Nel marzo 2020 l’Autorité de protection des données (garante della privacy belga-APD) ha constatato che negli aeroporti di Zaventem e Charleroi-Bruxelles Sud di Bruxelles venivano effettuati controlli della temperatura corporea dei passeggeri e somministrato loro questionari anamnestici nell’ambito della lotta al Covid-19 senza disporre di una valida base giuridica e senza aver svolto una valutazione d’impatto prima di raccogliere i dati sanitari dei viaggiatori.
Nei due aeroporti sopracitati erano installati dei termoscanner che permettevano di controllare la temperatura alle persone, e a quelle a cui veniva rilevata una situazione febbrile con oltre 38 gradi venivano sottoposti dei questionari per individuare i possibili sintomi legati al coronavirus.
Il Garante Belga aveva già precisato in una serie di comunicati che: “una semplice rilevazione della temperatura mediante termometri tradizionali, senza che alla stessa segua alcuna registrazione in modo individualizzato non dà luogo ad alcun trattamento di dati personali”.
A diverse conclusioni giungeva l’Autorità belga: “nel caso in cui alla misurazione della temperatura faccia seguito un’attività complementare di registrazione del dato rappresentato dalla temperatura corporea rilevata o anche solo di formazione di un fascicolo/dossier. In tale caso, per l’Autorità, si applica certamente il GDPR e si pone inevitabilmente il problema dell’individuazione della relativa base giuridica.
La stessa Autorità aveva precisato poi che nei casi di misurazione “con processi automatizzati” della temperatura corporea, effettuata attraverso strumenti tecnologicamente avanzati, i dati non sono semplicemente letti, ma trattati elettronicamente. Ne consegue che l’utilizzo di dispositivi, quali termo-scanner, termocamere o altri sistemi automatizzati di rilevazione della temperatura, implica il trattamento illecito di dati personali particolari (relativi alla salute) in assenza di un’idonea base giuridica.
Da queste considerazioni il Garante belga, nel corso dell’istruttoria del caso che ci occupa, rilevava carenze sulle informazioni sul trattamento dei dati personali fornite ai viaggiatori e sulla mancata effettuazione di una valutazione d’impatto che avrebbe potuto portare anche all’individuazione della corretta base giuridica (tra: 1. il consenso del soggetto interessato; 2. la necessità del trattamento “per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo…”; 3. la necessità del trattamento “per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri…”; 4. la necessità del trattamento “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri…”).
Per tali violazioni, l’Autorité de protection des données il 4 aprile 2022 ha reso noto di aver inflitto complessivamente 320.000 euro di sanzioni pecuniarie, rispettivamente 200.000 euro all’aeroporto di Bruxelles Zaventem, 100.000 euro all’aeroporto di Charleroi di Bruxelles Sud, e anche 20.000 euro all’Ambuce Rescue Team, la società esterna che forniva i questionari.