E’ successo in Belgio. Agli scali Zaventem e Charleroi è stata inflitta una multa complessiva di 300mila euro dall’autorità belga per la privacy. E’ stata inflitta anche una multa di 20.000 euro all’Ambuce Rescue Team
La DPA ha inflitto una sanzione di 200.000 euro all’aeroporto Zaventem di Bruxelles e di 100.000 euro all’aeroporto di Charleroi-Bruxelles Sud per i controlli della temperatura dei passeggeri effettuati nell’ambito della lotta al COVID-19. Per la DPA, questi aeroporti non disponevano di una base giuridica valida per elaborare questi dati sanitari dei viaggiatori.
Trattamento di dati sensibili senza una valida base giuridica
Nel 2020, dopo aver appreso dalla stampa che l’aeroporto di Bruxelles stava misurando la temperatura dei passeggeri, il comitato di gestione dell’APD ha deciso di rivolgersi al suo servizio di ispezione. Allo stesso tempo, lo stesso Servizio di ispezione ha avviato di propria iniziativa un’indagine su un trattamento di dati simile all’aeroporto di Charleroi. Il Garante ha principalmente messo in dubbio la base giuridica su cui si basava questo trattamento dei dati relativi alla salute dei passeggeri.
In questi due aeroporti, le telecamere termiche hanno permesso di filtrare le persone con una temperatura superiore ai 38°C. A Zaventem queste persone sono state poi sottoposte a un questionario sui possibili sintomi legati al coronavirus. Questo secondo controllo è stato effettuato dalla società Ambuce Rescue Team.
Questi controlli della temperatura sono stati effettuati da giugno 2020 a marzo 2021 nel caso dell’aeroporto di Charleroi e da giugno 2020 a gennaio 2021 presso l’aeroporto di Zaventem.
Al termine della sua analisi, la Camera del Contenzioso ha rilevato, supportata da una relazione del Servizio di Ispezione, che gli aeroporti mancavano di una valida base giuridica per il trattamento dei dati relativi alla temperatura dei viaggiatori, e questo in particolare dato che si tratta di dati sanitari . Trattandosi di dati sensibili, i dati di questo tipo non possono in linea di principio essere trattati, salvo in un numero molto limitato di eccezioni (elencate all’articolo 9.2 del GDPR). Rientrano, ad esempio, in tali eccezioni trattamenti per motivi di salute pubblica o interesse pubblico rilevante, purché basati su uno standard giuridico chiaro, preciso e la cui applicazione sia prevedibile per gli interessati, oppure i controlli di temperatura qui previsti principalmente basato su un protocollo, che non soddisfa questi requisiti.
Inoltre, il Garante ha rilevato carenze in termini di informazioni fornite ai viaggiatori e di qualità delle analisi di impatto (ossia l’analisi dei rischi associati al trattamento dei dati).
David Stevens, Presidente dell’APD: “Questa decisione evidenzia l’importanza di svolgere un’analisi di impatto in modo rigoroso e completo, e questo prima di impostare un trattamento dei dati che possa creare un rischio per le persone. Prevenire è meglio che curare è un principio molto importante anche nel campo della protezione dei dati. »
Sanzioni per un provvedimento adottato nell’ambito della lotta al Covid-19
Per tali violazioni, la Camera del Contenzioso commina una censura, nonché una sanzione a ciascuno degli aeroporti, ovvero:
200.000 euro di multa all’aeroporto di Bruxelles Zaventem;
Multa di 100.000 euro all’aeroporto di Charleroi di Bruxelles Sud.
Infligge anche una multa di 20.000 euro all’Ambuce Rescue Team.
L’APD sottolinea che nella sua decisione ha tenuto conto del contesto della crisi sanitaria. Ricorda che dall’inizio della pandemia di Covid-19 si è adoperato per informare in modo proattivo le organizzazioni delle norme applicabili al trattamento dei dati effettuato nel contesto dell’emergenza Covid-19, compresi in particolare i controlli della temperatura.
Le organizzazioni interessate possono proporre ricorso avverso tale decisione presso la Corte del Mercato.
Hielke Hijmans, Presidente della Camera del Contenzioso: “Comprendiamo che le aziende sono state duramente colpite dalla pandemia e che hanno dovuto mettere in atto con urgenza misure mai viste prima. Tuttavia, le norme sulla privacy sono una tutela essenziale dei diritti e delle libertà delle persone e devono quindi essere rispettate. È nostro dovere come Garante per la protezione dei dati personali farli rispettare. La nostra decisione odierna è tanto più importante in quanto può servire da guida per un possibile trattamento di dati simili, nel contesto della crisi sanitaria o meno.
Ti può interessare anche: 25 giuristi scrivono al Garante della Privacy. La lettera integrale. “Il green pass è illegale”
Seguici su Facebook https://www.facebook.com/presskit.it
Seguici su Telegram https://t.me/presskit
