Misurazione della temperatura e Privacy: attenzione ai “totem” di rilevazione automatica!
L’evoluzione della situazione sanitaria attuale sarà sicuramente sinonimo del prolungamento di tutte le disposizioni atte alla lotta contro la pandemia previste nei protocolli aziendali. Tra queste, la misurazione della temperatura del dipendente in sede di accesso al posto di lavoro.
Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus negli ambienti di lavoro, successivamente integrato nell’aggiornamento del 24 aprile 2020 prevede, infatti, all’art. 2 (Modalità di ingresso in azienda) che: “Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea1. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione – nel rispetto delle indicazioni riportate in nota – saranno momentaneamente isolate e fornite di mascherine non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni”.
Con Ordinanza n. 604/2020 di Regione Lombardia, del 10 settembre 2020, tale misura è stata resa obbligatoria in tutto il territorio lombardo.
Per agevolare il precedente adempimento molte aziende si sono dotate di “totem”, o dispositivi elettronici similari, che rilevano automaticamente la temperatura del dipendente e segnalano alle risorse umane il superamento della soglia limite. In determinate circostante, l’inibizione all’accesso è automatica.
Abbiamo già chiarito che la rilevazione della temperatura del dipendente, se correlata al nominativo del lavoratore stesso, è un trattamento di dati personali. Ma in caso di strumenti automatici di rilevazione, quali sono gli adempimenti da adottare?
L’art. 22 GDPR (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione) dispone:
“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
- Il paragrafo 1 non si applica nel caso in cui la decisione:
- a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
- c) si basi sul consenso esplicito dell’interessato.
- Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”.
Pertanto, non è possibile adottare dispositivi automatici di rilevazione della temperatura che impediscano l’accesso alla sede aziendale automaticamente. Tali apparati dovranno unicamente agevolare le attività di rilevamento, ma non inibire l’accesso al luogo di lavoro.
Gli obblighi del datore di lavoro
- Come si deve comportare il datore di lavoro?
I rilevatori automatici della temperatura dovranno essere unicamente utilizzati come strumento idoneo ad agevolare le attività prodromiche all’accesso alla sede aziendale. Tali dispositivi non dovranno impedire l’accesso automatico al dipendente. Dovrà essere sempre garantito l’intervento di un soggetto autorizzato per una verifica sulle reali condizioni del dipendente.
Il datore di lavoro non può inibire l’accesso al dipendente utilizzando unicamente strumenti elettronici e processi decisionali totalmente automatizzati, senza l’intervento umano. Questa tipologia di trattamenti non è permessa dall’art. 22 GDPR.
- La temperatura del dipendente è un dato personale?
Come affermato dalla stessa nota al Protocollo condiviso e dal Garante:
“In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso”.
Si tratta, pertanto, di un trattamento di dati personali, anche se la misurazione viene effettuata automaticamente tramite un apparato elettronico.
- Quali sono gli adempimenti privacy imposti al datore di lavoro?
Trattandosi di un trattamento di dati personali (art. 4 GDPR) il Datore di lavoro dovrà:
- Informare i dipendenti con apposita informativa (art. 13 GDPR) in merito al trattamento della rilevazione della temperatura in sede di accesso ai locali aziendali;
- Aggiornare il Registro delle attività di trattamento (art. 30 GDPR) inserendo questa specifica attività;
- Nominare gli autorizzati al trattamento inserendo la nuova tipologia di trattamento effettuato;
- Nominare Responsabile del trattamento la Società che fornisce tale tipologia di dispositivi se potenzialmente potrebbe avere accesso ai dati dei dipendenti.
- Chi può verificare l’esattezza della misurazione?
Sarà necessario limitare il più possibile i dipendenti aziendali deputati alla verifica della temperatura. In questi casi, sarà necessaria una specifica nomina ad autorizzati al trattamento.
- Qual è la base giuridica del trattamento dati?
Il regolamento europeo per la protezione dei dati personali, GDPR, prevede che un trattamento sia lecito solo se, e nella misura in cui, ricorra almeno una base giuridica legittima, e nel contesto dell’emergenza sanitaria essa deve essere rinvenuta nell’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento in materia di salute e sicurezza nei luoghi di lavoro.
In questo specifico caso la base giuridica è individuata nell’art. 28 dello Statuto del Lavoratori in materia di tutela della Salute e della Sicurezza dei Lavoratori, e di valutazione dei rischi (nel rispetto della privacy come indicato al par. 12 del Protocollo condiviso).
Non è necessario acquisire il consenso al trattamento da parte dei propri dipendenti. Si tratta di adempimenti normativi.
- Come regolamentare il rapporto con la Società fornitrici dei “totem”?
Se il fornitore dei dispositivi elettronici non avrà in alcun modo accesso ai dati relativi alla misurazione della temperatura, non sarà necessario alcun adempimento privacy.
Nell’ipotesi in cui, invece, vi sia un accesso anche solo potenziale ai dati dei dipendenti dovrà essere predisposta un’apposita nomina a Responsabile Esterno del trattamento (art. 28 GDPR).
Analoghe considerazioni valgono per tutte le Società che forniscano eventuali software per l’utilizzo di tali apparecchiature.
- Attenzione al consenso dei propri dipendenti!
Vi ricordiamo di non utilizzare mai il consenso al trattamento per legittimare la rilevazione della temperatura. Secondo orientamenti consolidati il consenso del dipendente nei confronti del datore di lavoro non è considerato come “libero”. Si tratterà, pertanto, di un trattamento illegittimo, se fondato su tale base giuridica e, pertanto, illecito.