Termoscanner e Privacy: cosa devono sapere le aziende?
La rilevazione della temperatura dei dipendenti: un compromesso tra diritto alla salute e protezione dei dati personali. Quali indicazioni bisogna seguire per rispettare le normative?
Negli ultimi mesi, i datori di lavoro e i titolari d’azienda si sono dovuti adeguare alle indicazioni contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020 e nei successivi Protocolli di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19.
Quali sono i punti salienti?
In particolare, il Protocollo prevede la possibile rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali tra le misure per il contrasto alla diffusione del virus.
Proprio l’introduzione di controlli e verifiche sullo stato di salute dei dipendenti, o di terzi, al momento dell’accesso e durante la permanenza nei luoghi di lavoro, rappresenta uno dei profili che chiede maggiore attenzione rispetto alla normativa sulla privacy.
Tra gli strumenti di contenimento del contagio di cui ai suddetti Protocolli, oltre a quelli diretti a ridefinire le modalità concrete di organizzazione del lavoro (si pensi alla modalità di lavoro in smart working), è stata infatti prevista la possibilità di adottare alcune misure di controllo, come la possibilità di verificare lo stato di salute dei lavoratori mediante la rilevazione della temperatura corporea al momento dell’ingresso nei luoghi di lavoro o di richiedere il rilascio di una dichiarazione di non provenienza da zone a rischio contagio o di assenza di contatti con soggetti risultati positivi nei 10 o 14 giorni precedenti.
Rilevamento della temperatura corporea con termoscanner e GDPR
Ad eccezione dei cantieri edili, nei quali la misurazione della temperatura corporea di chi vi entra è obbligatoria (così come stabilito dal Protocollo condiviso tra Ministero delle Infrastrutture e Trasporti con le Parti Sociali), negli altri casi tale rilevazione può essere applicata su base volontaria dal datore di lavoro e degli organismi preposti.
Ove il datore di lavoro decida di procedere alla rilevazione, è necessario fare presente che, nonostante la rilevazione della temperatura possa essere applicata su base volontaria, il datore di lavoro ha come obbligo non delegabile la valutazione di tutti i rischi con la conseguente elaborazione del DVR (documento di valutazione dei rischi).
Sebbene il rischio biologico da Covid-19 sia riconosciuto come rischio generico, in quanto statisticamente può colpire in egual misura tutta la popolazione, il datore di lavoro, rivestendo una posizione di garanzia nella tutela della salute dei propri dipendenti, avrà sempre l’obbligo di dimostrare di aver fatto tutto il possibile per tutelare la sicurezza del proprio personale, e quindi anche predisporre la rilevazione della temperatura corporea in ingresso nella sua azienda.
Modalità di rilevamento della temperatura
Quali sono, dunque, le modalità per il rilevamento della temperatura dei lavoratori che consentono il rispetto della privacy?
- La prima raccomandazione è quella di rilevare la temperatura ma non registrare il dato acquisito. La necessità di registrare il superamento della soglia di temperatura riguarda solo la categoria lavoratori ed è esclusivamente connessa con quella di documentare le ragioni che impediscono l’accesso ai locali aziendali;
- devono essere individuati soggetti autorizzati al rilevamento della temperatura e quindi al trattamento dei dati personali che potranno registrare il dato temperatura solo qualora questa risulti superiore alla soglia dei 37,5°;
- gli interessati che verranno sottoposti alla rilevazione della temperatura devono esserne compiutamente informati (art. 13 GDPR).
L’informativa deve contenere alcuni dati essenziali:
- le finalità del trattamento, e cioè la prevenzione dal contagio da Covid-19, la tutela della salute delle persone in azienda e la collaborazione con le Autorità pubbliche e, in particolare, le autorità sanitarie;
- la base giuridica del trattamento: motivi di interesse pubblico (implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, in particolare Protocollo Condiviso 14 marzo 2020, Protocollo 24 aprile 2020 e successive integrazione e modificazioni) e obblighi di legge (art. 32 Costituzione; art. 2087 codice civile e D.Lgs. 81/2008 in materia di salute e sicurezza sui luoghi di lavoro);
- il periodo di trattamento del dato: il periodo di conservazione del dato rilevato e registrato deve essere limitato al tempo strettamente necessario;
- la comunicazione dei dati: è consentita la sola comunicazione all’autorità sanitaria per comunicare una specifica situazione di rischio e nel caso del committente in presenza di lavoratori positivi;
- la specificazione che in caso di rifiuto alla rilevazione della temperatura/fornitura dei dati sarà vietato l’accesso ai locali aziendali;
- organizzare le modalità di conservazione dei dati, predisporre le misure di sicurezza adeguate e di cancellazione dei dati al termine del trattamento;
- aggiornamento del registro dei trattamenti aziendale.
- Valutare se è necessario nominare nuovi Responsabile Esterni o aggiornare le autorizzazioni/nomine.
La corretta compliance aziendale: privacy by design
Le modalità di rilevazione descritte rispondono a uno dei principi fondamentali in ambito GDPR e cioè il privacy by design previsto dall’articolo 25 del Regolamento Ue 679/2016.
La procedura aziendale che deve essere redatta per la rilevazione della temperatura corporea dei lavoratori deve necessariamente essere pensata avendo a mente la prevenzione dei rischi sui dati raccolti.
Particolare attenzione andrà quindi serbata nella nomina dei soggetti autorizzati alla rilevazione, nella stesura dell’informativa ai lavoratori, nell’aggiornamento del registro dei trattamenti ed alle misure di sicurezza adottate per la conservazione e non divulgazione dei dati raccolti.
L’altro fondamentale principio enunciato nel Regolamento Privacy che viene in rilievo è il principio di minimizzazione.
Questo sarà rispettato laddove ci si limiti a raccogliere esclusivamente quei dati che siano strettamente necessari, adeguati e pertinenti rispetto alla finalità da raggiungere: la prevenzione del contagio da virus Covid-19.
Contattaci per avere maggiori informazioni sulle misure che possono essere adottate in azienda per agire nel pieno rispetto della normativa sulla privacy.