Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

Il termoscanner per l’ingresso in azienda: consigli d’uso a prova di GDPR

28/09/2020
Vittoria Piretti

Data la ripresa di molte attività e la conseguente necessità di implementare misure di sicurezza che seguano i protocolli anti Covid-19, sempre più spesso in capo ai titolari delle aziende emergono dubbi su quali siano i limiti tra rispetto della privacy dei dipendenti e preservazione della sicurezza sul luogo di lavoro.

Da un punto di vista generale, per risolvere questi interrogativi, alcuni utili spunti sul tema del trattamento dei dati nel contesto lavorativo durante l’emergenza sono rinvenibili tra le FAQ del Garante.

In particolare, una tematica a cui bisogna prestare attenzione è la misurazione della temperatura corporea all’ingresso della sede aziendale, rientrante tra le operazioni per il contrasto alla diffusione del virus. 

Per il Garante, poiché la rilevazione della temperatura se associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2 GDPR), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, se inferiore al minimo stabilito.
Tuttavia, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione del superamento della soglia stabilita dalla legge se necessario a documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Particolare attenzione deve poi essere riposta quando queste operazioni vengano effettuate a mezzo di un termoscanner: l’EDPB nel mese di settembre 2020 ha prodotto un interessante documento esplicativo sul punto.

L’EDPB distingue due casi:

  1. misurazione effettuata da personale incaricato manualmente, senza successiva registrazione del dato (in questo caso non è configurabile un trattamento di dati e, quindi, non deve applicarsi il GDPR);
  2. misurazione effettuata con altri sistemi di controllo, o azionati manualmente e seguiti da registrazione, o gestiti automaticamente con dispositivi avanzati – es. termoscanner (in questo caso si applica il GDPR).

L’EDPB osserva che alcune misurazioni, se effettuate in assenza di un intervento umano significativo nel processo di controllo, rientrano nel processo decisionale individuale automatizzato. Per l’EDPB attualmente, non esistendo una legge che autorizzi i controlli della temperatura basati esclusivamente sul trattamento automatizzato per consentire o negare l'accesso ai locali aziendali per motivi di salute e sicurezza, questo trattamento sarebbe lecito solo dietro consenso esplicito degli interessati.

Per potere risolvere il punto di cui sopra, evitando di dovere necessariamente richiedere un consenso preventivo alla misurazione effettuata mediante termoscanner (in presenza di un processo totalmente automatizzato) l’EDPB fornisce i seguenti consigli pratici.

Per prima cosa, il titolare dovrebbe identificare e registrare il grado di qualsiasi coinvolgimento umano nel processo di controllo della temperatura e in quale fase avviene. Si considera coinvolgimento umano particolarmente rilevante il caso di "controllo positivo" da parte del trattamento automatizzato che si traduce in un rifiuto di accesso.

Sono molto interessanti, poi i suggerimento per il titolare, per il rispetto dei principi della privacy by design/default, in particolare:

  • i sistemi per eseguire i controlli della temperatura dovrebbero essere operativi in ​​modo indipendente (ossia non legati ad alcuna forma di controllo dell'identità), non collegati a nessun altro sistema informatico o al sistema di sicurezza;
  •  dovrebbe essere progettato come un sistema in tempo reale, senza essere effettuata alcuna registrazione della lettura;
  • In caso di sistema automatizzato è necessario verificare che non vi sia registrazione delle immagini termiche e che i risultati siano visualizzati solo su schermo “live”, se poi il sistema può trasmettere immagini da remoto tramite un protocollo cablato o wireless (Bluetooth, Wi-Fi), deve essere isolato dalle altre reti;
  • il titolare deve poter verificare i dati a cui ha accesso il produttore del dispositivo se è installato un sistema di telemetria per monitorare il corretto funzionamento di tale apparecchiatura;
  • l'intero ciclo di vita dei dati deve essere analizzato al fine di garantire che non si verifichi alcuna registrazione o archiviazione;
  • l'uso del sistema dovrebbe essere limitato per filtrare l'accesso ai locali e non essere utilizzato per altri scopi; al fine di garantire il rispetto del principio di limitazione della finalità lo scopo del sistema per eseguire i controlli della temperatura corporea deve rimanere esclusivamente il controllo degli accessi in azienda;
  • il personale incaricato dei controlli deve essere adeguatamente formato per le operazioni di misurazione e registrazione.

In ogni caso, poi, sarà cura del titolare informare adeguatamente ex art. 13 GDPR gli interessati rispetto le procedure di misurazione, indicando:

  • come finalità la prevenzione da contagio da covid-19;
  • come base giuridica l’implementazione dei protocolli di sicurezza anti-contagio prevista dalle disposizioni emergenziali;
  • gli eventuali tempi di conservazione/distruzione dei dati.

Ciò detto, resterà fermo, in ogni caso, il dovere del titolare di riesaminare continuamente la necessità e la proporzionalità di tali misure per effettuare le misurazioni della temperatura, alla luce dell'evoluzione della situazione epidemica e alla sua comprensione scientifica.