Termocamere e sistemi di rilevamento della temperatura corporea: regole di conformità al GDPR - Cyber Security 360

ADEMPIMENTI PRIVACY

Termocamere e sistemi di rilevamento della temperatura corporea: regole di conformità al GDPR

Tra le misure di contenimento del rischio di contagio proposte nella delicata fase 2 dell’emergenza sanitaria nazionale vi sono le termocamere per il controllo dell’accesso ai luoghi pubblici e privati. Ecco le regole conformità con la disciplina privacy e le implicazioni sotto tale rilevante profilo

04 Giu 2020
M
Marco Martorana

Avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017


L’emergenza Covid-19 ha sicuramente determinato l’aumento del ricorso a misure di sicurezza a tutela della salute delle persone richieste espressamente dai Decreti Ministeriali: nel quadro degli strumenti messi a disposizione per il rilivamento della temperatura corporea vi rientrano le termocamere, le telecamere IoT, i termoscanner manuali e i termometri ad infrarossi.

Una variegata gamma di dispositivi ad alta tecnologia che presentano l’utilità primaria di rilevare la temperatura evitando il più possibile il contatto ravvicinato con l’operatore che effettua il servizio in questione.

In generale, tali dispositivi digitali incorporano due telecamere con le quali si ottiene sia il rilevamento di dati biometrici (tratti del volto) che quello proprio della misurazione della febbre.

Requisito irrinunciabile è rappresentato dalla conformità di tutti i dispositivi adottati alla disciplina di tutela della privacy di cui al GDPR. Risulta infatti di estrema importanza il coinvolgimento nella struttura interna dell’azienda di consulenti privacy o di un Data Protection Officer (DPO) per dare vita al Protocollo Covid-19. Difatti, tali strumenti digitali coinvolgono il trattamento dei dati personali, sanitari e biometrici.

Risulta dunque necessario che le aziende si tutelino già al momento della scelta nell’acquisto o meno di strumenti di prevenzione Covid-19 come le termocamere. Inoltre, i DPO e i consulenti privacy potranno attraverso il proprio affiancamento all’azienda diffondere la consapevolezza circa l’importanza di applicare la normativa privacy e di osservarla costantemente specie nelle decisioni che comportino l’installazione di nuovi strumenti digitali.

Termocamere: gli utilizzi negli ambienti lavorativi

Come anticipato, il monitoraggio dell’accesso ad ambienti pubblici e privati mediante termocamere rappresenta la condizione necessaria al fine di limitare il rischio del contagio da Covid-19.

Gli strumenti a disposizione sul mercato sono più o meno efficaci e presentano caratteristiche distinte. Per esempio, la misurazione termica svolta con un normale termometro a infrarossi presenta caratteristiche peggiori in termini di funzionalità e tempistiche di utilizzo rispetto alle termocamere, il cui utilizzo non presenta particolari complessità ed è celere anche nel procedimento della misurazione. Infatti, con le termocamere è garantito il distanziamento sociale innanzitutto.

Possono essere fisse o portatili e dotate o meno di doppia focale. In quest’ultimo caso, l’apparecchio è in grado di memorizzare i volti dei soggetti anche in gruppi ed in movimento.

È opinione diffusa, inoltre, quella secondo cui la misurazione della temperatura corporea con tale tipologia di strumenti abbia un margine di errore di 0,5 gradi; inoltre, al superamento della temperatura il dispositivo emette un suono di allarme rendendo così più semplice il ruolo dell’operatore che è subito allertato.

Regole generali da osservare da parte dei titolari di aziende

I consulenti privacy rivestono un ruolo molto importante per controllare la corretta osservanza delle regole del protocollo Covid-19. In generale, preme sottolineare l’importanza del rispetto di una serie di regole destinate a divenire prassi.

Innanzitutto, specie all’interno delle aziende sarà necessario suddividere i soggetti dipendenti dai visitatori occasionali (o clienti di passaggio). Sicuramente, i lavoratori dipendenti dovranno essere informati che l’accesso alla struttura sarà subordinato al rilevamento della temperatura con l’impiego di appositi nuovi strumenti digitali. La stessa comunicazione dovrà essere fornita ai visitatori occasionali tramite avvisi, ad esempio, affissi nelle pareti dell’azienda e ben esposti. Essi, infatti, devono sapere che l’accesso sarà negato qualora il livello di temperatura superi i 37,5°.

Altro aspetto di non poco conto da ricordare è quello di preferire lo svolgimento dell’attività di rilevamento della temperatura da parte di soggetti specificamente individuati e magari dotati di competenze nel settore sanitario.

La rilevazione della temperatura per l’attuazione dei protocolli anti contagio espone gli interessati a significativi rischio di discriminazioni con possibili ripercussioni sui relativi diritti e libertà.

La temperatura superiore ai 37,5 gradi può essere infatti non costituisce un elemento univocamente riconducibile all’infezione Covid-19, potendo bensì essere un sintomo di una comune patologia influenzale, o addirittura rappresentare l’ordinaria temperatura di uno specifico soggetto, o addirittura dipendere da una taratura errata dell’apparecchio.

Per tale motivo la presenza del personale sanitario appositamente formato dovrebbe permettere, ove possibile, la riduzione delle possibili ripercussioni discriminatorie della rilevazione della temperatura sull’interessato (ed esempio verificando eventuali problemi tecnici del dispositivo utilizzato).

Oltre ad avere apposite conoscenze in ambito sanitario detti soggetti incaricati dovranno essere al corrente e preparati in merito alle procedure da attuare sia per la misurazione della temperatura sia, al contempo, delle modalità di trattamento dei dati sanitari. A tal riguardo, deve essere resa informativa circa l’eventuale conservazione dei dati.

Doveri dei titolari del trattamento in aziende dotate di termocamere

Qualora l’azienda abbia optato per l’impiego della termocamera al fine di valutare l’accesso giornaliero dei propri dipendenti nel luogo di lavoro (o del personale esterno) essa dovrà adottare ulteriori accorgimenti in aggiunta a quelli fin qui richiamati.

Innanzitutto, il titolare dovrà ben conoscere le caratteristiche dello strumento acquistato per misurare la temperatura; egli, inoltre, sarà tenuto a determinare la base giuridica da utilizzare per il suo utilizzo; dovrà, poi, tenere aggiornato il registro dei trattamenti.

Ed ancora, laddove venga superata la soglia dei 37,5° nella misurazione della temperatura, dovrà aver impartito dettagliate e precise regole da attuare. In conclusione, il titolare dovrà diffondere un’informativa precisa e chiara oltre ad un processo di trattamento dei dati rilevati predefinito.

Sempre a tal proposito, ricordiamo come il “Protocollo condiviso di regolarizzazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, intercorso tra Governo e parti sociali, prevede che il datore di lavoro informi i propri lavoratori circa “la consapevolezza e l’accettazione del fatto di non poter fare ingresso in azienda e di doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc.) in cui i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio”.

New call-to-action

Termocamere basate su processo decisionale automatizzato

È opportuno segnalare la diffusione sempre più capillare di tecnologie automatizzate di regolazione del controllo degli accessi mediante rilevazione della temperatura corporea, verifica dell’utilizzo di mascherina e del rispetto del distanziamento sociale.

Tali strumenti permettono una interoperabilità con le porte automatiche collocate all’entrata della struttura, talvolta bloccando materialmente l’accesso del soggetto (dipendente o visitatore esterno) ai locali interni, talvolta generando una sorta di “alert” che impone l’adozione di misure quantomeno di verifica circa l’effettiva sussistenza di quei presupposti che, secondo le disposizioni normative, sono impeditive dell’accesso ai locali del titolare.

Su questo aspetto è bene rammentare quanto previsto dal GDPR all’art. 22, il quale sancisce che:

L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

È pertanto fondamentale che il processo di rilevazione della temperatura, benché automatizzato anche in forma di interoperabilità con altri dispositivi di accesso, non si concretizzi in un procedimento basato unicamente su un trattamento automatizzato, con totale assenza di qualsiasi intervento umano nel procedimento decisionale.

Pertanto, sarà ben possibile utilizzare strumenti di tipo automatizzato per la regolamentazione degli accessi attraverso la rilevazione della temperatura corporea (riscontrandosi la relativa base giuridica nella implementazione dei protocolli anti-contagio (art. 6 par. 1 lett c)) nonché nella salvaguardia di un interesse essenziale per la vita dell’interessato o di un’altra persona fisica (art. 6 par. 1 lett c)), e ben potendo, il trattamento, riguardare anche dati di tipo “particolare” essendo il trattamento “necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9 par. 2 lett i)).

Tuttavia, sarà comunque necessario assicurare che il processo decisionale non sia “unicamente” automatizzato (non ricorrendo le condizioni contemplate al par. 2 dell’art. 22 GDPR) e che un essere umano partecipi attivamente alla fase decisionale, eventualmente attivandosi ogni volta che il sistema di rilevazione automatizzata genera un “alert” che se da un lato, inibisce momentaneamente l’accesso del soggetto ai locali interni, dall’altro deve poter garantire il coinvolgimento umano nella valutazione dei dati oggetto di rilevazione automatizzata.

Conclusione

Alla luce di quanto precede l’adozione di dispositivi per la misurazione della temperatura in ambito lavorativo e non, non può che determinare criticità laddove non sia assicurato il rispetto della disciplina in materia di privacy per la raccolta di dati personali.

Come visto, nel porre in essere le misure di sicurezza fisica relative al protocollo Covid-19 in azienda, risulta essenziale la conoscenza approfondita dei principi generali in materia di trattamento dati, oltre a quelli applicabili per i trattamenti automatizzati.

Risulta altresì importante come gli addetti alla misurazione della temperatura e al trattamento di dati personali, sensibili e biometrici, siano persone, magari interne alle aziende, dotate di specifiche conoscenze e preparazione in ambito sanitario.

Anche in un contesto emergenziale che risponde a esigenze connesse alla tutela della salute pubblica, i principi fondamentali in materia di trattamento dati rappresentano la luce guida per tutti i processi di trattamento, con particolare riferimento alle decisioni automatizzate rese dal sistema in seguito alla rilevazione di dati di tipo particolari, suscettibili di concretizzare scenari altamente discriminatori per i soggetti interessati, dal momento in cui la semplice rilevazione di una temperatura corporea superiore a 37,5 gradi, qualunque sia la causa, è suscettibile di incidere in modo significativo sull’interessato, impedendogli l’accesso a un servizio e/o inibendo la sua libertà di acquisto, di spostamento, di approvvigionamento e via dicendo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4