Tra le conseguenze indirette della pandemia da Covid-19 (o meglio, del relativo contrasto) vi è stata la diffusione presso un più ampio pubblico di alcune soluzioni tecnologiche prima utilizzate in contesti maggiormente ristretti e specialistici.
Tra queste, un cenno particolare meritano le telecamere termiche destinate al pronto riconoscimento della temperatura corporea. Infatti, anche a seguito delle disposizioni previste dalla normativa d’emergenza e dei Protocolli generali condivisi dalle parti sociali per la prevenzione da contagio nei luoghi di lavoro del 14 marzo e 24 aprile 2020, tale tipologia di strumenti è passata da un perimetro di utenti sostanzialmente specialistico ad un utilizzo ampiamente diffuso, che la ha resa una presenza ormai ampiamente conosciuta presso supermercati, centri commerciali e luoghi di lavoro.
Una serie di soluzioni sicuramente utili ed interessanti – specialmente se confrontate con altre maggiormente “artigianali” nell’applicazione – ma che ovviamente deve essere considerata in tutte le sue sfaccettature, inclusa quella giuridica. E questo, si badi, non nell’ottica riduttiva di volerne comprimere o rendere difficoltose le possibilità di utilizzo, quanto piuttosto per potere sfruttare al meglio tali strumenti nel rispetto delle disposizioni di legge, ed in particolare quelle in tema di privacy (o meglio, di data protection).
Partiamo da un assunto imprescindibile: la termocamera nella sua applicazione di base nel contesto della prevenzione dal Covid-19 è sostanzialmente finalizzata al rilevamento di una temperatura corporea superiore al limite (di regola, 37,5°) previsto per l’accesso a determinati luoghi – in primis, quello di lavoro. Potrebbe apparire prosaico affermare che “misura la febbre”, ma dal momento che è esattamente così dobbiamo prendere atto del fatto che lo strumento tratta dati relativi allo stato di salute. In altri termini, dati personali che l’art. 9 del GDPR (ormai rammentiamo che l’acronimo indica il Reg. UE 2016/679) considera come appartenenti a “categorie particolari” – e per i quali vige il generale divieto di trattamento salvo che ricorra una delle eccezioni normativamente previste. Ma andiamo con ordine.
Perché si tratti di dati personali, questi devono riferirsi ad una persona fisica identificata od identificabile. Il che implica che la mera ripresa di una sagoma cui vengono assegnati dei valori in base alla temperatura rilevata ma senza che vi sia la riconducibilità ad un determinato soggetto, non rende il dato di per se stesso quale “personale”, e pertanto non fa scattare l’applicazione delle tutele del GDPR.
Tuttavia occorre essere ben cauti sul punto, in quanto la possibilità di attribuire quel determinato valore ad una persona fisica (ad esempio mediante contestuale esibizione di un documento, utilizzo di un badge, riconoscimento operato dal soggetto incaricato della vigilanza all’ingresso…) è idonea a rendere il dato riferibile ad una persona fisica identificata, con l’immediata applicabilità delle disposizioni normative di riferimento. Si noti sul punto che il concetto di “stato di salute” non deve essere inteso necessariamente in termini negativi, in quanto anche l’informazione che un determinato soggetto in quel momento ha una temperatura inferiore ai 37,5° (in altri termini, sta bene) è comunque un dato relativo alla salute che – anche solo per differenza – determina una serie di conseguenze giuridicamente rilevanti (ad esempio, la possibilità di accedere ai locali lavorativi). Ovviamente il contesto di applicazione ha un impatto diretto in tal senso: se per l’ingresso del pubblico in un centro commerciale non si dovrà procedere all’identificazione personale dei soggetti cui viene rilevata la temperatura, nell’accesso ad una struttura aziendale da parte dei dipendenti o dei visitatori alla rilevazione termica sarà necessariamente associata l’identificazione dell’interessato. In questo secondo caso, il dato sarà da considerarsi personale e relativo a categoria particolare, e di conseguenza il relativo trattamento richiederà specifici presìdi normativi.
Un esempio ci aiuterà a chiarire meglio il punto. Nel rispetto delle disposizioni normative e protocolli applicabili, un’azienda rileva mediante termocamera la temperatura dei soggetti in ingresso. La prima domanda da porsi sarà quella di accertarsi se la soluzione operativa adottata è conforme al GDPR – rectius, se rispetta i requisiti di liceità previsti dal medesimo. La risposta – di regola – appare in senso positivo, posto che identificata la finalità del trattamento nella prevenzione dal contagio da COVID-19, la relativa base giuridica può essere rinvenuta nell’art. 6.1 GDPR, in particolare con riferimento all’attuazione dei protocolli di sicurezza anti-contagio (cfr. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e normativa successiva). Più precisamente, possiamo ritenere che vi siano almeno tre criteri previsti dall’art. 6 GDPR che possono assumere rilevanza in merito, ovverosia quelli per cui il trattamento è necessario (i) per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 6.1 (c), per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica (art. 6.1 (d), e per l’esecuzione di un compito di interesse pubblico (art. 6.1(e). Posta la liceità del trattamento in termini generali, trattandosi di dati particolari (un tempo, i “dati sensibili”) si dovrà valutare la presenza di un’eccezione valida rispetto al divieto generale di trattamento di cui all’art. 9. Anche in questo caso il GDPR ci offre alcune soluzioni che possono apparire idonee, quali ad esempio l’assolvimento di obblighi ed esercizio di diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9.2(b).
Non si tratta di pedanteria legale: la corretta identificazione dei profili di liceità consente di tracciare un perimetro relativamente alle possibilità del migliore sfruttamento della strumentazione in commento.
Infatti, con riferimento ai trattamenti svolti nel contesto lavorativo nell’ambito dell’emergenza sanitaria il Garante per la Protezione dei Dati Personali ha pubblicato alcune indicazioni importanti per quanto qui interessa. Con particolare riferimento alla rilevazione in tempo reale della temperatura corporea in sede di accesso ai locali e alle sedi aziendali, rammentando che quando questa è associata all’identità dell’interessato costituisce un trattamento di dati personali, precisa che non ne è ammessa la registrazione nel rispetto del principio di “minimizzazione” di cui all’art. 5, par.1, lett. c) GDPR, ammettendosi la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Si noti la sostanziale differenza di questa ultima disposizione rispetto ai casi in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali in contesti differenti quali quelli della grande distribuzione, posto che in tale caso di regola non si dovrà procedere neppure alla registrazione del dato relativo al motivo del diniego di accesso anche laddove la temperatura risultasse superiore alla soglia limite.
Proviamo a trarne alcune implicazioni relative all’utilizzo di termocamere in sede di accesso. Ovviamente, se il soggetto cui viene rilevata la temperatura non è identificato od identificabile ci si trova all’esterno dell’ambito di applicazione del GDPR. Se invece (ipotesi tipica del contesto lavorativo) l’interessato è identificato, i dati dovranno essere trattati nel rispetto del principio di minimizzazione – ovverosia trattando dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Il Garante espressamente esclude la registrazione del dato (salvo nei casi in cui si debba documentare il motivo del diniego dell’accesso) e pertanto l’informazione rilevata dalla termocamera dovrà essere di utilizzo esclusivamente istantaneo – il che comporta la necessità della presenza di un operatore all’ingresso ovvero di un sistema automatizzato, quali ad esempio tornelli che vengono sbloccati tramite la termocamera solo in presenza di una temperatura inferiore a quella consentita. In presenza di un operatore, sarà opportuno che questo operi nel contesto di un’autorizzazione ex art. 29 GDPR e che se soggetto esterno all’organizzazione del titolare del trattamento (ad esempio un fornitore di servizi di portierato e guardiania) abbia ricevuto una nomina a responsabile del trattamento ai sensi dell’art. 28 GDPR relativa a tale tipologia di trattamento.
Un altro punto rilevante è che la termocamera, intesa quale strumento di videoripresa, è generalmente in grado di fornire servizi ulteriori, quali ad esempio il rilevamento dell’immagine del volto se non addirittura il riconoscimento facciale. Pertanto dovrà essere posta particolare attenzione all’utilizzo di tali impostazioni in quanto il sistema dovrà comunque rispettare il principio di minimizzazione. Sul punto è appena il caso di rammentare che l’immagine di una persona fisica rappresenta comunque un dato personale (per il caso in cui il sistema dovesse includere anche ulteriori possibilità di riconoscimento basate sulla biometria, si rinvia all’articolo pubblicato nel precedente numero di questo Giornale).
Un cenno a parte merita poi la possibilità che il sistema sia integrato con modalità di segnalazione acustica nel caso in cui per il soggetto interessato si rilevasse una temperatura superiore al limite indicato. Se infatti da un lato questo può comportare un vantaggio in termini operativi, occorre nel contempo rammentare che in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, devono essere assicurate modalità tali da garantire la riservatezza e la dignità del lavoratore. Il che significa che la gestione della criticità deve comunque avvenire in modo riservato e senza che questa possa portare ad una stimmatizzazione del soggetto interessato.
Da ultimo, trattandosi di modalità di videoripresa, sarà opportuno procedere alla relativa informativa e art 13 GDPR anche mediante il posizionamento di un cartello, secondo le indicazioni da ultimo proposte dall’European Data Protecion Board – EDPB nelle proprie Linee Guida 3/2019.
Le tematiche in materia di privacy coinvolte in un sistema di termocamere sono numerose e complesse. Di conseguenza occorre valutare con attenzione la tipologia di applicazione richiesta dalla singola situazione, anche al fine di evitare di proporre soluzioni confliggenti con la normativa che potrebbero poi portare a sgradevoli valutazioni anche in termini di responsabilità.
Avv.Tommaso E. Romolotti e Avv. Laura Marretta