Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

Termoscanner in azienda e privacy: c'è una soluzione

Privacy e sicurezza - Paolo Ricchiuto* - 20 marzo 2020

Al tempo del Coronavirus, rilevare la temperatura ai dipendenti per farli entrare in azienda è una misura di contenimento più che opportuna. Ma deve fare i conti con diversi punti critici della normativa sul trattamento dei dati personali

L’art 2 del GDPR, infatti, esclude dal campo di applicazione del Regolamento stesso i trattamenti svolti per la sicurezza pubblica da parte delle autorità competenti: ma le aziende sono soggetti privati, non "autorità", e dunque per le stesse trovano applicazione tutte le norme del Regolamento. 

Si pone, quindi, in tutta la sua criticità, la questione delle modalità di legittimazione all’uso dei termoscanner da parte delle aziende private ancora attive in questo Paese, ambito tanto problematico da poter indurre, volendo, a sottolineare senza pietà la confusione sospinta da tutti gli attori in campo (il legislatore, il Garante, da ultimo le parti sociali), ai quali si è da ultimo aggiunto anche l’European Data Protection Board: con una dichiarazione del 16 marzo infatti il gruppo dei Garanti Europei ha indicato una soluzione, con la possibilità, per un datore di lavoro privato, di utilizzare come base giuridica del trattamento anche l’art. 9 par. 2 lett. h GDPR (finalità di medicina preventiva) o lett. i (motivi di interesse pubblico nel settore della sanità), che non richiedono il consenso dell'interessato.

Una soluzione che non convince affatto, per motivi che potrebbero essere oggetto di un altro, lungo articolo, ma che soprattutto rischia di porsi come una inutile complicazione, atteso che una soluzione molto più semplice già c’è: senza indugiare in spunti critici, allora, proviamo a ricostruire il quadro al solo fine di enucleare una via interpretativa lineare, che si possa seguire da subito utilizzando i punti di riferimento corretti.

Innanzitutto, è addirittura ovvio rilevare come il dato che viene acquisito (che la febbre ci sia o meno), rientri a tutti gli effetti nella categoria dei dati particolari (già dati sensibili) di cui all’art. 9 GDPR.
Per poterlo trattare, quindi, va innanzitutto ricercata una base giuridica idonea all’interno del paragrafo 2 dell’art. 9.
Il punto centrale è il consenso dell'interessato.

Nell’ambito del rapporto di lavoro dipendente è impensabile ricorrere ad un atto di volontà dell’interessato per legittimare questo trattamento: come chiarito a più riprese anche a livello europeo (vedi le Linee Guida del Gruppo art. 29 sul consenso WP 259) la relazione tra datore di lavoro e lavoratore è talmente asimmetrica da "sporcare" indelebilmente la genuinità di qualsiasi consenso, a maggior ragione in un ambito come quello qui esaminato.
Qualsiasi modulo o modulino sottoposto al lavoratore che identifichi il consenso come base giuridica non risolve quindi in nessun modo il problema.

L’area di elezione, nell’ambito del rapporto di lavoro, va ricercata all’interno dell’art. 9 par. 2 lett. b) del GDPR, che permette il trattamento dei dati dei lavoratori tutte le volte in cui sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale.

Tutto ciò però a due condizioni:
- in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato,
ma soprattutto, per quanto qui interessa:
- nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri.

E’ quindi sempre e comunque necessaria una sponda, che sia anche a livello di contrattazione collettiva, per sostenere che l’operazione della rilevazione della temperatura sia "coperta".

A non diverse conclusioni si arriva completando il percorso in ambito di protezione dei dati personali: il dato di cui parliamo, infatti, rientra nel sotto-insieme dei dati idonei a rivelare lo stato di salute per i quali, a norma dell’art. 9 par 4, il Regolamento lasciava agli Stati membri la possibilità di prevedere ulteriori condizioni o limitazioni. Il nostro Paese ha esercitato questa facoltà, mediante il DLGV 101/18, che all’art. 2 septies (sempre ferma la sussistenza di una base giuridica spendibile ai sensi dell’art. 9 par. 2 GDPR), rimette al Garante il compito di prevedere delle specifiche "misure di garanzia".

Poiché l’Autorità non ha ancora individuato tali misure, trova applicazione la disciplina transitoria dettata dall’art. 21 d.lgls. 101/18,e quindi ad oggi il punto di riferimento è costituito dal Provvedimento generale del Garante del 13.12.18, mediante il quale, superando le precedenti autorizzazioni generali, l’Autorità ha individuato le prescrizioni ad oggi vigenti, dettando il principio di fondo secondo il quale un dato particolare idoneo a rivelare lo stato di salute, può esser trattato solo se necessario "per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno"

Quale che sia la strada, dunque, se per legittimare il termoscanner all’ingresso dell’azienda si vuole passare dalla base giuridica dell’art. 9 par. 2 lett. b (trattamenti nell’ambito del rapporto di lavoro), è necessario cercare, e trovare, una norma o una clausola di un contratto collettivo che contempli espressamente questa operatività.

Questa norma, fino a pochi giorni fa, certamente non esisteva. Ed il monito del Garante ad evitare "soluzioni fai da te" (vedi il  comunicato del 02.03.20) era stato letto da tutto il mercato come una sorta di cartellino rosso all’uso dei termoscanner in assenza di una dovuta copertura spendibile.

E’ allora in questo contesto che vanno letti gli ultimissimi rivolgimenti.

Innanzitutto, è il Governo ad essersi posto il problema, nel momento in cui, adottando l’ennesimo DPCM, ha cercato di creare un presupposto utile a legittimare determinate attività.

Ribadita, per fugare ogni dubbio al riguardo, la natura normativa delle disposizioni contenute in tutti i DPCM che il Governo sta adottando nell’esercizio di un potere conferitogli formalmente (vedi l'art. 3 D.L. 6/20) l’attenzione si deve concentrare sull’art. 1 n. 7 lett. d) del DPCM 11.03.2020.
Tramite questa disposizione, si raccomanda a chi svolge attività produttive o professionali di "assumere protocolli di sicurezza anti-contagio" (n. 7 lett.d), favorendo in tal senso "intese tra organizzazioni datoriali e sindacali" (n. 9).

Come è agevole rilevare, non c’è una aperta menzione dei sistemi di rilevazione della temperatura all’ingresso delle aziende. E c’è da chiedersi: può un protocollo di sicurezza, magari stipulato mediante un accordo sindacale (aziendale, territoriale o interconfederale) prevederne l’utilizzo come declinazione operativa di un protocollo di sicurezza anti-contagio ?

Il Governo ritiene di sì, tanto da aver attivamente stimolato e partecipato alla redazione di quello che altro non è che un accordo sindacale interconfederale, sottoscritto da tutte le organizzazioni sindacali il 14.03.20, e denominato Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

In questo documento, ritenuto fondamentale per garantire la continuità produttiva in questo momento drammatico, viene espressamente regolamentata la "modalità di ingresso in azienda", e viene per la prima volta consacrata la possibilità per il datore di lavoro di procedere alla rilevazione della temperatura dei dipendenti.

Su quale base giuridica ? Come chiarito in nota al punto 2 del Protocollo, proprio l’art. 1 n. 7 lett. d) del DPCM 11.03.20.
Il cerchio dunque sembra chiudersi: esiste, secondo gli estensori del Protocollo (e dunque, secondo il Governo), una norma di legge che sembra integrare il presupposto richiesto dalle richiamate disposizioni privacy ai fini della liceità dell’uso dei termoscanner.

E’ la strada giusta ? Probabilmente no: affermare, infatti, che un protocollo di sicurezza declinato in un accordo sindacale partecipi della natura normativa della disposizione che ne costituisce il presupposto, è una forzatura troppo forte. E l’idea, propugnata nel Protocollo, secondo la quale la base giuridica del trattamento del dato sanitario possa esser integrata da una norma di legge, e cioè dall’art. 1 n. 7 lett. d) DPCM 11.03.20, non sembra in termini generali corretta, se si valorizza il fatto che l’uso dei termoscanner non è affatto previsto nella legge medesima, bensì nel sottostante Protocollo.

Esiste un’altra strada? Probabilmente sì: non si può dimenticare, infatti, la circostanza che il Protocollo altro non sia che un accordo sindacale. Un vero e proprio contratto collettivo (che si potrebbe qualificare come interconfederale), le cui disposizioni, senza passare dal DPCM, abilitano in sé al trattamento dei dati sanitari, atteso che sia l’art. 9 par. 2 lett. b) GDPR, che il Provvedimento Generale del Garante 13.12.18, come anticipato, permettono il trattamento non solo in presenza di una norma di legge, ma anche di quanto previsto, appunto, in un contratto collettivo.

Se così è, allora i datori di lavoro nella loro informativa ai dipendenti ai quali rilevano la temperatura, invece di citare (come suggerisce il Protocollo) come base giuridica del trattamento una norma di legge (l’art. 1 n. 7 lett. d) DPCM 11.03.20) che non contempla affatto l’uso dei termoscanner, ben potrebbero citare come base giuridica, nel quadro dell’art. 9 par. 2 lett. b) GPDR, proprio il Protocollo in sé, qualificandolo per quello che è, e cioè un accordo sindacale.

Una soluzione lineare e percorribile, che mette al riparo dal rischio rilevante di una contestazione, quando un giorno tutto questo sarà finito.

* Avvocato in Roma

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Manlio Cammarata - IL FURBOFONO
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2020 -  Informazioni sul copyrightPrivacy