Il Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro prevede, tra le c.d. “Modalità di accesso in azienda”, la possibilità per il datore di lavoro di procedere al “controllo della temperatura corporea” dei dipendenti.

Abbiamo chiesto all’Avv. Angela Dell’Osso di chiarirci gli aspetti legati alla privacy e le regolamentazioni necessarie.

Come si concilia tale forma di “controllo” con i principi in materia di tutela dei dati personali?

Il 24 aprile 2020 è stato integrato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020.
Il “nuovo” Protocollo costituisce l’Allegato 6 del D.P.C.M. del 26 aprile 2020 (“Ulteriori disposizioni attuative del decreto legge 23 febbraio 2020 n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da Covid-19, applicabili sull’intero territorio nazionale”), pubblicato nella GU n.108 del 27 aprile 2020 ed efficace dal 4 maggio 2020.

Con Ordinanza della Regione Umbria n. 321 del 30.04.2020 è stato approvato il “Piano per il contenimento del contagio e la tutela della salute dei lavoratori durante l’epidemia da virus SARS-CoV2 in ambienti di lavoro non sanitari” il quale, in linea con il Protocollo citato, prevede che “il personale potrà essere sottoposto al controllo della temperatura corporea prima dell’accesso al luogo di lavoro, con conseguente divieto e invito a rientrare al proprio domicilio e a contattare il Medico di Medicina Generale qualora la temperatura sia superiore ai 37,5°”.

La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina vigente in materia.
Il Regolamento UE 2016/679 sulla Protezione dei dati personali prevede deroghe al divieto di trattamento dei dati sanitari per il contrasto delle epidemie.
Tali deroghe sono previste nel caso in cui il trattamento è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (art. 9, par. 2, lett. i) o è necessario per proteggere gli interessi vitali dell’interessato (art. 9, par.2. lett. c).
Il Considerando 46 del Regolamento UE 2016/679 considera espressamente lecito il trattamento di dati personali “necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica” riferendosi al trattamento dei dati personali necessario “per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione”.

Il Considerando 52 consente la deroga al divieto di trattare categorie particolari di dati personali “per finalità di sicurezza sanitaria, controllo e allerta, prevenzione o controllo di malattie trasmissibili e altre minacce gravi alla salute”.

Il Considerando 54 esclude il consenso dell’interessato per il trattamento di categorie particolari di dati personali “per motivi di interesse pubblico nei settori della sanità pubblica”.

Il Comitato Europeo per la Protezione dei dati, dal canto suo, in una nota diramata il 16 marzo 2020 ha previsto la possibilità degli Stati membri, di adottare disposizioni di emergenza finalizzate a introdurre misure nell’interesse della sicurezza nazionale e della salute pubblica, pur sempre nel rispetto dei principi di cui all’art. 5 del Regolamento UE 2016/679*.

In ossequio ai principi contenuti nell’art. 5 del Regolamento UE 2016/679, il Protocollo suggerisce al datore di lavoro, di rilevare la temperatura ma di registrare solo il superamento della soglia di 37,5°  qualora sia necessario a documentare le ragioni che hanno impedito l’accesso in azienda; di fornire  l’informativa di cui all’art 13 del Regolamento UE 2016/679, indicando come finalità del trattamento, la prevenzione dal contagio da Covid-19 e come base giuridica, l’implementazione dei protocolli di sicurezza anti contagio; di conservare i dati fino al termine dello stato d’emergenza; di definire le misure di sicurezza e organizzative adeguate a proteggere i dati; di individuare, ai sensi dell’art. 2 quaterdecies del D. Lgs. 101/2018, i dipendenti preposti al trattamento di tali dati e fornire loro le istruzioni necessarie.

Pertanto, come già il suo predecessore di marzo, il Protocollo del 24 aprile 2020 ribadisce la facoltà del datore di lavoro di rilevare la temperatura corporea all’atto dell’ingresso in azienda del dipendente.

Come già anticipato, atteso che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali, non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata bensì, nel rispetto del principio di “minimizzazione”, è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali, anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

Vi è una modalità di “rilevazione della temperatura” che rispetta le indicazioni fornite dal Garante Privacy e dalle norme in materia di protezione dei dati personali ed utilizza un particolare strumento di misurazione, noto come “termocamera”.
Si tratta di una telecamera sensibile alle radiazioni infrarosse emesse dai corpi e in grado di rilevare, senza alcun contatto, il calore emanato da un oggetto o da un essere umano e di rendere visibile, su display o monitor, la distribuzione della temperatura del corpo inquadrato.

La termo camera consente una misurazione istantanea e precisa della temperatura,bloccando l’accesso in azienda, solo al soggetto che misura una temperatura corporea superiore a 37,5°.

Un primo tipo di dispositivo sfrutta apparecchiature stand-alone e non registra l’immagine, neppure sfuocata, ma solo un evento testuale in forma anonima, senza associarlo ai dati del dipendente (es. utente 1; ore 08:32; 36.5 gradi), generando una segnalazione sonora o visiva che, in maniera automatica blocca i sistemi di accesso dell’ingresso.

In tal caso, solo il soggetto sa di avere una temperatura superiore a 37,5° che gli impedisce – come prescritto dall’Allegato 6 del D.P.C.M. del 26 aprile 2020, del cui contenuto egli è a conoscenza, giusto l’obbligo di informazione che incombe in tale senso sul datore di lavoro – di accedere in azienda e di informare immediatamente il medico di famiglia e l’Autorità Sanitaria competente.

Vi è poi una tipologia di termocamera c.d. “ibrida” che prevede la possibilità, su richiesta del datore di lavoro, di registrare l’immagine del soggetto solo in caso di superamento della soglia di 37,5° di temperatura e di conservare il dato “pseudonimizzato”, fino al termine del periodo di emergenza, al fine di documentare le ragioni che hanno impedito l’accesso.

Sotto ulteriore ma connesso profilo, giova rilevare che in entrambi i casi, la misurazione della temperatura avviene velocemente e senza contatto tra soggetti, evitando il rischio di trasmissione di agenti patogeni. Tale aspetto non è di poco conto. La storia degli ultimi mesi ci ha insegnato che il Covid-19, virus responsabile dell’emergenza in corso, è facilmente trasmissibile; ragion per cui, la gestione e il controllo dei contagi risulta, al momento, di vitale importanza per evitare l’ulteriore diffusione della malattia.

Ed un forte aiuto, in tal senso, può essere fornito proprio dai dispositivi di rilevazione della temperatura corporea, di cui mi sento di consigliare fortemente l’utilizzo.

ARTICOLI CORRELATI DI APPROFONDIMENTO:
Termocamera e coronavirus: azienda umbra ha la sua soluzione

*Note Articolo 5
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; …….(“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati … (“limitazione della conservazione”);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)