Al fine di contenere i contagi dal corona virus, le aziende e le pubbliche amministrazioni oggi si trovano a dover applicare nuovi protocolli di accesso sul posto di lavoro che prevedono il rilevamento della temperatura corporea dei dipendenti, alunni, fornitori o visitatori ovvero mediante raccolta di autocertificazioni relative allo stato di salute.
La norma di legge prevede che i protocolli sono obbligatori, in quanto in assenza di controlli sono in vigore sanzioni penali amministrative.
Il controllo sanitario non deve, però, ledere la privacy che oggi – in ragione del regime derogatorio in corso per la tutela del salute pubblica – ha visto alzarsi l’asticella della tollerabilità, ma a determinate condizioni e seguendo regole specifiche che di volta in volta si vanno delineando.
- Diverse sono state le domande che i vari attori del trattamento del dato si sono posti, prima fra tutte: chi deve effettuare concretamente i controlli in entrata?
A rigore normativo spetta al medico competente o comunque al personale che ha competenze in materia sanitaria.
Se a livello teorico tutto ciò sembrerebbe di semplice soluzione, nella maggior parte dei casi non è presente il medico competente all’interno dell’azienda e, quindi, altri soggetti, come gli incaricati o la guardiania, si occupano di trattare dati personali particolari quali quelli relativi allo stato di salute.
Si può senza dubbio incaricare un lavoratore, ma le modalità operative sono di fondamentale importanza, infatti, non può essere conferita tout court delega al dipendente, ma dovrà essere redatto un incarico all’interno del quale dovranno essere specificati: i compiti dell’incaricato, come deve trattare il dato personale e dove deve conservarlo (nel caso in cui ci sia anche la conservazione del dato).
2. Ulteriore domanda che si è posta: l’incarico deve essere di carattere organizzativo o autorizzato ai sensi del GDPR?
Incaricato o “preposto” ai sensi dell’art 2, D. Lgs. 81/2008 lett. e) è la persona che, in ragione delle competenze professionali e nei limiti di poteri gerarchici e funzionali adeguati alla natura dell’incarico conferitogli, sovrintende alla attività lavorativa e garantisce l’attuazione delle direttive ricevute, controllandone la corretta esecuzione da parte dei lavoratori ed esercitando un funzionale potere di iniziativa.
3. A livello organizzativo, in attuazione al principio di Accountability, come devono regolarsi le varie realtà dando seguito alla normativa comunitaria?
La Valutazione DPIA è il cuore del sistema Privacy e deve essere effettuata per legge. Il problema è riuscire ad adeguare le valutazioni già effettuate attraverso audit alle nuove normative derogatorie al fine della tutela della salute pubblica che prevedono protocolli derogatori sul rilevamento della temperatura corporea. Altrimenti effettuare una Valutazione DPIA che regoli nel dettaglio anche tale aspetto.
***
Sul punto è intervenuto anche il Garante della protezione dei dati personali, il quale ha chiarito che: “In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso”.
Per un maggior approfondimento si rimanda alla lettura sul punto:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9337010
