseamnă însă că obligațiile operatorilor ce decurg din Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal sunt puse între paranteze.

Din contră, atragem atenția că Regulamentul acoperă deja operațiunile de prelucrare a datelor necesare pentru a contribui la lupta împotriva pandemiei. Astfel, nu a fost și nu este în prezent nevoie de vreo modificare a Regulamentului pentru prelucrarea datelor de sănătate în acest context, ci doar de respectarea acestuia.

Conform pct. 46 din Preambulul Regulamentului, prelucrarea de date cu caracter personal ar trebui să fie considerată legală când  servește unor interese esențiale pentru viața persoanei vizate sau altei persoane fizice, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia.

De asemenea, din pct. 52-54 rezultă faptul că derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter personal (inclusiv date legate de sănătate) ar trebui să fie permisă în scopuri justificate, precum cele de securitate, supraveghere și alertă în materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile (deci, inclusiv în actualul context epidemiologic).

Această derogare ar trebui prevăzută expres în dreptul Uniunii sau în dreptul intern și ar trebui să facă obiectul unor garanții adecvate, astfel încât datele cu caracter personal respective, precum și alte drepturi fundamentale să fie protejate. Derogările trebuie să prevadă cine poate prelucra (adică cine este operatorul de date), în ce temei, în ce condiții, pe ce perioadă de timp, etc.

Am putea începe, deci, această parte a articolului cu concluzia formulată de Comitetul de Protecția Datelor (EDPB) conform căruia „o persoană nu ar trebui să fie pusă să aleagă între un răspuns eficient la criza actuală și protejarea drepturile sale fundamentale: putem să le atingem pe amândouă și, mai mult, principiile prelucrării datelor pot juca un rol foarte important în lupta împotriva virusului.”

Conform art. 5 din Regulamentul GDPR principiile de prelucrare a datelor cu caracter personal (inclusiv cele de sănătate) sunt:

– principiul legalității

– principiul limitării legate de scopul prelucrării

– principiul reducerii la minimum a datelor

– principiul limitării legate de stocare (termenele de stocare)

– principiul integrității

– principiul confidențialității, exactității și responsabilității.

În ce privește prelucrarea datelor de sănătate (interzisă, în principiu, prin art. 9 alin. 1 din Regulament) este totuși permisă, dar doar în condițiile existenței unuia dintre cazurile de excepție prevăzute la art. 9 alin. 2 din Regulament.

Astfel, referindu-ne la operatorii economici, pentru ca aceștia să poată prelucra datele de sănătate ale salariaților, clienților, colaboratorilor, ar trebui să identifice că atare această operațiune de prelucrare în Registrul de evidență pe care sunt obligați să îl țină, conform art. 30 din Regulament și să își întemeieze prelucrarea pe unul din cazurile de excepție prevăzute la art. 9 alin. 2 din Regulament.

De reținut că interesul legitim sau prelucrarea în vederea îndeplinirii unei obligații legale care îi revine operatorului (menționate de art. 6 lit. f), respectiv art. 6 lit. c)) nu se află printre aceste cazuri de excepție.

Astfel, datele de sănătate ar putea fi prelucrate de către operatorii economici, în funcție de fiecare situație în parte.

– în baza art. 9 alin. 2 lit. b): pentru exercitarea unor drepturi specifice ale operatorului sau persoanei vizate în domeniul ocupării forței de muncă și al securității sociale, în măsura în care acest lucru este autorizat de dreptul intern

– în baza art. 9 alin. 2 lit. h): medicina preventivă sau a muncii

– în baza art. 9 alin. 2 lit. f: pentru apărarea unui drept în instanță.

Nu am inclus aici art. 9 alin. 2 lit. a) (consimțământul) pentru că acest temei nu este recomandabil în relația angajator – angajat, însă poate fi folosit în alte situații (pentru vizitatori, de exemplu sau pentru colaboratori, atunci când el poate fi liber exprimat și întrunește toate condițiile prevăzute în art. 7 din Regulament.

Indiferent de temeiul juridic al prelucrării, prelucrarea datelor de sănătate trebuie să respecte, și în condițiile epidemiei de Covid-19 (sau cu atât mai mult acum), principiile de prelucrare, în special acela al limitării legate de scop, proporționalitate și reducerea la minimum a datelor astfel prelucrate, limitările legate de stocare (termenul de stocare).

De asemenea, este posibil că operatorul să trebuiască să realizeze anterior prelucrării datelor personale de sănătate o evaluare a impactului asupra protecției datelor (DPIA) și să asigure în orice caz nivelul de securitate al informațiilor prevăzut în Regulament.

Printre măsurile care se vehiculează a fi puse în practică în prezent de către operatorii economici în vederea combaterii epidemiei odată cu reîntoarcere la lucru, este măsurarea temperaturii salariaților / clienților / vizitatorilor la intrarea în incinta operatorului economic, precum și completarea unor formulare cu informații referitoare la locurile vizitate de respectiva persoană și la eventuale simptome de îmbolnăvire pe care aceasta le prezintă sau le-a prezentat. Aceste informații constituie, în contextul în care sunt folosite, date de sănătate a căror prelucrare trebuie să respecte principiile și dispozițiile Regulamentului.

Autoritățile de supraveghere a datelor (precum autoritatea franceză CNIL) atrag atenția asupra faptului că angajatorii nu pot să ia măsuri susceptibile care să aducă atingere respectului vieții private a persoanelor vizate, mai ales prin colectarea de date de sănătate care ar merge dincolo de gestionarea suspiciunilor de expunere la virus. CNIL merge mai departe și afirmă de exemplu că angajatorii ar trebui să se abțină de la a colecta de manieră sistematică și generalizată sau prin anchete și chestionare individuale, informații relative la eventuale simptome prezentate de un angajat / agent și / sau de apropiații acestora (de ex. măsurarea obligatorie a temperaturii corporale a fiecărui angajat / agent / vizitator care să fie supuse zilnic atenției superiorilor ierarhici; chestionare medicale, etc.).

Considerăm că măsurile de prevenție ar trebui luate de operatorii economice în urma unei noi evaluări a riscurilor de la locul de muncă, în strânsă legătură cu specialistul pe probleme de securitate și sănătate în muncă și cu medicul de medicina muncii.

În concluzie, prelucrarea datelor de sănătate este posibilă în cazuri excepționale, însă trebuie atent evaluată și temeinic justificată, realizată cu respectarea strictă a principiilor de prelucrare din Regulament, întrucât este valabil, cu atât mai mult în acest domeniu, faptul că scopul de astăzi (supravegherea răspândirii virusului) nu scuză mijloacele.

Orientări la nivel european

Dintre orientările adoptate până în prezent la nivel european în domeniul protecției datelor cu caracter personal cele mai numeroase privesc prelucrarea de date de sănătate de către autoritățile publice prin folosirea tehnologiilor pentru combaterea și ieșirea din criza Covid-19 (în special aplicații electronice de urmărire a locației și/sau a contactelor persoanelor) sau în scopul cercetărilor științifice în acest context.

Aceste orientări sunt cu atât mai binevenite, cu cât au apărut mai multe soluții tehnologice, despre care mai mulți academicieni din țări diferite susțin că „unele dintre propunerile bazate pe tehnologia Bluetooth respectă dreptul la viață privată în timp ce altele ar permite o formă de supraveghere guvernamentală sau privată care ar periclita încrederea și acceptarea acestei aplicații la o scară largă a populației”,

 – 8 aprilie 2020: Recomandările Comisiei Europene cu privire la un cadru comun (toolbox) pentru utilizarea tehnologiei și a datelor în scopul combaterii și ieșirii din criza Covid-19, în particular cu privire la aplicațiile de mobil și utilizarea datelor de localizare anonimizate^[3].

Scopul acestor recomandări este de a stabili o abordare comună în ceea ce privește utilizarea mijloacelor digitale în combaterea crizei, care să aibă la bază respectul vieții private și protecția datelor cu caracter personal^[4].

În folosirea acestor aplicații mobile vor trebui respectate următoarele principii:

– măsuri de securitate care să asigure respectul drepturilor fundamentale și prevenirea stigmatizării, în particular regulile care să guverneze protecția datelor personale și confidențialitatea comunicațiilor;

– preferința pentru cele mai puțin intruzive, dar în același timp cele mai eficace măsuri (de exemplu utilizarea datelor de proximitate în locul celor de geo-localizare și folosirea datelor anonimizate acolo unde este posibil);

– ștergerea datelor obținute prin aceste mijloace cel târziu deîndată ce pandemia este declarată a fi sub control;

– încărcarea datelor de proximitate doar în situația unui caz de infectare confirmat și luarea măsurilor adecvate de informare a persoanelor care au fost în contact direct și apropiat cu persoana infectată, care va rămâne anonimă;

– cerințe de transparență în ceea ce privește setările de confidențialitate, pentru a crește încrederea în aplicație.

– 17 aprilie 2020 – Orientările Comisiei Europene în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de COVID-19^[5].

Orientările enunță, fără a fi obligatorii din punct de vedere juridic, caracteristicile și exigențele pe care aplicațiile mobile specifice luptei împotriva COvid-19 trebuie să le întrunească pentru a garanta respectarea legislației UE în materia protecției datelor cu caracter personal.

Cu titlu general, Comisia recomandă folosirea aplicațiilor în baza unei utilizări voluntare și nu prin obligarea utilizării unei aplicații, dat fiind caracterul profund intruziv al unei astfel de abordări și provocările aferente (în special cele cu privire la garanțiile adecvate).

Printre elementele de natură să confere o utilizare fiabilă și responsabilă a aplicațiilor și menite să limiteze caracterul excesiv al funcționalităților aplicațiilor, cele mai importante sunt următoarele:

– aplicațiile ar trebui concepute astfel încât să confere responsabilitatea prelucrării autorităților sanitare naționale (care devin, astfel, operatorii respectivelor date cu caracter personal);

– garantarea faptului că utilizatorii păstrează controlul asupra datelor personale (instalarea să se facă pe bază voluntară, fără ca aceasta să impieteze asupra persoanelor care decid să nu își instaleze/utilizeze aplicația; funcționalitățile diferite ale aplicației nu trebuie grupate, astfel încât să permită persoanei să își exprime consimțământul pentru fiecare dintre ele; datele de proximitate să fie stocate pe aparatul persoanei vizate; dacă aceste date trebuie partajate cu autoritățile sanitare, această partajare să se facă doar după confirmarea contaminării persoanei vizate și doar după ce aceasta își dă acordul de a le partaja etc.)

– temeiul juridic al prelucrării – în principal consimțământul persoanei vizate exprimat în condițiile art. 7 din Regulament, pentru instalarea aplicației și stocarea informațiilor în aparatul utilizatorului. În ceea ce privește prelucrarea datelor personale de către autoritățile sanitare naționale, Comisia Europeană consideră că prelucrarea în temeiul unei dispoziții legale ar contribui la securitatea juridică, iar legislația care ar permite prelucrarea respectivă ar trebui să prevadă în detaliu modalitatea și condițiile de prelucrare, garantând în același timp libertățile și drepturile fundamentale. Prelucrarea de către autorități în baza legii nu ar schimba cu nimic faptul că persoanele fizice rămân libere să își instaleze sau nu aplicația și să partajeze sau nu datele lor cu autoritățile sanitare, fără vreo consecință negativă asupra persoanelor.

– minimizarea datelor – doar datele cu caracter personal adecvate, pertinente și limitate scopului pot fi prelucrate, acestea fiind diferite pentru fiecare funcționalitate a aplicației; Comisia oferă exemple de date ce ar putea fi prelucrate pentru fiecare funcționalitate în parte;

– limitarea divulgării / accesibilității datelor

– stabilirea unor scopuri clare și specifice de prelucrare – dreptul Uniunii sau legislația internă adoptată în vederea acestei prelucrări ar trebui să prevadă scopul prelucrării (posibil mai multe scopuri pentru fiecare funcționalitate a aplicației). Comisia nu recomandă utilizarea datelor colectate în scopul luptei împotriva Covid-19 pentru alte scopuri (inclusiv cercetare științifică sau statistică) fără stabilirea prealabilă și comunicarea acestui scop către utilizatori.

– stabilirea de limite stricte pentru păstrarea datelor – păstrarea datelor doar pentru perioada strict necesară, pentru fiecare funcționalitate a aplicației în parte (ștergerea acestora după maxim o lună sau după ce persoana a fost testată negativ).

– garantarea securității datelor

– 21 aprilie 2020 – Ghidul 4 /2020 emis de Comitetul European pentru protecția datelor (EDPB) privind utilizarea datelor de localizare și a instrumentelor de depistare în contextul crizei Covid-19.

Documentul urmărește evidențierea condițiilor și principiilor de utilizare proporțională a datelor de localizare în scopul monitorizării răspândirii virusului,  respectiv a instrumentelor de depistare pentru a anunța persoanele aflate în apropierea altor persoane depistate ca fiind infectate.

EDPB reamintește de importanța Directivei E-Privacy^[6] în prelucrarea datelor de localizare, precum și de faptul că atunci când se prelucrează date de localizare ar trebui să se prelucreze mai degrabă date anonimizate^[7] decât date personale, insistând pe diferența dintre pseudonomizare și anonimizare.

Orientările EDPB reiau, completează și detaliază Orientările Comisiei Europene din 17.04.2020 mai sus detaliate.

– 21 aprilie 2020 – Ghidul 3/2020 emis de EDPB privind prelucrarea datelor de sănătate în scop de cercetare științifică în contextul pandemiei Covid-19

Prin acest Ghid s-a urmărit clarificarea aspectelor privind utilizarea datelor de sănătate, în special temeiul legal al prelucrării, utilizarea ulterioară a datelor în scop de cercetare științifică, inclusiv sub aspect transfrontalier, precum și asigurarea drepturilor persoanelor vizate.

În concluzie, utilizarea unor aplicații prin care sunt prelucrate date de localizare în scopul monitorizării răspândirii virusului este posibilă (de altfel, CNIL, din Franța, a și avizat o astfel de aplicație^[8]), însă la momentul realizării unei astfel de aplicații trebuie respectate reglementările în domeniul protecției datelor, recomandările emise la nivel european, precum și drepturile și libertățile fundamentale ale omului.

Observăm, așadar, o preocupare reală la nivel european pentru continuarea respectării drepturilor și libertăților individuale cu atât mai mult pe fondul restricțiilor temporare implementate de state. Este evident că în această perioadă este deosebit de important ca autoritățile statului să fie transparente cu privire la măsurile restrictive luate, să explice necesitatea acestora și să le limiteze în timp doar cât este nevoie de ele, pentru a menține astfel brațele balanței la același nivel.