Privacy e rilevamento della temperatura corporea in Fase 2: regole di accountability

Con lo scopo di riorganizzare le attività aziendali e gestire la Fase 2 dell’emergenza Covid-19, emerge la necessità di disporre misure atte a garantire la salute negli ambienti di lavoro. In tal senso, è utile affrontare quegli elementi da considerare con una specificità sul piano privacy e nella fattispecie dell’allestimento del rilevamento della temperatura corporea mediante termoscanner.

Già nel corso dell’attuale e profonda crisi sanitaria significativi interventi a livello europeo e nazionale hanno specificato indirizzi appropriati nell’ambito del trattamento dei dati in relazione alla gestione pandemica Covid-19.

Segnaliamo, tra gli altri, che il Garante aveva esordito scoraggiando gli approcci di privacy “fai fa te”, in relazione ad alcune iniziative imprenditoriali, ma è l’intervento del legislatore italiano espresso nell’art. 14 del D.L. 14/2020 (il cui testo è confluito nell’art. 17-bis del D.L. 18/2020) che chiarisce chi sono i soggetti autorizzati a monitorare e a garantire l’esecuzione delle misure disposte, nonché richiamato l’applicazione dei principi del GDPR e della trasparenza nel rispetto degli interessati.

Privacy e rilevamento della temperatura corporea: modalità

All’interno del piano emergenza Covid-19, il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus negli ambienti di lavoro, siglato il 14 marzo 2020, interamente recepito nel Dpcm 22 marzo 2020 e successivamente integrato nell’aggiornamento del 24 aprile 2020 sempre condiviso con le Parti Sociali, ha introdotto, infatti, questa pratica della temperatura corporea: “il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°C l’ingresso ai luoghi di lavoro non sarà consentito”.

Contrariamente ai cantieri edili in cui la misurazione della temperatura corporea di chi vi entra è obbligatoria così come stabilito dal Protocollo condiviso tra Ministero delle Infrastrutture e Trasporti con le Parti Sociali, negli altri casi tale rilevazione può essere applicata su base volontaria dal datore di lavoro, cioè il soggetto pubblico e privato in relazione agli elementi e risvolti sul piano antinfortunistico e privacy. Questioni inerenti agli accertamenti sanitari, più strettamente legati alla disciplina giuslavoristica in senso stretto, ma soprattutto quelli in tema di privacy dei soggetti; il divieto di accertamenti sanitari diretti in primo luogo.

Nella nota esplicativa (Nota 1) del Protocollo condiviso del 14 marzo/24 aprile 2020 si stabilisce espressamente che “la rilevazione in tempo reale della temperatura corporea costituisce un trattamento dei dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”.

Introduce, tale nota, ulteriori suggerimenti per la registrazione di detti dati; peraltro, recepisce il provvedimento del Garante Privacy del 02 marzo 2020, nel quale viene espressamente stabilito e raccomandato di evitare controlli della temperatura indiscriminati e quindi, se del caso, di dare espressa chiara comunicazione circa i provvedimenti da adottare.

Informative e valutazione d’impatto

Di conseguenza assumono un ruolo chiave in applicazione dei principi del GDPR e della trasparenza nel rispetto degli interessati, le informative privacy da adottare e la valutazione d’impatto del trattamento per garantire riservatezza e dignità nell’effettuare le operazioni di rilevazione del dato.

Si consideri che nei confronti dei lavoratori permangono problematiche inerenti al controllo e l’invasività, poiché, a prescindere o meno dall’epidemia si tratterebbe, in primo luogo, di un rischio perlopiù generico e che comunque, stante le attuali conoscenze scientifiche, ben potrebbe essere attuato anche per una semplice influenza.

Il datore di lavoro è d’altra parte obbligato, come previsto dall’art. 2087 del Codice civile e D.lgs. 81/2008, ad “adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro” e pertanto, anche avvalendosi del medico competente, ad assumere provvedimenti e controlli finalizzati alla protezione della sicurezza dei lavoratori.

Eppure, la misurazione della temperatura corporea applicate al fine di consentire l’accesso ai locali aziendali, può dirsi legittima e doverosa qualora vi sia una indicazione del medico competente, il cui ruolo s’inserisce nel quadro della sorveglianza e della valutazione dei rischi sanitari nazionali specificate nel Protocollo ed autorizzate dunque dal DPCM, insieme alle misure da adottare e le modalità della loro implementazione.

Si ricordi, inoltre, che il datore di lavoro ha come obbligo non delegabile, tra l’altro, la valutazione di tutti i rischi con la conseguente elaborazione del DVR; pertanto, sebbene il rischio biologico da Covid-19 sia riconosciuto come generico, in quanto statisticamente può colpire in egual misura tutta la popolazione salvo condizioni aggravanti, il datore di lavoro avrà sempre l’obbligo di dimostrare di aver fatto tutto quanto fosse nella sua facoltà – quindi anche la rilevazione della temperatura corporea in ingresso nella sua azienda – rivestendo posizione di garanzia.

Il punto 2 del Protocollo (lo stesso dicasi per l’acquisizione della autodichiarazione – di cui allo stesso punto) specifica che il datore di lavoro è il titolare del trattamento di dati personali che deve avvenire ai sensi della disciplina privacy vigente.

La raccomandazione è quella di rilevare la temperatura e non registrare il dato acquisto. La necessità d’identificare e registrare il superamento della soglia di temperatura rimane esclusivamente e necessariamente connessa con quelle di documentare le ragioni che hanno impedito l’accesso ai locali aziendali.

Privacy e rilevamento della temperatura corporea: gli autorizzati al trattamento

Risulta necessario, pertanto, individuare il personale che, come autorizzato al trattamento e previo recepimento della relativa procedura, provvederà alla misurazione della temperatura e relativa registrazione se superiore a 37,5°C.

Resta inteso che qualsiasi trattamento di dati personali particolari indispensabili per l’accesso ai fini dell’applicazione delle misure di sicurezza previste dal piano di intervento dovranno essere trattati dal medico competente, il quale, a norma dell’art. 14 del D.L. 14/2020 (e art. 17-bis del D.L. 18/2020, introdotto in sede di conversione) può comunicare al datore di lavoro l’esito delle verifiche effettuate in attuazione dei protocolli anti-contagio, coerentemente con le finalità e limiti del protocollo di sicurezza anti-contagio, nonché nel rispetto dell’applicazione dei principi di cui all’articolo 5 del Regolamento 2016/679.

Per ciò che concerne i soggetti autorizzati all’accesso a tali dati personali e così come previsto nel Protocollo, il datore di lavoro procederà all’individuazione, nomina (eventuale aggiornamento) e istruzione specifiche fornendo perciò opportuna e adeguata informazione ai sensi dell’art. 29 del Regolamento 2016/679.

I dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo alla Covid-19).

Come effettuare la rilevazione della temperatura

Altro punto cruciale è l’allestimento del luogo o la postazione ove avrà luogo il rilevamento, poiché è necessario tenere presente che in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura – quanto nella stessa predisposizione delle aree o delle postazioni atte alla misurazione – dovranno esserci modalità atte ad assicurare e “tali da garantire la riservatezza e la dignità del lavoratore”.

La rilevazione della temperatura (ma anche nel caso della richiesta della dichiarazione) comporta perciò il trattamento di dati personali – come specificato nel protocollo – per il quale è necessario:

1. informare gli interessati;
2. aggiornare il registro dei trattamenti;
3. individuare gli incaricati della raccolta dati (il personale incaricato del titolare o altri);
4. fornire istruzioni a chi è autorizzato al trattamento (per garantire la non diffusione delle informazioni), eventuale predisposizione/revisione degli atti di nomina;
5. organizzare le modalità di conservazione dei dati, predisporre le misure di sicurezza adeguate e di cancellazione dei dati al termine del trattamento.

 

Fonte: Cybersecurity360