Termoscanner “intelligenti”: un utile strumento di prevenzione contro il Covid-19 ma la tua azienda ha pensato anche alla privacy?

Premessa:

La pandemia da Coronavirus ha portato le aziende e le persone a dover in poco tempo adattare le proprie attività a nuovi tempi e modi di lavoro e di vita: chiusura delle attività, didattica a distanza, smart working ne sono alcuni esempi.

Il rilievo della temperatura come misura di prevenzione:

Una delle prime misure adottate dalle disposizioni che si sono susseguite da febbraio del 2020 e che permangono anche in questo inizio 2021 è la rilevazione della temperatura.

La discriminante fondamentale per ammettere all’interno dei luoghi di lavoro il personale e per consentirne la permanenza è controllarne la temperatura. La soglia stabilita di ammissibilità è avere una temperatura inferiore ai 37,5 gradi.

Il Protocollo condiviso tra Governo e Parti Sociali[1] nello stabilire questa primaria misura a tutela della salute di coloro che operano all’interno di ambienti di lavoro aveva già delineato alcuni aspetti relativi alla protezione dei dati da non trascurare: informativa agli interessati, conferimento di specifico incarico al personale, responsabilizzazione degli uffici del personale, tempistica di conservazione dei dati.

 

Per quanto riguarda la scelta dello strumento tramite il quale effettuare tale operazione si spazia dal semplice termometro ad infrarossi fino ad arrivare a strumenti più sofisticati che abbinano il controllo della temperatura con altri aspetti relativi alla gestione del personale (come ad esempio il rilievo della presenza).

 

L’ulteriore sforzo che è necessario applicare è ora legato all’impiego di strumenti che combinino insieme controllo della temperatura ed ulteriori trattamenti di dati.

La presenza di un macchinario che rilevi la presenza del lavoratore (magari scattandogli una foto) e che contestualmente rilevi e registri la temperatura configura un esempio di tecnologia da valutare con attenzione sotto il profilo della protezione dei dati.

Giova ricordare che l’emergenza Coronavirus non ha spazzato via le disposizioni in materia di privacy e che sia il Regolamento[2] sia il Codice[3] sono pienamente applicabili.

La stessa Autorità Garante si è espressa più volte in relazione alle questioni di protezione dei dati sollevate dall’applicazione delle regole contro il Coronavirus[4].

Se un’azienda dovesse decidere di utilizzare uno strumento che associ il controllo della temperatura con altri aspetti legati alla gestione del personale cosa dovrebbe fare?

Qualche consiglio in tema di privacy:

  • Coinvolgimento del referente privacy:

In primo luogo il consiglio a monte è quello di coinvolgere in tale progetto il proprio referente privacy (e nel caso in cui l’azienda ne fosse sprovvista potrebbe essere l’occasione per dotarsene).

  • Applicazione dei principi generali della Data Protection

Già in fase antecedente all’utilizzo effettivo dello strumento è bene che venga verificata con il fornitore l’applicazione dei principi di protezione dei dati come la minimizzazione dei dati trattati.

  • Informativa agli interessati

Dato che tramite lo strumento che si sta valutando verranno effettuati uno o più trattamenti di dati è indispensabile fornire specifica informativa agli interessati.

L’informativa dovrà essere costruita secondo i dettami dell’Art. 13 del Regolamento Europeo in materia di protezione dei dati 2016/679.

Particolare attenzione dovrà essere posta nella scelta della base giuridica del trattamento adeguata. Il Regolamento Europeo in materia di protezione dei dati 2016/679 ne individua ben sei pertanto è essenziale scegliere quella corretta che potrebbe non essere per forza il consenso dell’interessato.

  • Responsabilizzazione dei soggetti interni

Il personale incaricato di svolgere operazioni relative all’impiego di tale strumentazione è opportuno che venga responsabilizzato tramite specifiche istruzioni operative sia relative agli aspetti tecnici sia in riferimento alla protezione delle informazioni di cui può venire a conoscenza.

  • Responsabilizzazione dei soggetti esterni

L’intervento di soggetti terzi a cui vengano demandate attività che comportino il trattamento dei dati deve trovare valida regolamentazione in un contratto tra le parti dove devono essere definiti anche gli aspetti legati alla protezione dei dati.

  • Valutazione di Impatto

A seconda dei trattamenti che si intende effettuare con l’apparecchiatura prescelta e della loro combinazione (controllo temperatura, rilievo presenza, combinazione dei dati, riconoscimento facciale ecc…) si possono rendere necessari adempimenti come Data Protection Impact Assessment, la valutazione di impatto in materia di protezione dei dati.

L’elenco sopra riportato non ha chiaramente pretesa di esaustività ma vuole essere un breve vademecum utile alle aziende che si approccino all’utilizzo di questa strumentazione al di fine di contemperare l’esigenza di tutelare la salute del personale senza dimenticare gli aspetti di protezione dei dati.

[1] Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali del 14 marzo 2020 aggiornato al 24/04/2020 https://www.trovanorme.salute.gov.it/norme/dettaglioAtto?id=77479&articolo=26

[2] Regolamento Europeo in materia di protezione dei dati personali 2016/679 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597

[3] Codice in materia di protezione dei dati personali D.Lgs. 30.06.2003 n. 196 così come novellato dal D.Lgs. 101/2018 https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29.pdf/b1787d6b-6bce-07da-a38f-3742e3888c1d?version=1.8

[4] https://www.garanteprivacy.it/temi/coronavirus