Normative

La nuova dimensione del contesto lavorativo: il rilevamento della temperatura corporea e la disciplina della protezione dei dati personali

La regola è quella di rilevare la temperatura ma non di registrare il dato, con possibilità di identificazione dell’interessato e di registrazione del superamento della soglia di temperatura “solo qualora” sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali

Pubblicato il 31 Lug 2020

Francesco Aliperti

Avvocato, specialist in Legal Professions, Ph.D in Private Law

Il contesto lavorativo, a causa dell’emergenza sanitaria dovuta al Covid-19, approda in una nuova dimensione e vede l’emergere di nuovi modelli organizzativi per la ripresa in sicurezza delle attività produttive. Nuove sfide attendono la protezione dei dati personali, soprattutto in un contesto che vede un massiccio impiego delle nuove tecnologie. In particolare, tra le misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, è previsto il rilevamento della temperatura corporea. Di qui la necessità di un trattamento dei dati personali nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.

La nuova dimensione del contesto lavorativo e l’esigenza di nuovi modelli organizzativi

L’emergenza sanitaria dovuta al Covid-19 (il c.d. lockdown) ha reso necessario la progettazione di un nuovo modo di lavorare, nettamente diverso da quello al quale si era abituati prima. Una nuova dimensione del contesto lavorativo e nuovi modelli organizzativi si affacciano nel contesto aziendale (sia pubblico che privato) ponendo nuove sfide sul terreno della protezione delle persone fisiche con riguardo al trattamento dei dati personali.

WHITEPAPER
Password e sicurezza: come creare parole-chiave inviolabili ma facili da ricordare
Smart Contract
Privacy/Compliance

In detto contesto emergenziale, l’autorità di controllo italiana (con un comunicato del 2 marzo) interveniva per stigmatizzare «iniziative “fai da te” nella raccolta dei dati», invitando ad attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti.

Allo stesso modo, il Comitato europeo per la protezione dei dati (EDPB) – con la Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 del 19 marzo – forniva importanti indicazioni ai datori di lavoro-titolari del trattamento (v. punto 1.2 e 4, specificamente dedicati al contesto lavorativo). Con particolare riguardo al «trattamento di categorie particolari di dati personali», se esso di regola è vietato (ex art. 9, par. 1 GDPR) esistono, però, varie eccezioni (come indicate nel paragrafo 2, del medesimo articolo 9) che, appunto, ne legittimano il trattamento, ad esempio «se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell’Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2.c), poiché il considerando 46 fa esplicito riferimento al controllo di un’epidemia.» (così EDPB, Dichiarazione sul trattamento, cit.).

D’altra parte, ed è sempre importante ricordarlo, il Regolamento (UE) 679/2016 prevede che la protezione dei dati personali sia un diritto fondamentale ma, al contempo, chiarisce come tale diritto non sia una prerogativa assoluta, in quanto dev’essere considerato alla luce della sua funzione sociale e, quindi, contemperato con altri diritti fondamentali, in ossequio al “principio di proporzionalità” (così anche, prima del Reg. cit., Corte di Giustizia UE). Tanto ciò è vero, infatti, che il Comitato europeo per la protezione dei dati ha evidenziato che “l’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza” (così EDPB, Dichiarazione sul trattamento, cit.).

Esigenza di un quadro solido in materia di protezione dei dati personali

L’esigenza di un quadro solido e coerente in materia di protezione dei dati personali, affiancato da efficaci misure di attuazione, nasce dalla presa di coscienza della rapidità dell’evoluzione tecnologica e, con essa, dell’aumento della condivisione e della raccolta di dati personali, vista l’importanza di creare quel clima di fiducia atto a consentire lo sviluppo dell’economia digitale in tutto il mercato interno; di qui la necessità che le persone fisiche abbiano il controllo dei dati personali che le riguardano.

Occorre, allora, proteggere le persone con riguardo al trattamento dei dati di carattere personale, poiché determinati trattamenti comportano rischi (a volte, anche “elevati”) per i diritti e le libertà delle persone stesse.

A titolo esemplificativo, processi decisionali automatizzati possono dar luogo a decisioni ingiuste (perché nessuna persona è esattamente identica a un’altra, e nessun sistema sarebbe in grado di conoscere tutto di ogni persona, o almeno ciò è auspicabile) oppure il monitoraggio sistematico delle persone in luoghi pubblici può avere effetti paralizzanti sull’esercizio di diritti fondamentali come la libertà di espressione, associazione e protesta.

Per questo, circa gli “algoritmi”, ad esempio, è importante non trascurare il fatto che essi devono essere verificabili e devono essere soggetti a un riesame periodico da parte di esperti indipendenti. Se, poi, pensiamo alla possibilità di erronei rilevamenti della temperatura corporea, con consequenziale isolamento momentaneo e/o denegato accesso al luogo di lavoro, capiamo bene come sia indispensabile poter effettuare controlli e/o ripetizioni del rilevamento e, quindi, correzioni, rettifiche, aggiornamenti dei dati e/o dei risultati.

Questa esigenza di garantire la liceità del trattamento di dati personali, unitamente alla necessità di controllo sui sugli stessi, è stata amplificata dall’emergenza in atto che, appunto, sta richiedendo un massiccio impiego delle nuove tecnologie, con lo scopo di riorganizzare in sicurezza le attività aziendali e gestire la c.d. fase 2.

Svolgimento in sicurezza delle attività produttive: il rilevamento della temperatura corporea

È ormai noto come lo svolgimento in sicurezza delle attività produttive (industriali e commerciali) sia un elemento caratterizzante della ripresa economica (non potendo esserci ripresa senza sicurezza), per il quale sono necessarie misure di contenimento del contagio tali da assicurare adeguati livelli di protezione.

Tra le misure in argomento, l’art. 2 del D.P.C.M. 26 aprile 2020 (che apre alla c.d. fase 2) prevede che le imprese, le cui attività non siano sospese, debbano rispettare il protocollo condiviso (ossia l’accordo da esse firmato con i sindacati, d’intesa con il Governo) del 14 marzo, poi integrato il 24 aprile e inserito nel come allegato nel citato D.P.C.M. [allegato n. 6; così come, per il lavoro nel settore dei cantieri, il protocollo condiviso di cui all’allegato 7 e, per il lavoro nel settore del trasporto e della logistica, il protocollo condiviso del 20 marzo 2020, di cui all’allegato 8]. L’ultimo periodo dell’art. 2 in commento stabilisce che: «[l]a mancata attuazione dei protocolli che non assicuri adeguati livelli di protezione determina la sospensione dell’attività fino al ripristino delle condizioni di sicurezza.».

Il Protocollo del 14 marzo (poi integrato il 24 aprile) all’art. 2, nel prevedere le modalità di ingresso in azienda, sancisce che: «[i]l personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro»; così preferendosi la rilevazione su base volontaria da parte del datore di lavoro il personale. Per i cantieri edili, invece, il relativo Protocollo prevede l’obbligatorietà del controllo della temperatura corporea prima dell’accesso al cantiere.

Poiché la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali, essa deve avvenire ai sensi della disciplina privacy vigente. Pertanto la regola (cfr. nota 1) è quella di rilevare la temperatura ma non di registrare il dato, con possibilità di identificazione dell’interessato e di registrazione del superamento della soglia di temperatura «solo qualora» sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali; dovrà essere fornita l’informativa sul trattamento dei dati personali (anche orale e con possibilità di omettere le informazioni di cui l’interessato è già in possesso) di cui se ne suggeriscono e descrivono i contenuti, quali: finalità e base giuridica del trattamento e durata della conservazione che non potrà che coincidere con il termine dello stato di emergenza (d’altronde, come anche affermato dall’EDPB – v. Dichiarazione di cui sopra – «[l]’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.»).

Del resto il Garante per la protezione dei dati personali, con le FAQ pubblicate il 4 maggio (con le quali ha fornito chiarimenti e indicazioni per le pubbliche amministrazioni e per le imprese private) interviene affermando che: «è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro», in quanto occorre rispettare il principio di “minimizzazione” [art. 5, par.1, lett. c) GDPR], dal quale discende l’(ulteriore) obbligo […] «di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario.» (considerando 39 GDPR). Nel caso in cui, invece, la temperatura corporea venga rilevata a clienti o visitatori occasionali, il Garante evidenzia che: «anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.».

Il superamento della temperatura può comportare, oltre al mancato accesso al luogo di lavoro, anche l’isolamento momentaneo e, quindi, precisa sempre il Protocollo, occorre assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.

Definizione delle misure di sicurezza

Altro aspetto particolarmente importante è quello riguardante la definizione delle misure di sicurezza e organizzative adeguate a proteggere i dati, sempre suggerito dal protocollo.

Come noto, il GDPR pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR stesso (cfr. la Guida all’applicazione del Regolamento europeo dal Garante). Si tratta di una grande novità per la protezione dei dati, secondo un’impostazione che concede maggiore libertà, ma anche più responsabilità. Molto importante sarà il ruolo del DPO (ove nominato perché obbligatorio o perché ritenuto necessario su base volontaria), quale persona che abbia una conoscenza specialistica della normativa, delle pratiche in materia di protezione dei dati e dei problemi dell’organismo presso cui lavora [c.d. idea di prossimità; cfr. GEPD, Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001].

In particolare, precisa il Protocollo, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. Ergo, il titolare del trattamento dovrà individuare le persone autorizzate (ex artt. 29 GDPR e 2-quaterdecies d.lgs. 196/2003, introdotto dal d.lgs. 101/2018) che agiranno sotto la sua diretta autorità e istruirli.

Verso altri e nuovi scenari

Al fine di garantire ai dipendenti delle aziende un rientro sicuro al lavoro, società specializzate nella digital transformation stanno già iniziando a implementare soluzioni tecnologiche che, sfruttando algoritmi di intelligenza artificiale, attingeranno una serie di dati forniti dal dipendente, tra i quali la temperatura corporea (ovviamente rilevata all’ingresso degli uffici e registrata solo se superiore ai 37,5°) e li incroceranno con altre informazioni.

La Siemens Smart Infrastructure, invece, ha progettato Siveillance Thermal Shield  al fine di misurare, fino a due metri di distanza e in un punto vicino agli occhi, la temperatura corporea delle persone che accedono ad uno stabilimento produttivo. Se la termocamera identifica una temperatura più elevata della soglia definita, si attivano allarmi visivi e acustici; poi, per una conferma definitiva della rilevazione, si effettua una seconda lettura tramite l’impiego di un termometro medico.

In questo contesto l’indagine si sposterà anche sulla definizione dei rapporti tra titolare e responsabile del trattamento in ossequio al dettato dell’art. 28 e del considerando 81 del GDPR. Così come potrebbe nascere l’obbligatorietà della valutazione d’impatto al ricorrere dei presupposti dell’art. 35 GDPR.

Conclusioni

L’avanzata delle nuove tecnologie non può e non deve essere fermata, né tanto meno ostacolata, ma deve essere indagata per poi essere regolata a garanzia di tutti. È chiaro come il progresso tecnologico non possa assolutamente sopprimere valori costituzionali supremi (in primis la dignità umana, ad esempio). L’eventuale mancanza di controllo (o una cattiva gestione) nel suo dipanarsi potrebbe comportare il serio rischio di un annullamento delle conquiste in tema di diritti fondamentali della persona. Questi devono sempre rappresentare la cornice nella quale disegnare, e ancor prima immaginare, lo sviluppo delle nuove tecnologie.

WHITEPAPER
Tutti gli step per alzare il livello di sicurezza in azienda: una guida completa!
Cybersecurity

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Francesco Aliperti
Avvocato, specialist in Legal Professions, Ph.D in Private Law
Argomenti trattati

Approfondimenti

C
coronavirus
C
covid-19
D
data protection

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Link