Controlli della temperatura senza valida base giuridica, sanzioni a due aeroporti

Gli aeroporti Zaventem e Charleroi-Bruxelles Sud di Bruxelles sono stati sanzionati dall’Autorità per la protezione dei dati personali del Belgio. La ragione risiede nell'aver effettuato controlli della temperatura corporea dei passeggeri e somministrato loro questionari anamnestici nell'ambito della lotta al Covid-19 senza disporre di una valida base giuridica e senza aver fatto una valutazione d’impatto prima di raccogliere i dati sanitari dei viaggiatori.

Il caso in oggetto risale al marzo del 2020, in piena pandemia: il garante della privacy belga (APD) aveva avviato un’indagine dopo aver appreso dalla stampa che negli aeroporti di Bruxelles si stava misurando la temperatura dei passeggeri. Nei due aeroporti, i termoscanner permettevano di controllare la temperatura alle persone, e a quelle a cui veniva rilevata una situazione febbrile con oltre 38 gradi venivano sottoposti dei questionari per individuare i possibili sintomi legati al coronavirus.

Al termine dell’istruttoria, l’Autorité de protection des données ha constatato che il trattamento era illecito in quanto gli aeroporti non avevano una valida base giuridica per raccogliere i dati sanitari relativi alla temperatura dei viaggiatori, la cui privacy era stata quindi violata.  In base alle norme del Gdpr, trattandosi di informazioni sensibili, dati di questo tipo non possono essere trattati, salvo in un numero limitato di eccezioni previste dall'art. 9.2 del Regolamento UE 2016/679.

Rilevate altre carenze e violazioni

Il Garante belga ha rilevato carenze sulle informazioni sul trattamento dei dati personali fornite ai viaggiatori e sulla mancata effettuazione di una valutazione d’impatto, come sottolinea David Stevens, Presidente dell'autorità: "Questa decisione evidenzia l'importanza di svolgere una valutazione d’impatto modo rigoroso e completo, e questo prima di iniziare un trattamento dei dati che possa creare un rischio per le persone. Prevenire è meglio che curare è un principio molto importante anche nel campo della protezione dei dati.”

Per tali violazioni, l’Autorité de protection des données il 4 aprile 2022 ha reso noto di aver inflitto complessivamente 320.000 euro di sanzioni pecuniarie, rispettivamente 200.000 euro all'aeroporto di Bruxelles Zaventem, 100.000 euro all'aeroporto di Charleroi di Bruxelles Sud, e anche 20.000 euro all'Ambuce Rescue Team, la società esterna che somministrava i questionari.

Il Garante sottolinea che nella propria decisione ha tenuto conto del contesto della crisi sanitaria. Ricorda che dall'inizio della pandemia si è adoperato per informare in modo proattivo le organizzazioni delle norme applicabili al trattamento dei dati effettuato nel contesto dell'emergenza Covid-19, compresi in particolare i controlli della temperatura .