Fino a che punto i protocolli COVID-19 possono costituire una valida base per i controlli della temperatura? Certamente, il contesto pandemico ha comportato confusione e in alcuni casi sproporzionate compressioni del diritto alla protezione dei dati personali, non tenendo conto da un lato della natura di dati particolari (ovverosia: dati relativi alla salute) delle informazioni riguardanti la temperatura corporea e dall’altro dell’invasività e persistenza delle modalità di rilevazione selezionate (da declinare operativamente secondo il principio di minimizzazione).
Nel caso degli aeroporti di Bruxelles, l’installazione di un impianto di telecamere termiche e il conseguente trattamento di dati personali cui dava luogo è stato oggetto di due decisioni da parte del Garante belga che ha rilevato le violazioni dei principi di liceità e trasparenza, oltre che il mancato svolgimento di una valutazione d’impatto privacy, con una sanzione per i contitolari del trattamento pari a 300 mila euro e 20 mila euro rispettivamente per gli aeroporti e per la società di servizi a supporto dei controlli di “seconda linea”.
Il sistema, stando all’istruttoria riguardante il periodo da giugno 2020 a gennaio 2021, monitorava la temperatura dei passeggeri in partenza e in arrivo, svolgendo un controllo di “prima linea”: nel momento in cui veniva rilevata una temperatura elevata (superiore a 38°C, per cui l’immagine veniva segnalata come rossa), all’interessato veniva richiesto di sottoporsi ad una nuova rilevazione automatizzata della temperatura e in caso di conferma questi era scortato presso un medico dell’aeroporto. Qui, veniva svolto un controllo di “seconda linea” con una nuova misurazione della temperatura e un esame dei sintomi da COVID-19 da cui poteva conseguentemente derivare la decisione di impedire l’accesso al terminal di volo.
Il fondamento di liceità dell’interesse pubblico rilevante, come da combinato degli artt. 6.1 lett. e) e 9.2 lett. g) GDPR, richiede però il riscontro di tre criteri: la sussistenza del motivo di rilevante interesse pubblico sostanziale perseguito; l’esistenza di una base giuridica valida riferibile al diritto dell’Unione o degli Stati membri con garanzia di proporzionalità e tutela dei dati personali degli interessati; la necessità del trattamento per il motivo di interesse pubblico rilevante.
Per quanto nulla osti sulla qualificazione del monitoraggio dell’epidemia e della sua diffusione come motivo di interesse pubblico rilevante, l’Authority ha contestato la carenza di una base giuridica valida in quanto, come espressamente richiesto dall’art. 6.3 e dal considerando n. 41 GDPR, deve essere chiara, precisa e con applicazione prevedibile, nonché secondo l’ordinamento belga regolare gli elementi essenziali del trattamento tramite una norma con forza di legge. Dal momento che l’attività di monitoraggio era fondata sull’applicazione di un protocollo (Protocol Commerciële Luchtvaart), e dunque un quadro di valutazione indicativo privo di carattere prescrittiva, non può assolvere al requisito della riserva di legge. Inoltre, l’assenza di un obbligo legale di rilevazione della temperatura dei passeggeri veniva inoltre confermato dalla valutazione d’impatto privacy. In particolare, viene evidenziata la non prevedibilità delle norme del protocollo per difetto di accessibilità dei contenuti – soprattutto circa la natura e le conseguenze legali per l’interessato – dovuta a intempestività della pubblicazione e mancanza di specificità circa gli scopi dei controlli e le conseguenze in caso di rifiuto.
Per quanto riguarda l’assenza di tutele adeguate per i diritti e le libertà fondamentali degli interessati, tale elemento di contestazione discende direttamente dalla mancanza di una previsione legislativa, mentre il terzo criterio di necessità è stato ritenuto non sufficientemente documentato dal momento che secondo la stessa EASA (European Union Aviation Safety Agency) la rilevanza della misurazione della temperatura per il rilascio di un “passaporto di immunità” non trova evidenze scientifiche a conferma.
Per quanto riguarda l’aspetto della trasparenza, i rilievi dell’autorità di controllo hanno riguardato un’incompletezza e incoerenza delle informazioni circa la durata della conservazione, l’identità del titolare del trattamento, le finalità del trattamento, le conseguenze per l’interessato in caso di mancato conferimento dei dati e la possibilità di proporre reclamo.
Da ultimo, la violazione della valutazione d’impatto riguarda la mancata o inesatta valutazione di elementi di contesto, rischi e soprattutto alcune inesattezze nel metodo di svolgimento della stessa. Ad esempio, premesso e chiarito l’obbligo ai sensi dell’art. 35.1 GDPR, la valutazione era stata svolta solo in seguito all’attivazione del trattamento e non prima. Ulteriormente, un problema di inconsistenza del processo decisionale emerge macroscopicamente dalla mancata rilevazione già in sede di valutazione d’impatto di un fondamento giuridico per l’attività di trattamento svolta.
