LOTTA ALLA COVID-19

Privacy e rilevamento della temperatura corporea in Fase 2: regole di accountability

La Fase 2 dell’emergenza coronavirus richiede una specifica riorganizzazione delle attività aziendali con particolare attenzione sul piano privacy relativamente al rilevamento della temperatura corporea mediante termoscanner. Ecco alcuni indirizzi appropriati per il corretto trattamento dei dati personali

12 Mag 2020
C
Giuseppe Calculli

ISMS Lead Auditor - UNI 11697 Certified DPO

T
Giuseppe Tulli

Data governance - UNI 11697 Certified DPO


Con lo scopo di riorganizzare le attività aziendali e gestire la Fase 2 dell’emergenza Covid-19, emerge la necessità di disporre misure atte a garantire la salute negli ambienti di lavoro. In tal senso, è utile affrontare quegli elementi da considerare con una specificità sul piano privacy e nella fattispecie dell’allestimento del rilevamento della temperatura corporea mediante termoscanner.

Già nel corso dell’attuale e profonda crisi sanitaria significativi interventi a livello europeo e nazionale hanno specificato indirizzi appropriati nell’ambito del trattamento dei dati in relazione alla gestione pandemica Covid-19.

Segnaliamo, tra gli altri, che il Garante aveva esordito scoraggiando gli approcci di privacy “fai fa te”, in relazione ad alcune iniziative imprenditoriali, ma è l’intervento del legislatore italiano espresso nell’art. 14 del D.L. 14/2020 (il cui testo è confluito nell’art. 17-bis del D.L. 18/2020) che chiarisce chi sono i soggetti autorizzati a monitorare e a garantire l’esecuzione delle misure disposte, nonché richiamato l’applicazione dei principi del GDPR e della trasparenza nel rispetto degli interessati.

Privacy e rilevamento della temperatura corporea: modalità

All’interno del piano emergenza Covid-19, il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus negli ambienti di lavoro, siglato il 14 marzo 2020, interamente recepito nel Dpcm 22 marzo 2020 e successivamente integrato nell’aggiornamento del 24 aprile 2020 sempre condiviso con le Parti Sociali, ha introdotto, infatti, questa pratica della temperatura corporea: “il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°C l’ingresso ai luoghi di lavoro non sarà consentito”.

Contrariamente ai cantieri edili in cui la misurazione della temperatura corporea di chi vi entra è obbligatoria così come stabilito dal Protocollo condiviso tra Ministero delle Infrastrutture e Trasporti con le Parti Sociali, negli altri casi tale rilevazione può essere applicata su base volontaria dal datore di lavoro, cioè il soggetto pubblico e privato in relazione agli elementi e risvolti sul piano antinfortunistico e privacy. Questioni inerenti agli accertamenti sanitari, più strettamente legati alla disciplina giuslavoristica in senso stretto, ma soprattutto quelli in tema di privacy dei soggetti; il divieto di accertamenti sanitari diretti in primo luogo.

Nella nota esplicativa (Nota 1) del Protocollo condiviso del 14 marzo/24 aprile 2020 si stabilisce espressamente che “la rilevazione in tempo reale della temperatura corporea costituisce un trattamento dei dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”.

Introduce, tale nota, ulteriori suggerimenti per la registrazione di detti dati; peraltro, recepisce il provvedimento del Garante Privacy del 02 marzo 2020, nel quale viene espressamente stabilito e raccomandato di evitare controlli della temperatura indiscriminati e quindi, se del caso, di dare espressa chiara comunicazione circa i provvedimenti da adottare.

Informative e valutazione d’impatto

Di conseguenza assumono un ruolo chiave in applicazione dei principi del GDPR e della trasparenza nel rispetto degli interessati, le informative privacy da adottare e la valutazione d’impatto del trattamento per garantire riservatezza e dignità nell’effettuare le operazioni di rilevazione del dato.

Stante in ogni caso la normativa e dottrina dello Statuto dei Lavoratori e art. 8, delle tutele poste relativamente a dati non necessari/necessari alla gestione del rapporto di lavoro.

Si consideri che nei confronti dei lavoratori permangono problematiche inerenti al controllo e l’invasività, poiché, a prescindere o meno dall’epidemia si tratterebbe, in primo luogo, di un rischio perlopiù generico e che comunque, stante le attuali conoscenze scientifiche, ben potrebbe essere attuato anche per una semplice influenza.

Il datore di lavoro è d’altra parte obbligato, come previsto dall’art. 2087 del Codice civile e D.lgs. 81/2008, ad “adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro” e pertanto, anche avvalendosi del medico competente, ad assumere provvedimenti e controlli finalizzati alla protezione della sicurezza dei lavoratori.

Eppure, la misurazione della temperatura corporea applicate al fine di consentire l’accesso ai locali aziendali, può dirsi legittima e doverosa qualora vi sia una indicazione del medico competente, il cui ruolo s’inserisce nel quadro della sorveglianza e della valutazione dei rischi sanitari nazionali specificate nel Protocollo ed autorizzate dunque dal DPCM, insieme alle misure da adottare e le modalità della loro implementazione.

Si ricordi, inoltre, che il datore di lavoro ha come obbligo non delegabile, tra l’altro, la valutazione di tutti i rischi con la conseguente elaborazione del DVR; pertanto, sebbene il rischio biologico da Covid-19 sia riconosciuto come generico, in quanto statisticamente può colpire in egual misura tutta la popolazione salvo condizioni aggravanti, il datore di lavoro avrà sempre l’obbligo di dimostrare di aver fatto tutto quanto fosse nella sua facoltà – quindi anche la rilevazione della temperatura corporea in ingresso nella sua azienda – rivestendo posizione di garanzia.

È dunque in questo contesto che è inserita la misura volontaria del rilevamento della temperatura corporea che potrà avvenire anche mediante apparecchi automatici e il datore di lavoro potrà applicare previa la valutazione di impatto privacy.

Il punto 2 del Protocollo (lo stesso dicasi per l’acquisizione della autodichiarazione – di cui allo stesso punto) specifica che il datore di lavoro è il titolare del trattamento di dati personali che deve avvenire ai sensi della disciplina privacy vigente.

La raccomandazione è quella di rilevare la temperatura e non registrare il dato acquisto. La necessità d’identificare e registrare il superamento della soglia di temperatura rimane esclusivamente e necessariamente connessa con quelle di documentare le ragioni che hanno impedito l’accesso ai locali aziendali.

Privacy e rilevamento della temperatura corporea: gli autorizzati al trattamento

Risulta necessario, pertanto, individuare il personale che, come autorizzato al trattamento e previo recepimento della relativa procedura, provvederà alla misurazione della temperatura e relativa registrazione se superiore a 37,5°C.

Resta inteso che qualsiasi trattamento di dati personali particolari indispensabili per l’accesso ai fini dell’applicazione delle misure di sicurezza previste dal piano di intervento dovranno essere trattati dal medico competente, il quale, a norma dell’art. 14 del D.L. 14/2020 (e art. 17-bis del D.L. 18/2020, introdotto in sede di conversione) può comunicare al datore di lavoro l’esito delle verifiche effettuate in attuazione dei protocolli anti-contagio, coerentemente con le finalità e limiti del protocollo di sicurezza anti-contagio, nonchè nel rispetto dell’applicazione dei principi di cui all’articolo 5 del Regolamento 2016/679.

Per ciò che concerne i soggetti autorizzati all’accesso a tali dati personali e così come previsto nel Protocollo, il datore di lavoro procederà all’individuazione, nomina (eventuale aggiornamento) e istruzione specifiche fornendo perciò opportuna e adeguata informazione ai sensi dell’art. 29 del Regolamento 2016/679.

I dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo alla Covid-19).

New call-to-action

Come effettuare la rilevazione della temperatura

Altro punto cruciale è l’allestimento del luogo o la postazione ove avrà luogo il rilevamento, poiché è necessario tenere presente che in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura – quanto nella stessa predisposizione delle aree o delle postazioni atte alla misurazione – dovranno esserci modalità atte ad assicurare e “tali da garantire la riservatezza e la dignità del lavoratore”.

La rilevazione della temperatura (ma anche nel caso della richiesta della dichiarazione) comporta perciò il trattamento di dati personali – come specificato nel protocollo – per il quale è necessario:

  1. informare gli interessati;
  2. aggiornare il registro dei trattamenti;
  3. individuare gli incaricati della raccolta dati (il personale incaricato del titolare o altri);
  4. fornire istruzioni a chi è autorizzato al trattamento (per garantire la non diffusione delle informazioni), eventuale predispozione/revisione degli atti di nomina;
  5. organizzare le modalità di conservazione dei dati, predisporre le misure di sicurezza adeguate e di cancellazione dei dati al termine del trattamento.

Privacy e rilevamento della temperatura corporea: finalità e base giuridica

Dato il caso dei trattamenti di categorie particolari per il controllo dell’accesso in azienda, nel fornire informativa privacy agli interessati, si dovrà considerare e perciò specificare:

  • le finalità:
  1. prevenzione dal contagio da Covid-19;
  2. tutela della salute delle persone in azienda;
  3. collaborazione con le autorità pubbliche e, in particolare le autorità sanitarie;
  • la base giuridica che ricade nell’art. 6.1.c obbligo di legge:
  1. motivi di interesse pubblico: implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, in particolare Protocollo Condiviso 14 marzo 2020, Protocollo 24 aprile 2020 e successive integrazione e modificazioni;
  2. obbligo di legge: art. 32 Costituzione; art. 2087 c.c.; d.lgs. 81/2008 (in particolare art. 20);
  • le condizioni di deroga per il trattamento di categorie particolari di dati: ricadono nell’ambito delle implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art 1 n. 7 lett d) del DCPM del 11 marzo;
  • il tempo di conservazione è limitato alla conclusione dell’emergenza, ma è ragionevole prevedere un periodo più ampio, sopratttutto, in relazione alle alle operazioni di cancellazione;
  • la comunicazione dei dati: è prevista solo all’autorità sanitaria per comunicare una specifica situazione di rischio e nel caso del committente in presenza di lavoratori positivi.

L’informativa necessita di ulteriore specifica (non solo rispetto a destinatari, tutele e ai dati del titolare e responsabile) relativamente alle conseguenze in caso di rifiuto di rilevamento o di fornitura dei dati, in quanto, sarà vietato l’accesso ai locali aziendali e la permanenza negli stessi.

Nonché, rispetto ai dati raccolti in linea col protocollo: temperatura corporea rilevata in tempo reale, automatizzata/non automatizzata, senza registrazione o conservazione; dati identificativi e registrazione del superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali o la permanenza negli stessi.

Il rispetto del principio di privacy by design

In definitiva, tutto quanto esposto in precedenza identifica uno dei principi fondamentali in ambito GDPR e cioè di privacy by design previsto dall’articolo 25 del Regolamento Ue 679/2016.

Infatti, il ragionamento sulla prevenzione dei rischi sui dati raccolti è la base su cui progettare la procedura sia organizzativa che tecnica sulla rilevazione della temperatura corporea.

Inoltre, raccogliendo esclusivamente i dati strettamente necessari, adeguati e pertinenti rispetto alla finalità di prevenzione del contagio da Covid-19, vi è il pieno rispetto del principio di minimizzazione che viene comunque rispettato anche chiedendo solamente la dichiarazione dall’interessato di eventuali contatti stretti con soggetti risultati CoViD-19 positivi e della zona di provenienza.

Si rende, infine, necessario richiamare l’attenzione sulla qualità dei misuratori della temperatura corporea che saranno impiegati.

Tali termometri dovranno essere:

  • marcati CE come da Regolamento Dispositivi Medici UE 2017/754 (MDR), che abroga dal 26.05.2020 la Direttiva 93/42/CEE (MDD) e s.m.i. entrata in vigore il 25.05.2017;
  • conformi agli standard EN 80601-2:2009 – Apparecchi elettromedicali Parte 2: Prescrizioni particolari relative alla sicurezza fondamentale e alle prestazioni essenziali dei termografi di controllo per la verifica della temperatura febbrile umana.

Si tenga presente che i comuni apparecchi termografi ad infrarossi ad uso professionale e/o industriale, pertanto, non configurabili come elettro-medicali, non possono essere considerati affidabili per misurare la temperatura corporea, in quanto la tolleranza della misurazione è sicuramente diversa rispetto agli elettro-medicali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3