Nell’ambito del rapporto di lavoro dipendente è impensabile ricorrere ad un atto di volontà dell’interessato per legittimare questo trattamento: come chiarito a più riprese anche a livello europeo (vedi le Linee Guida del Gruppo art. 29 sul consenso WP 259) la relazione tra datore di lavoro e lavoratore è talmente asimmetrica da "sporcare" indelebilmente la genuinità di qualsiasi consenso, a maggior ragione in un ambito come quello qui esaminato.
Qualsiasi modulo o modulino sottoposto al lavoratore che identifichi il consenso come base giuridica non risolve quindi in nessun modo il problema.

L’area di elezione, nell’ambito del rapporto di lavoro, va ricercata all’interno dell’art. 9 par. 2 lett. b) del GDPR, che permette il trattamento dei dati dei lavoratori tutte le volte in cui sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale.

Tutto ciò però a due condizioni:
- in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato,
ma soprattutto, per quanto qui interessa:
- nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri.

E’ quindi sempre e comunque necessaria una sponda, che sia anche a livello di contrattazione collettiva, per sostenere che l’operazione della rilevazione della temperatura sia "coperta".

A non diverse conclusioni si arriva completando il percorso in ambito di protezione dei dati personali: il dato di cui parliamo, infatti, rientra nel sotto-insieme dei dati idonei a rivelare lo stato di salute per i quali, a norma dell’art. 9 par 4, il Regolamento lasciava agli Stati membri la possibilità di prevedere ulteriori condizioni o limitazioni. Il nostro Paese ha esercitato questa facoltà, mediante il DLGV 101/18, che all’art. 2 septies (sempre ferma la sussistenza di una base giuridica spendibile ai sensi dell’art. 9 par. 2 GDPR), rimette al Garante il compito di prevedere delle specifiche "misure di garanzia".

Poiché l’Autorità non ha ancora individuato tali misure, trova applicazione la disciplina transitoria dettata dall’art. 21 d.lgls. 101/18,e quindi ad oggi il punto di riferimento è costituito dal Provvedimento generale del Garante del 13.12.18, mediante il quale, superando le precedenti autorizzazioni generali, l’Autorità ha individuato le prescrizioni ad oggi vigenti, dettando il principio di fondo secondo il quale un dato particolare idoneo a rivelare lo stato di salute, può esser trattato solo se necessario "per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno"

Quale che sia la strada, dunque, se per legittimare il termoscanner all’ingresso dell’azienda si vuole passare dalla base giuridica dell’art. 9 par. 2 lett. b (trattamenti nell’ambito del rapporto di lavoro), è necessario cercare, e trovare, una norma o una clausola di un contratto collettivo che contempli espressamente questa operatività.

Questa norma, fino a pochi giorni fa, certamente non esisteva. Ed il monito del Garante ad evitare "soluzioni fai da te" (vedi il  comunicato del 02.03.20) era stato letto da tutto il mercato come una sorta di cartellino rosso all’uso dei termoscanner in assenza di una dovuta copertura spendibile.

E’ allora in questo contesto che vanno letti gli ultimissimi rivolgimenti.

Innanzitutto, è il Governo ad essersi posto il problema, nel momento in cui, adottando l’ennesimo DPCM, ha cercato di creare un presupposto utile a legittimare determinate attività.

Ribadita, per fugare ogni dubbio al riguardo, la natura normativa delle disposizioni contenute in tutti i DPCM che il Governo sta adottando nell’esercizio di un potere conferitogli formalmente (vedi l'art. 3 D.L. 6/20) l’attenzione si deve concentrare sull’art. 1 n. 7 lett. d) del DPCM 11.03.2020.
Tramite questa disposizione, si raccomanda a chi svolge attività produttive o professionali di "assumere protocolli di sicurezza anti-contagio" (n. 7 lett.d), favorendo in tal senso "intese tra organizzazioni datoriali e sindacali" (n. 9).

Come è agevole rilevare, non c’è una aperta menzione dei sistemi di rilevazione della temperatura all’ingresso delle aziende. E c’è da chiedersi: può un protocollo di sicurezza, magari stipulato mediante un accordo sindacale (aziendale, territoriale o interconfederale) prevederne l’utilizzo come declinazione operativa di un protocollo di sicurezza anti-contagio ?

Il Governo ritiene di sì, tanto da aver attivamente stimolato e partecipato alla redazione di quello che altro non è che un accordo sindacale interconfederale, sottoscritto da tutte le organizzazioni sindacali il 14.03.20, e denominato Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

In questo documento, ritenuto fondamentale per garantire la continuità produttiva in questo momento drammatico, viene espressamente regolamentata la "modalità di ingresso in azienda", e viene per la prima volta consacrata la possibilità per il datore di lavoro di procedere alla rilevazione della temperatura dei dipendenti.

Su quale base giuridica ? Come chiarito in nota al punto 2 del Protocollo, proprio l’art. 1 n. 7 lett. d) del DPCM 11.03.20.
Il cerchio dunque sembra chiudersi: esiste, secondo gli estensori del Protocollo (e dunque, secondo il Governo), una norma di legge che sembra integrare il presupposto richiesto dalle richiamate disposizioni privacy ai fini della liceità dell’uso dei termoscanner.

E’ la strada giusta ? Probabilmente no: affermare, infatti, che un protocollo di sicurezza declinato in un accordo sindacale partecipi della natura normativa della disposizione che ne costituisce il presupposto, è una forzatura troppo forte. E l’idea, propugnata nel Protocollo, secondo la quale la base giuridica del trattamento del dato sanitario possa esser integrata da una norma di legge, e cioè dall’art. 1 n. 7 lett. d) DPCM 11.03.20, non sembra in termini generali corretta, se si valorizza il fatto che l’uso dei termoscanner non è affatto previsto nella legge medesima, bensì nel sottostante Protocollo.

Esiste un’altra strada? Probabilmente sì: non si può dimenticare, infatti, la circostanza che il Protocollo altro non sia che un accordo sindacale. Un vero e proprio contratto collettivo (che si potrebbe qualificare come interconfederale), le cui disposizioni, senza passare dal DPCM, abilitano in sé al trattamento dei dati sanitari, atteso che sia l’art. 9 par. 2 lett. b) GDPR, che il Provvedimento Generale del Garante 13.12.18, come anticipato, permettono il trattamento non solo in presenza di una norma di legge, ma anche di quanto previsto, appunto, in un contratto collettivo.

Se così è, allora i datori di lavoro nella loro informativa ai dipendenti ai quali rilevano la temperatura, invece di citare (come suggerisce il Protocollo) come base giuridica del trattamento una norma di legge (l’art. 1 n. 7 lett. d) DPCM 11.03.20) che non contempla affatto l’uso dei termoscanner, ben potrebbero citare come base giuridica, nel quadro dell’art. 9 par. 2 lett. b) GPDR, proprio il Protocollo in sé, qualificandolo per quello che è, e cioè un accordo sindacale.

Una soluzione lineare e percorribile, che mette al riparo dal rischio rilevante di una contestazione, quando un giorno tutto questo sarà finito.

* Avvocato in Roma