Rilevare la temperatura corporea di coloro che accedono in azienda è una delle misure raccomandate per la lotta contro il COVID-19. Il controllo sistematico della temperatura corporea del personale dipendente, di clienti e di altri visitatori come misura per prevenire la diffusione del Covid-19 nei locali aziendali può tuttavia scontrarsi con i diritti delle persone alla vita privata e / o alla protezione dei dati personali.
In effetti, la temperatura corporea può essere misurata mediante una enorme varietà di dispositivi e procedure che in maniera diversa incidono sulla privacy degli interessati e che per questo dovrebbero essere oggetto di un’attenta valutazione da parte dei titolari del trattamento che decidono di impiegarli.
Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali” del 14 marzo 2020 prescrive al datore di lavoro la misurazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, misura che si estende anche ad utenti, visitatori e clienti nonché fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata, ma dice nulla sullo strumento da utilizzare, lasciando libera scelta al datore di lavoro.
Il risultato della rilevazione della temperatura corporea, quando associato all’identità dell’interessato, costituisce “dato personale” ai sensi della definizione che di esso dà il regolamento n. 679/2016, secondo cui è dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4 punto 1 Regolamento n. 679/2016).
Pertanto, quando si associa il risultato della temperatura all’identità del soggetto a cui la si misura, si effettua un trattamento di dati personali e, considerando che la temperatura corporea è un dato appartenente alla categoria particolare di dati personali, in quanto si tratta di un dato relativo alla salute, per raccoglierlo e trattarlo occorre anche una valida base giuridica, posto che in linea di principio trattare dati appartenenti alla categoria particolare è vietato salvo non ricorra una delle eccezioni contenute nell’art. 9 paragrafo 2 del GDPR.
Tra l’altro, il Garante della privacy ha precisato che, nel rispetto del principio di minimizzazione (art. 5, par.1, lett. c) del Regolamento cit.), il dato relativo alla temperatura corporea rilevata non deve essere registrato (pertanto se si rileva la temperatura senza associare tale dato al soggetto, dunque senza identificarlo, non si cade nella sfera di applicazione del GDPR, perché non si sta effettuando, in tale circostanza, alcun trattamento di dati personali).
Il dato della temperatura, come chiarito dal Garante, può essere registrato nella sola circostanza del superamento della soglia stabilita dalla legge (37.5 gradi) e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro (in tal caso, si rientra invece nel quadro di applicazione del Regolamento n. 679/2016, perché si associa il dato alla persona).
Se poi la temperatura corporea viene rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali o fornitori, anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.
Riepilogando
Lettura della temperatura, senza registrazione del dato
Se la temperatura corporea misurata viene solo “letta” nel momento in cui è rilevata e non viene registrata/documentata, ricollegandola ad un soggetto specifico, in linea di principio, non si effettua un trattamento di dati personali per cui si è fuori dalla sfera di applicazione del GDPR. In altri termini, se il dispositivo usato per misurare la temperatura visualizza solo la temperatura, come, ad esempio, un termometro convenzionale, senza registrare il dato ricollegandolo ad un soggetto specifico, non si rientra nell'applicazione del GDPR, sebbene si applichino comunque i principi generali di tutela della riservatezza della persona (ciò significa prestare adeguata attenzione quando la temperatura supera la soglia indicata per comunicare il diniego di accesso nei locali dell’azienda, se nelle vicinanze vi sono altre persone, così ad esempio se il dispositivo emette un suono per segnalare il superamento della temperatura e nei dintorni vi possono essere altre persone, è preferibile disattivarlo e scegliere un metodo di comunicazione silenzioso).
Ad ogni modo, non è detto che non si possa in alcun caso registrare la temperatura ad esempio dei lavoratori, l’importante è che tali informazioni non siano in alcun modo ricollegabili a soggetti identificabili, pertanto, ad esempio si potrebbe decidere di raccogliere le sole temperature rilevate durante un arco temporale, con lo scopo di predisporre un report anonimo di natura statistica, senza però mai ricollegare le temperature ai soggetti, nemmeno in una fase successiva.
Misurazione della temperatura e registrazione del dato
Il Protocollo del 14 marzo stabilisce che il datore di lavoro deve registrare la temperatura dei dipendenti se questa supera la soglia stabilita per giustificare il motivo del diniego dell’accesso in azienda (ma lo stesso potrebbe valere per evitare responsabilità o l’applicazione di penali contrattuali, in tal caso, il titolare del trattamento potrebbe avere interesse a registrare ad esempio la temperatura del dipendente del fornitore cui viene vietato l’accesso); si tratta di operazioni che comportano una registrazione e l’associazione del dato-temperatura ad un soggetto identificato, in tal caso, si applicano le disposizioni del GDPR.
Se, dunque, la temperatura misurata viene poi registrata o comunque trattata ricollegandola a persone identificabili, si effettua un trattamento di dati personali relativi alla salute.
Il trattamento di tali dati sanitari è in linea di principio vietato, salvo le eccezioni di cui all’art. 9 del GDPR, tra cui compare una norma di legge che può autorizzare il trattamento ai fini di sicurezza sociale; quella che in definitiva ha autorizzato in questa circostanza di emergenza sanitaria anche tale trattamento di dati sanitari.
Se le indicazioni precedenti [sola lettura della temperatura/ registrazione e identificazione dell’interessato solo al superamento della soglia fissata] possono essere facilmente rispettate quando si utilizzano strumenti manuali di rilevamento della temperatura come ad esempio i termometri convenzionali perché, in tal caso sarà l’operatore a decidere quando la temperatura va registrata o meno, la situazione si complica quando l’azienda decide di automatizzare il processo di rilevamento della temperatura, installando, all’ingresso della propria sede, soluzioni tecnologiche all’avanguardia, come sistemi avanzati con termocamera o body scanner in grado di rilevare autonomamente la temperatura una volta che un soggetto li attraversa e bloccare loro automaticamente il passaggio se la temperatura risulta superiore alla soglia fissata.
Ebbene in tal caso occorre effettuare una serie di considerazioni preliminari sin dalla fase di scelta dello strumento.
Innanzitutto, questo tipo di tecnologia funziona, in genere, scansionando un'immagine termica della temperatura corporea di un individuo dalla fronte e producendo un avviso/blocco qualora la registrazione della temperatura risulti superiore alla media, risultato questo che indica la presenza di una malattia; in tal caso, la misurazione della temperatura delle persone fisiche rientra nell’ambito di applicazione del GDPR se questo atto dà luogo di per sé, dunque, in automatico o successivamente, ad un trattamento dei dati personali.
Rilevamento automatizzato della temperatura mediante dispositivi tecnologicamente avanzati. Se si opta per un dispositivo che rileva la temperatura della persona automaticamente (senza la presenza di un operatore) a distanza, occorre verificare che lo stesso rilevi solo i dati, non li archivi in automatico nel dispositivo o in cloud, da soli, né con altre informazioni, come il volto della persona o altre caratteristiche personali e che dunque rispetti il principio della privacy by design e default, in modo che le informazioni raccolte siano quelle strettamente necessarie alla finalità di trattamento. La fase successiva alla misurazione automatizzata della temperatura può essere eseguita automaticamente o meno. Ad esempio, se la macchina rileva che la temperatura supera la soglia imposta, può bloccare in automatico l’accesso in azienda [in tal caso siamo di fronte al trattamento di dati effettuato da un decisore automatizzato], oppure può accadere che intervenga un operatore che vigila sulla misurazione operata dalla macchina che ricontrolli eventualmente la febbre con un altro dispositivo, negando l’accesso.
Sul punto, lo EDPB rileva che, in conformità dell'articolo 24 del regolamento, i controlli di temperatura compiuti su base obbligatoria non dovrebbero essere basati esclusivamente su un trattamento automatizzato; la macchina che rileva la temperatura e sceglie in automatico chi far entrare in azienda o meno, potrebbe infatti infierire sui diritti degli interessati in maniera significativa. È quindi opportuno prevedere in ogni caso il coinvolgimento umano per stadi rilevanti del controllo, utilizzando misure tecniche e organizzative adeguate in grado di assicurare protezione ai dati e soprattutto trasparenza nei confronti delle persone. A tale riguardo, sempre il Comitato europeo, ha precisato che attualmente non esiste una legge dell'Unione che, ai sensi dell'articolo 24, paragrafo 4, autorizzi a compiere controlli della temperatura basati esclusivamente su un trattamento automatizzato per consentire o negare l'accesso ai locali di un’organizzazione per motivi di salute e sicurezza. Pertanto, un sistema di controllo della temperatura completamente automatizzato potrebbe essere lecito solo su base volontaria, ossia con il consenso esplicito degli interessati ai sensi dell'articolo 9, paragrafo 2, lettera a), del regolamento. Secondo le linee guida dello EDPB in materia, il titolare del trattamento deve garantire che qualsiasi controllo umano nella decisione sia significativo, e quindi esso dovrebbe essere eseguito da qualcuno che abbia l'autorità e la competenza per intervenire sulla decisione.
Si consiglia, dunque, ai titolari di identificare e annotare il modo in cui avviene l’intervento umano nel processo decisionale di controllo della temperatura che vieta l’accesso e in quale fase questo avviene. Dopo il primo divieto, sarebbe opportuno un secondo o terzo controllo ad esempio di un professionista sanitario per valutare la situazione specifica dell'interessato e per informarlo e consigliarlo di conseguenza; questo iter procedurale dovrebbe far parte di una policy da conservare in azienda, rispettare e far rispettare.
Il Titolare del trattamento deve predisporre inoltre ulteriori misure di protezione tecniche e organizzative in base alle capacità di trattamento del sistema utilizzato per controllare la temperatura che dovrebbero essere documentate e sottoposte a verifica periodica.
I sistemi per eseguire i controlli della temperatura corporea dovrebbero operare in modo indipendente, non dovrebbero essere collegati a nessun altro sistema informatico.
Il titolare del trattamento deve poi accertarsi che lo sviluppatore che interviene per verificare il corretto funzionamento del software, non abbia accesso ad alcun dato. L'intero ciclo di vita dei dati deve essere verificato, al fine di accertarsi che non si verifichi alcuna registrazione o archiviazione.
Infine, fondamentale è in ogni caso essere trasparenti con le persone che accedono ai locali aziendali. Qualsiasi soggetto che varca la soglia d’ingresso dove è posizionato lo strumento di misurazione della temperatura, deve essere chiaramente informato che è in azione un sistema di controllo della temperatura con una chiara indicazione del motivo di tale controllo e del titolare del trattamento. Le informazioni sui controlli della temperatura dovrebbero essere segnalate chiaramente e posizionate così da renderle ben visibili, in modo che tutti possano prenderne facilmente visione.
Qualora la misurazione dia un risultato superiore alla soglia, dovrebbe essere messa in atto una procedura di follow-up adeguata che dovrebbe essere racchiusa in una policy aziendale.
Concludendo, se la persona a cui viene negato l'accesso richiede una prova di tale diniego, occorrerebbe fornire una ricevuta con la data, l'ora e il luogo del controllo e i motivi del diniego.