Nell’attuale contesto di grave emergenza dovuta alla diffusione del coronavirus si sono susseguiti numerosi provvedimenti e normative che hanno il comune obiettivo di regolare le attività quotidiane e lavorative in modo tale da ridurre al minimo il rischio di contagio. Tra queste misure ve ne sono alcune finalizzate a regolare gli accessi in luoghi chiusi in cui può essere difficile mantenere la distanza di sicurezza ai soggetti che sono stati potenzialmente contagiati.
Uno dei primi provvedimenti in questo senso è il DPCM dell’11 marzo 2020 il quale ha definito la necessità che nell’ambito delle attività produttive siano assunti protocolli di sicurezza anti-contagio (art. 1, n. 7, lett. d) e che ha poi rinviato la definizione delle misure a successive intese. Dopo pochi giorni, è stato quindi pubblicato il Protocollo del 14 marzo 2020 che è stato poi aggiornato con il Protocollo del 24 aprile 2020 che sul fronte privacy non introduce modificazioni. Entrambi i Protocolli nel paragrafo relativo alle “Modalità di ingresso in azienda” ipotizza di sottoporre a verifica della temperatura corporea le persone che accedono all’azienda e, eventualmente, di raccogliere dichiarazioni su eventuali sintomi influenzali, sulla frequentazione di zone a rischio e su contatti con soggetti contagiati.
L’obiettivo di queste soluzioni è quello di bilanciare l’esigenza di contenere il contagio con la necessità di mantenere l’operatività economica delle aziende che, in quanto essenziali, non hanno mai sospeso la propria attività. È peraltro estremamente probabile che misure analoghe dovranno poi essere assunte da tutte le aziende che via via saranno autorizzate a riprendere l’attività nei prossimi mesi.
Le cautele e i controlli potranno riguardare non solo il personale dipendente ma anche i clienti e i visitatori; ed, anzi, alcuni esercizi commerciali hanno già iniziato a mettere in piedi controlli sulla temperatura corporea, talvolta con modalità improvvisate e non rispettose di altre regole.
Tra le regole da tenere in considerazione rientrano certamente quelle relative alla tutela della privacy ed al rispetto del GDPR.
Ma la misurazione della temperatura è compatibile con la privacy e il GDPR?
La risposta ovviamente è piuttosto articolata. La privacy non può essere un ostacolo all’adozione di misure e procedure di sicurezza anticontagio ma impone al titolare del trattamento di svolgere la propria attività in modo conforme alle regole del GDPR.
Quello che è certo è che la misurazione della temperatura corporea comporta un trattamento di dati e potenzialmente di dati sensibili (così come molte altre misure anticontagio).
Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 24 aprile 2020 (così come quello del 14 marzo) include al suo interno alcune riflessioni in merito alla privacy. È evidente che tale protocollo non è una fonte idonea a fornire interpretazioni sulla normativa privacy, ciononostante le indicazioni ivi contenute sono molto utili per capire in generale come viene gestita la questione privacy, e questo è rilevante anche sotto il profilo della cd. accountability.
Le fonti normative sono le disposizioni del Regolamento Europeo (GDPR) e la disciplina italiana: si tratta di regole che sono dotate di flessibilità sufficiente per fornire prescrizioni adeguate anche al caso di specie. Tali norme vanno poi interpretate alla luce delle ulteriori considerazioni da parte del Garante della Privacy italiano e delle Autorità Europee. Il Garante, proprio in relazione all’attuale emergenza, ha già avuto modo di chiarire che “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. Anche l’EDPB (massima autorità europea in tema di privacy) si è espresso sulla gestione delle verifiche connesse al contenimento del contagio con la dichiarazione adottata il 19 precisando che “Le norme in materia di protezione dei dati (come il regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus”.
In tale contesto il titolare del trattamento (l’azienda che decide di effettuare il controllo della temperatura) deve operare nell’ambito della accountability che è uno dei pilastri principali del GDPR. Ciò significa che il titolare ha un certo margine di discrezionalità rispetto alle scelte operative ma è responsabile delle scelte che opera nell’ambito della gestione di questi dati e di tali scelte sarà poi chiamato a rispondere in sede di ispezione.
Altri principi fondamentali nella definizione delle modalità di trattamento sono quali la liceità del trattamento, la proporzionalità e minimizzazione, oltre al rispetto dei diritti degli interessati ed in particolare il diritto all’informazione; tali aspetti saranno oggetto di analisi specifica nel seguito.
1. Finalità del trattamento
La finalità dei trattamenti in esame è sempre quella di prevenire il contagio da Covid-19 all’interno dei locali aziendali impedendo l’accesso a persone che sono identificate come potenzialmente contagiose. Nel dettaglio è possibile individuare una finalità ultima e mediata che è rappresentata dal contenimento del contagio e una finalità diretta e immediata del trattamento che consiste nell’impedire a persone con la febbre (o con altri indici di malattia) l’accesso ai locali.
Definita così la finalità, il titolare del trattamento dovrà fare in modo che i dati siano gestiti in modo proporzionato ad essa e quindi che il trattamento sia limitato a quanto strettamente necessario a tal fine.
2. Condizioni di liceità del trattamento
Il GDPR stabilisce che è vietato trattare i dati a meno che non ricorrano specifiche condizioni (condizioni di liceità o base legale). Quindi, per verificare se il trattamento è lecito occorre nello specifico individuare se esso è sorretto da un’adeguata base legale.
A tal proposito possono trovare applicazione, a seconda dei casi, diverse disposizioni dell’art. 6 del GDPR: l’art. 6.1.a (consenso espresso dell’interessato), l’art. 6.1.c (obbligo legale), l’art. 6.1.d (salvaguardia di un interesse vitale) o l’art. 6.1.f (legittimo interesse del titolare del trattamento o dell’interessato).
Inoltre, i dati sanitari rientrano tra le particolari categorie di dati che sono considerati sensibili. Quindi, se sono trattati dati di questo tipo le condizioni di liceità definite dal GDPR sono ancora più restrittive. Il trattamento può essere comunque lecito se rientra nell’eccezione di cui all’art. 9.2.a (l’interessato ha prestato il proprio consenso esplicito al trattamento), oppure nell’art. 9.2.c (il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso) oppure nell’art. 9.2.g (il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato), o, ancora, nell’art. 9.2.i (il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero).
Individuare la base di liceità del trattamento è estremamente importante anche nel caso di specie in quanto permette di distinguere tra un trattamento astrattamente lecito (salvo verificarne poi le modalità) e un trattamento fondamentalmente illecito.
3. Modalità del trattamento, proporzionalità e minimizzazione
Si tratta principi di massima importanza nell’ambito della gestione dei dati personali e della conformità al GDPR ed alle altre normative privacy. Il trattamento deve essere in ogni sua componente proporzionato alla finalità lecitamente perseguita e deve essere minimizzato, ossia limitato a quanto strettamente necessario.
Su tale punto si è recentemente soffermato il Comitato europeo per la protezione dei dati (EDPB) nella dichiarazione del 19 marzo 2020 proprio in relazione al trattamento dei dati personali ai fini del contenimento del contagio. In tale dichiarazione l’EDPB ha precisato che “l’applicazione dei principi di proporzionalità e minimizzazione dei dati è qui particolarmente rilevante”.
Tali principi hanno effetto diretto sulla quantità e tipologia di dati che è possibile trattare, sulle modalità del trattamento, sulle persone che si occupano della gestione dei dati o che comunque vi hanno accesso, sui tempi per i quali vengono trattenuti i dati, sulle misure di sicurezza definite.
Si tratta di aspetti che devono essere valutati con attenzione in relazione alle specifiche modalità di trattamento individuate di volta in volta dal titolare in una attività essenziale al fine di operare in conformità al GDPR.
È comunque possibile definire di seguito alcuni esempi di accorgimenti e di valutazioni che dovranno certamente essere eseguite se si intende misurare la temperatura corporea di chi accede ai locali aziendali:
– Dati trattati: possono essere trattati solamente i dati necessari per le finalità individuate e quindi solo quanto indispensabile per le operazioni di verifica e di ingresso nei locali. Per esempio se la finalità è solo impedire l’accesso a chi ha la febbre allora i relativi dati andranno subito cancellati e non registrati.
– Persone che accedono ai dati: possono accedere ai dati solo gli addetti che ne hanno necessità (need-to-know). I dati devono quindi essere gestiti e registrati in modo tale da limitare al massimo la possibilità di accesso e visualizzazione (ed ovviamente di modificazione) ed esclusivamente da personale adeguatamente istruito in relazione alle modalità di trattamento. Per esempio potranno vedere i risultati della misurazione gli addetti al controllo degli ingressi ma la visione dei dati non dovrà essere permessa agli altri dipendenti. Occorrerà inoltre valutare l’ipotesi che i soggetti che si occupano della misurazione abbiano adeguate competenze sanitarie.
– Tempi di cancellazione: possono essere trattenuti i dati solo per il tempo strettamente necessario in funzione delle finalità. Il Protocollo del 24 aprile 2020 (analogamente al precedente del 14 marzo) suggerisce come termine ultimo la fine dello stato di emergenza: questo non significa che si possano trattenere i dati così a lungo perché è sempre necessario che i tempi siano sempre valutati in relazione alle finalità del trattamento. Se, per esempio, la misurazione serve solo per impedire l’accesso sul momento i dati andranno subito cancellati, se, invece, si vuole impedire che la stessa persona possa accedere nei giorni successivi allora si potrà valutare di mantenere il dato per tale ulteriore periodo.
– Strumenti per il trattamento: anche gli strumenti utilizzati per il trattamento dovranno essere idonei a garantire la correttezza e la sicurezza dei dati.
– Modalità e sicurezza del trattamento: il titolare del trattamento che si trova a gestire i dati relativi alla misurazione della temperatura deve adottare soluzioni tali da garantire il rispetto della riservatezza e dignità degli interessati e misure di sicurezza adeguate rispetto alla tipologia di dati trattati ed ai rischi connessi. L’azienda sarà quindi tenuta a valutare con estrema attenzione tutte le fasi del trattamento al fine di evitare rischi quali la diffusione indesiderata dei dati. Tali misure vanno da quelle più strettamente pratiche per tutelare la riservatezza nel momento della misurazione (evitare allarmi sonori, creare protezioni visive, ecc.) fino a quelle più strutturali nel contesto dell’archiviazione e gestione dei dati.
4. Informativa
Tra i principali requisiti stabiliti dal GDPR c’è la necessità che l’interessato sia adeguatamente informato sul trattamento dei dati personali e con modalità tali da assicurare la massima chiarezza, comprensibilità e trasparenza. L’art. 13 stabilisce in modo puntuale il contenuto che l’informativa deve avere e deve essere rispettato anche in relazione al trattamento dati in esame.
Infatti, anche il Comitato europeo per la protezione dei dati (EDPB, nella dichiarazione del 19 marzo 2020) in relazione anche ai dati trattati nell’ambito della misurazione della temperatura corporea per il contenimento del contagio ha ripetuto il diritto degli interessati di ricevere informazioni trasparenti sulle attività di trattamento svolte e sulle loro caratteristiche principali (compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento) ed ha anche ricordato che le informazioni dovrebbero essere facilmente accessibili e formulate in un linguaggio semplice e chiaro.
Anche l’individuazione delle modalità per fornire l’informativa è regolata in buona parte dal principio di responsabilizzazione (accountability) del titolare il quale deve quindi definire le modalità migliori in base alle specifiche problematiche ed esigenze.
Il Protocollo del 24 aprile 2020 afferma che l’informativa può essere fornita anche oralmente. Tale Protocollo, come detto, non rappresenta una fonte di interpretazioni vincolante sulla normativa privacy ma ha certamente un buon rilievo in ottica accountability: è chiaro infatti che le parti sociali che hanno redatto e sottoscritto il documento hanno ritenuto sufficiente un’informativa “leggera”.
Per garantire un livello elevato di trasparenza si dovrebbe fornire ad ogni interessato (ossia ad ogni soggetto sottoposto alla misurazione o ad altra verifica) un’informativa specifica in merito al trattamento dei dati personali ed eventualmente raccogliere la sua sottoscrizione per conferma di lettura.
Ovviamente le due soluzioni appena descritte (informativa orale e modulo da sottoscrivere) rappresentano in un certo senso i due estremi, ovvero una modalità di informativa molto leggera e una modalità piuttosto pesante. Tra queste due soluzioni ci sono una grande varietà di alternative ed è compito del titolare del trattamento individuare quella più adeguata alle specifiche esigenze in modo tale da garantire da un lato un’adeguata informazione agli interessati e dall’altro una procedura agevole e attuabile in rapporto all’organizzazione.
Una soluzione potrebbe essere per esempio quella di mettere a disposizione le informazioni attraverso avvisi dettagliati collocati presso le postazioni di misurazione della febbre e di raccolta dati.
5. Ulteriori requisiti per la conformità al GDPR
In questa breve analisi sono state descritti alcuni aspetti degni di nota e di specifica analisi in riferimento al trattamento dei dati connessi alla misurazione della temperatura per il contenimento del contagio da Covid 19 nei locali commerciali o aziendali. Ovviamente vi sono altri profili che dovranno essere analizzati da parte del titolare del trattamento. In primo luogo, dovranno essere garantiti i diritti degli interessati e quindi non solo il diritto all’informazione ma anche il diritto all’accesso, alla cancellazione, alla rettifica, all’opposizione, ecc; occorre poi gestire l’eventuale trasferimento dei dati ad altri soggetti quali i responsabili del trattamento o altri titolari e quindi formalizzare gli accordi che ai sensi dell’art. 28 GDPR definiscano i relativi ruoli e le responsabilità. È necessario anche redigere il registro dei trattamenti (art. 30 GDPR), ed eventualmente effettuare la valutazione di impatto sulla protezione dati, la DPIA (art. 35 GDPR) e provvedere alla nomina del DPO.